chiark - git - mdw - firewall/blob - vampire.m4

   1 ### -*-m4-*-
   2 ###
   3 ### Firewall configuration for vampire
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Network interfaces.
  26
  27 m4_divert(44)m4_dnl
  28 ## Interface definitions.
  29 if_untrusted=eth0.1
  30 if_trusted=eth0.0
  31 if_vpn=vpn-+
  32 if_iodine=dns+
  33 if_its_mz=eth0.0
  34 if_its_pi=eth0.0
  35
  36 m4_divert(-1)
  37 ###--------------------------------------------------------------------------
  38 ### vampire-specific rules.
  39
  40 m4_divert(82)m4_dnl
  41 ## Externally visible services.
  42 allowservices inbound tcp \
  43         finger ident \
  44         dns iodine \
  45         ssh \
  46         smtp \
  47         gnutella_svc \
  48         ftp ftp_data \
  49         rsync \
  50         disorder mpd \
  51         http https \
  52         git \
  53         tor_public tor_directory i2p
  54 allowservices inbound udp \
  55         dns iodine \
  56         tripe \
  57         gnutella_svc \
  58         i2p
  59
  60 ## Provide DNS resolution to local untrusted hosts.
  61 for p in tcp udp; do
  62   run iptables -A inbound -j ACCEPT \
  63           -s 172.29.198.0/24 \
  64           -p $p --destination-port $port_dns
  65 done
  66
  67 ## Allow smb and nmb to untrusted hosts.  This is a bit experimental.
  68 run iptables -A inbound -j ACCEPT \
  69         -s 172.29.198.0/24 \
  70         -p udp -m multiport --destination-ports \
  71                 $port_netbios_ns,$port_netbios_dgm
  72 run iptables -A inbound -j ACCEPT \
  73         -s 172.29.198.0/24 \
  74         -p tcp -m multiport --destination-ports \
  75                 $port_netbios_ssn,$port_microsoft_ds
  76
  77 ## Provide syslog for evolution.
  78 run iptables -A inbound -j ACCEPT \
  79         -s 172.29.198.2 \
  80         -p udp --destination-port $port_syslog
  81
  82 ## Provide a web cache to local untrusted hosts.
  83 run iptables -A inbound -j ACCEPT \
  84         -s 172.29.198.0/24 \
  85         -p tcp --destination-port $port_squid
  86
  87 ## Watch outgoing Tor usage.
  88 run iptables -A OUTPUT -m multiport \
  89         -p tcp --source-ports $port_tor_public,$port_tor_directory
  90
  91 ## Other interesting things.
  92 dnsresolver inbound
  93 ntpclient inbound 158.152.1.76 158.152.1.204 194.159.253.2
  94
  95 m4_divert(-1)
  96 ###----- That's all, folks --------------------------------------------------