chiark - git - mdw - firewall/blob - vampire.m4

   1 ### -*-m4-*-
   2 ###
   3 ### Firewall configuration for vampire
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Network interfaces.
  26
  27 m4_divert(44)m4_dnl
  28 ## Interface definitions.
  29 if_untrusted=eth0.1
  30 if_trusted=eth0.0
  31 if_vpn=vpn-+
  32 if_iodine=dns+
  33 if_its_mz=eth0.0
  34 if_its_pi=eth0.0
  35
  36 m4_divert(-1)
  37 ###--------------------------------------------------------------------------
  38 ### vampire-specific rules.
  39
  40 m4_divert(82)m4_dnl
  41 ## Externally visible services.
  42 allowservices inbound tcp \
  43         finger ident \
  44         dns iodine \
  45         ssh \
  46         smtp submission \
  47         gnutella_svc \
  48         ftp ftp_data \
  49         rsync \
  50         imaps \
  51         disorder mpd \
  52         http https squid \
  53         git \
  54         tor_public tor_directory i2p
  55 allowservices inbound udp \
  56         dns iodine \
  57         tripe \
  58         gnutella_svc \
  59         i2p
  60
  61 ## Provide DNS resolution to local untrusted hosts.
  62 for p in tcp udp; do
  63   run iptables -A inbound -j ACCEPT \
  64           -s 172.29.198.0/24 \
  65           -p $p --destination-port $port_dns
  66 done
  67
  68 ## Allow smb and nmb to untrusted hosts.  This is a bit experimental.
  69 run iptables -A inbound -j ACCEPT \
  70         -s 172.29.198.0/24 \
  71         -p udp -m multiport --destination-ports \
  72                 $port_netbios_ns,$port_netbios_dgm
  73 run iptables -A inbound -j ACCEPT \
  74         -s 172.29.198.0/24 \
  75         -p tcp -m multiport --destination-ports \
  76                 $port_netbios_ssn,$port_microsoft_ds
  77
  78 ## Provide syslog for evolution.
  79 run iptables -A inbound -j ACCEPT \
  80         -s 172.29.198.2 \
  81         -p udp --destination-port $port_syslog
  82
  83 ## Watch outgoing Tor usage.
  84 run iptables -A OUTPUT -m multiport \
  85         -p tcp --source-ports $port_tor_public,$port_tor_directory
  86
  87 ## Other interesting things.
  88 dnsresolver inbound
  89 ntpclient inbound 158.152.1.76 158.152.1.204 194.159.253.2
  90
  91 m4_divert(-1)
  92 ###----- That's all, folks --------------------------------------------------