chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted mcast
  39 defnetclass trusted untrusted trusted safe noloop mcast
  40 defnetclass safe trusted safe noloop mcast
  41 defnetclass noloop trusted safe mcast
  42 defnetclass link
  43 defnetclass mcast
  44 m4_divert(-1)
  45
  46 m4_divert(26)m4_dnl
  47 ###--------------------------------------------------------------------------
  48 ### Network layout.
  49
  50 ## House networks.
  51 defnet dmz trusted
  52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
  53         forwards unsafe untrusted
  54 defnet unsafe trusted
  55         addr 172.29.199.0/25 2001:470:9740:1::/64
  56         forwards househub
  57 defnet safe safe
  58         addr 172.29.199.192/27 2001:470:9740:4001::/64
  59         forwards househub
  60 defnet untrusted untrusted
  61         addr 172.29.198.0/25 2001:470:9740:8001::/64
  62         forwards househub
  63 defnet vpn safe
  64         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
  65         forwards househub colohub
  66         host crybaby 1
  67         host terror 2
  68 defnet iodine untrusted
  69         addr 172.29.198.128/28
  70
  71 defnet househub virtual
  72         forwards housebdry dmz unsafe safe untrusted
  73 defnet housebdry virtual
  74         forwards househub hub
  75         noxit dmz
  76
  77 ## House hosts.
  78 defhost radius
  79         router
  80         iface eth0 dmz unsafe safe
  81         iface eth1 dmz unsafe safe
  82         iface eth2 safe
  83         iface eth3 untrusted
  84 defhost roadstar
  85         iface eth0 dmz unsafe
  86         iface eth1 dmz unsafe
  87 defhost jem
  88         iface eth0 dmz unsafe
  89         iface eth1 dmz unsafe
  90 defhost artist
  91         iface eth0 dmz unsafe
  92         iface eth1 dmz unsafe
  93 defhost vampire
  94         router
  95         iface eth0.0 dmz unsafe safe
  96         iface eth0.1 dmz unsafe safe
  97         iface eth0.2 safe
  98         iface eth0.3 untrusted
  99         iface dns0 dns
 100         iface vpn-+ vpn
 101         iface vpn-precision colobdry vpn
 102 defhost ibanez
 103         iface br-dmz dmz unsafe
 104         iface br-unsafe unsafe
 105
 106 defhost gibson
 107         iface eth0 unsafe
 108
 109 ## Colocated networks.
 110 defnet jump trusted
 111         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 112         forwards colohub
 113 defnet colo trusted
 114         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
 115         forwards colohub
 116 defnet colohub virtual
 117         forwards colobdry jump colo
 118 defnet colobdry virtual
 119         forwards colohub hub
 120         noxit jump
 121
 122 ## Colocated hosts.
 123 defhost fender
 124         iface br-jump jump colo
 125         iface br-colo jump colo
 126 defhost precision
 127         router
 128         iface eth0 jump colo
 129         iface eth1 jump colo
 130         iface vpn-+ vpn
 131         iface vpn-vampire housebdry vpn
 132 defhost telecaster
 133         iface eth0 jump colo
 134         iface eth1 jump colo
 135 defhost stratocaster
 136         iface eth0 jump colo
 137         iface eth1 jump colo
 138 defhost jazz
 139         iface eth0 jump colo
 140         iface eth1 jump colo
 141
 142 ## Other networks.
 143 defnet hub virtual
 144         forwards housebdry colobdry
 145 defnet default untrusted
 146         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
 147         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 148         addr 2001:ba8:1d9::/48 #temporary
 149         forwards dmz untrusted unsafe jump colo
 150
 151 m4_divert(80)m4_dnl
 152 ###--------------------------------------------------------------------------
 153 ### Special forwarding exemptions.
 154
 155 case $forward in
 156   1)
 157
 158     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 159     ## hosts's fragment reassembly to be robust against malicious fragments.)
 160     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 161     ## of `! -f', so we do the negation using early return from a subchain.
