chiark / gitweb /
local.m4: Fix the IPv4 version of the `inbound-untrusted' chain.
[firewall] / local.m4
index dfaae8fc8ce1b2d56094be304c86e3221080354b..5aa3bbdf64fbd3909c5510978c24628849f8c286 100644 (file)
--- a/local.m4
+++ b/local.m4
@@ -405,13 +405,13 @@ m4_divert(88)m4_dnl
 openports inbound
 
 ## Inspect inbound packets from untrusted sources.
 openports inbound
 
 ## Inspect inbound packets from untrusted sources.
+run iptables -A inbound -s 172.29.198.0/24 -g inbound-untrusted
 run ip6tables -A inbound -s 2001:8b0:c92:8000::/49 -g inbound-untrusted
 run ip6tables -A inbound -s 2001:ba8:1d9:8000::/49 -g inbound-untrusted
 run ip46tables -A inbound-untrusted -g forbidden
 run ip46tables -A inbound -g forbidden
 run ip46tables -A INPUT -m mark --mark $from_scary/$MASK_FROM -g inbound
 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 run ip6tables -A inbound -s 2001:8b0:c92:8000::/49 -g inbound-untrusted
 run ip6tables -A inbound -s 2001:ba8:1d9:8000::/49 -g inbound-untrusted
 run ip46tables -A inbound-untrusted -g forbidden
 run ip46tables -A inbound -g forbidden
 run ip46tables -A INPUT -m mark --mark $from_scary/$MASK_FROM -g inbound
 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
-run iptables -A inbound -s 172.29.198.0/24 -j inbound-untrusted
 
 ## Allow responses from the scary outside world into the untrusted net, but
 ## don't let untrusted things run services.
 
 ## Allow responses from the scary outside world into the untrusted net, but
 ## don't let untrusted things run services.