~mdw / firewall / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
classify.m4: Explicitly class 255.255.255.255 as broadcast.
[firewall] / fender.m4
diff --git a/fender.m4 b/fender.m4
index b9ce79f..77a08fe 100644 (file)
--- a/fender.m4
+++ b/fender.m4
@@ -33,6 +33,10 @@ allowservices inbound tcp \
 ## We have to provide NTP service.  The guests sync to our clock.
 ntpclient inbound $ntp_servers
 
+## Provide NTP service to untrusted clients.
+run ip46tables -A inbound-untrusted -p udp -j ACCEPT \
+         --source-port 123 --destination-port 123
+
 ## Guaranteed black hole.  Put this at the very front of the chain.
 run iptables -I INPUT -d 212.13.198.78 -j DROP
 run ip6tables -I INPUT -d 2001:ba8:0:1d9::ffff -j DROP
@@ -76,7 +80,7 @@ run ebtables -A check-bcp38 -j RETURN -p ip6 --ip6-source fe80::/10
 run ebtables -A check-bcp38 -j bcp38 -p ip6
 run ebtables -A FORWARD -j check-bcp38 -o bond0
 
-## There's a hideous bug in Linux' 3.2.51-1's ebtables: for some reason it
+## There's a hideous bug in Linux 3.2.51-1's ebtables: for some reason it
 ## misparses (at least) locally originated multicast packets, and tries to
 ## extract IP header fields relative to the start of the Ethernet frame.  The
 ## result is obviously a hideous mess.  Don't try to do BCP38 checking for
Firewall scripts for distorted.org.uk.