etc/rules/firewall_rules.xml

   1 <!-- @(#) $Id: firewall_rules.xml,v 1.10 2009/06/24 17:06:19 dcid Exp $
   2   -  Official Firewall rules for OSSEC.
   3   -
   4   -  Copyright (C) 2009 Trend Micro Inc.
   5   -  All rights reserved.
   6   -
   7   -  This program is a free software; you can redistribute it
   8   -  and/or modify it under the terms of the GNU General Public
   9   -  License (version 3) as published by the FSF - Free Software
  10   -  Foundation.
  11   -
  12   -  License details: http://www.ossec.net/en/licensing.html
  13   -->
  14
  15
  16 <group name="firewall,">
  17   <rule id="4100" level="0">
  18     <category>firewall</category>
  19     <description>Firewall rules grouped.</description>
  20   </rule>
  21
  22   <!-- We don't log firewall events, because they go
  23     -  to their own log file.
  24     -->
  25   <rule id="4101" level="5">
  26     <if_sid>4100</if_sid>
  27     <action>DROP</action>
  28     <options>no_log</options>
  29     <description>Firewall drop event.</description>
  30     <group>firewall_drop,</group>
  31   </rule>
  32
  33   <rule id="4151" level="10" frequency="16" timeframe="45" ignore="240">
  34     <if_matched_sid>4101</if_matched_sid>
  35     <same_source_ip />
  36     <description>Multiple Firewall drop events from same source.</description>
  37     <group>multiple_drops,</group>
  38   </rule>
  39 </group>