 162     clearchain fwd-spec-nofrag
 163     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 164     run ip6tables -A fwd-spec-nofrag -j RETURN \
 165             -m ipv6header --soft --header frag
 166     run ip46tables -A FORWARD -j fwd-spec-nofrag
 167
 168     ## Allow ping from safe/noloop to untrusted networks.
 169     run iptables -A fwd-spec-nofrag -j ACCEPT \
 170             -p icmp --icmp-type echo-request \
 171             -m mark --mark $to_untrusted/$MASK_TO
 172     run iptables -A fwd-spec-nofrag -j ACCEPT \
 173             -p icmp --icmp-type echo-reply \
 174             -m mark --mark $from_untrusted/$MASK_FROM \
 175             -m state --state ESTABLISHED
 176     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 177             -p icmpv6 --icmpv6-type echo-request \
 178             -m mark --mark $to_untrusted/$MASK_TO
 179     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 180             -p icmpv6 --icmpv6-type echo-reply \
 181             -m mark --mark $from_untrusted/$MASK_FROM \
 182             -m state --state ESTABLISHED
 183
 184     ## Allow SSH from safe/noloop to untrusted networks.
 185     run iptables -A fwd-spec-nofrag -j ACCEPT \
 186             -p tcp --destination-port $port_ssh \
 187             -m mark --mark $to_untrusted/$MASK_TO
 188     run iptables -A fwd-spec-nofrag -j ACCEPT \
 189             -p tcp --source-port $port_ssh \
 190             -m mark --mark $from_untrusted/$MASK_FROM \
 191             -m state --state ESTABLISHED
 192     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 193             -p tcp --destination-port $port_ssh \
 194             -m mark --mark $to_untrusted/$MASK_TO
 195     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 196             -p tcp --source-port $port_ssh \
 197             -m mark --mark $from_untrusted/$MASK_FROM \
 198             -m state --state ESTABLISHED
 199
 200     ;;
 201 esac
 202
 203 m4_divert(80)m4_dnl
 204 ###--------------------------------------------------------------------------
 205 ### Kill things we don't understand properly.
 206 ###
 207 ### I don't like having to do this, but since I don't know how to do proper
 208 ### multicast filtering, I'm just going to ban it from being forwarded.
 209
 210 errorchain poorly-understood REJECT
 211
 212 ## Ban multicast destination addresses in forwarding.
 213 case $forward in
 214   1)
 215     run iptables -A FORWARD -g poorly-understood \
 216             -d 224.0.0.0/4
 217     run ip6tables -A FORWARD -g poorly-understood \
 218             -d ff::/8
 219     ;;
 220 esac
 221
 222 m4_divert(84)m4_dnl
 223 ###--------------------------------------------------------------------------
 224 ### Locally-bound packet inspection.
 225
 226 clearchain inbound
 227
 228 ## Track connections.
 229 commonrules inbound
 230 conntrack inbound
 231
 232 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 233 ## local request.
 234 run iptables -A inbound -j ACCEPT \
 235         -s 0.0.0.0 -d 255.255.255.255 \
 236         -p udp --source-port $port_bootpc --destination-port $port_bootps
 237 run iptables -A inbound -j ACCEPT \
 238         -s 172.29.198.0/23 \
 239         -p udp --source-port $port_bootpc --destination-port $port_bootps
 240
 241 ## Allow incoming ping.  This is the only ICMP left.
 242 run ip46tables -A inbound -j ACCEPT -p icmp
 243
 244 m4_divert(88)m4_dnl
 245 ## Allow unusual things.
 246 openports inbound
 247
 248 ## Inspect inbound packets from untrusted sources.
 249 run ip46tables -A inbound -j forbidden
 250 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 251
 252 ## Otherwise process as indicated by the mark.
 253 for i in $inchains; do
 254   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 255 done
 256
 257 m4_divert(-1)
 258 ###----- That's all, folks --------------------------------------------------