chiark / gitweb /
~mdw / firewall / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
local.m4: Packets can be routed over the safe network.
[firewall] / local.m4
1 ### -*-sh-*-
2 ###
3 ### Local firewall configuration
4 ###
5 ### (c) 2008 Mark Wooding
6 ###
7
8 ###----- Licensing notice ---------------------------------------------------
9 ###
10 ### This program is free software; you can redistribute it and/or modify
11 ### it under the terms of the GNU General Public License as published by
12 ### the Free Software Foundation; either version 2 of the License, or
13 ### (at your option) any later version.
14 ###
15 ### This program is distributed in the hope that it will be useful,
16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18 ### GNU General Public License for more details.
19 ###
20 ### You should have received a copy of the GNU General Public License
21 ### along with this program; if not, write to the Free Software Foundation,
22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
23
24 ###--------------------------------------------------------------------------
25 ### Local configuration.
26
27 m4_divert(6)m4_dnl
28 ## Default NTP servers.
29 defconf(ntp_servers,
30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
31
32 m4_divert(-1)
33 ###--------------------------------------------------------------------------
34 ### Packet classification.
35
36 ## Define the available network classes.
37 m4_divert(42)m4_dnl
38 defnetclass untrusted untrusted trusted mcast
39 defnetclass trusted untrusted trusted safe noloop mcast
40 defnetclass safe trusted safe noloop mcast
41 defnetclass noloop trusted safe mcast
42 defnetclass link
43 defnetclass mcast
44 m4_divert(-1)
45
46 m4_divert(26)m4_dnl
47 ###--------------------------------------------------------------------------
48 ### Network layout.
49
50 ## House networks.
51 defnet dmz trusted
52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
53         forwards unsafe untrusted
54 defnet unsafe trusted
55         addr 172.29.199.0/25 2001:470:9740:1::/64
56         forwards househub
57 defnet safe safe
58         addr 172.29.199.192/27 2001:470:9740:4001::/64
59         forwards househub
60 defnet untrusted untrusted
61         addr 172.29.198.0/25 2001:470:9740:8001::/64
62         forwards househub
63 defnet iodine untrusted
64         addr 172.29.198.128/28
65
66 defnet househub virtual
67         forwards housebdry dmz unsafe safe untrusted
68 defnet housebdry virtual
69         forwards househub hub
70         noxit dmz
71
72 ## House hosts.
73 defhost radius
74         hosttype router
75         iface eth0 dmz unsafe safe untrusted vpn sgo colobdry default
76         iface eth1 dmz unsafe safe untrusted vpn sgo colobdry default
77         iface eth2 dmz unsafe safe untrusted vpn sgo colobdry
78         iface eth3 untrusted vpn default
79         iface t6-he default
80         iface vpn-precision colobdry vpn sgo
81         iface vpn-chiark sgo
82         iface vpn-+ vpn
83 defhost roadstar
84         iface eth0 dmz unsafe
85         iface eth1 dmz unsafe
86 defhost jem
87         iface eth0 dmz unsafe
88         iface eth1 dmz unsafe
89 defhost artist
90         hosttype router
91         iface eth0 dmz unsafe
92         iface eth1 dmz unsafe
93         iface eth3 untrusted
94 defhost vampire
95         hosttype router
96         iface eth0.0 dmz unsafe untrusted safe vpn sgo colobdry
97         iface eth0.1 dmz unsafe untrusted safe vpn sgo colobdry
98         iface eth0.2 dmz unsafe safe untrusted vpn sgo colobdry
99         iface eth0.3 untrusted
100         iface dns0 iodine
101         iface vpn-precision colobdry vpn sgo
102         iface vpn-chiark sgo
103         iface vpn-+ vpn
104 defhost ibanez
105         iface br-dmz dmz unsafe
106         iface br-unsafe unsafe
107
108 defhost gibson
109         hosttype client
110         iface eth0 unsafe
111
112 ## Colocated networks.
113 defnet jump trusted
114         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
115         forwards colohub
116 defnet colo trusted
117         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
118         forwards colohub
119 defnet colohub virtual
120         forwards colobdry jump colo
121 defnet colobdry virtual
122         forwards colohub hub
123         noxit jump
124
125 ## Colocated hosts.
126 defhost fender
127         iface br-jump jump colo
128         iface br-colo jump colo
129 defhost precision
130         hosttype router
131         iface eth0 jump colo sgo
132         iface eth1 jump colo sgo
133         iface vpn-radius housebdry vpn sgo
134         iface vpn-chiark sgo
135         iface vpn-+ vpn
136 defhost telecaster
137         iface eth0 jump colo
138         iface eth1 jump colo
139 defhost stratocaster
140         iface eth0 jump colo
141         iface eth1 jump colo
142 defhost jazz
143         iface eth0 jump colo
144         iface eth1 jump colo
145
146 ## Other networks.
147 defnet hub virtual
148         forwards housebdry colobdry
149 defnet sgo noloop
150         addr !172.29.198.0/23
151         addr 10.0.0.0/8
152         addr 172.16.0.0/12
153         addr 192.168.0.0/16
154         forwards househub colohub
155 defnet vpn safe
156         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
157         forwards househub colohub
158         host crybaby 1
159         host terror 2
160 defnet anycast trusted
161         addr 172.29.199.224/27 2001:ba8:1d9:0::/64
162         forwards dmz unsafe safe untrusted jump colo vpn
163 defnet default untrusted
164         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
165         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
166         addr 2001:ba8:1d9::/48 #temporary
167         forwards dmz unsafe untrusted jump colo
168
169 m4_divert(80)m4_dnl
170 ###--------------------------------------------------------------------------
171 ### Special forwarding exemptions.
172
173 case $forward in
174   1)
175
176     ## Only allow these packets if they're not fragmented.  (Don't trust safe
177     ## hosts's fragment reassembly to be robust against malicious fragments.)
178     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
179     ## of `! -f', so we do the negation using early return from a subchain.
180     clearchain fwd-spec-nofrag
181     run iptables -A fwd-spec-nofrag -j RETURN --fragment
182     run ip6tables -A fwd-spec-nofrag -j RETURN \
183             -m ipv6header --soft --header frag
184     run ip46tables -A FORWARD -j fwd-spec-nofrag
185
186     ## Allow ping from safe/noloop to untrusted networks.
187     run iptables -A fwd-spec-nofrag -j ACCEPT \
188             -p icmp --icmp-type echo-request \
189             -m mark --mark $to_untrusted/$MASK_TO
190     run iptables -A fwd-spec-nofrag -j ACCEPT \
191             -p icmp --icmp-type echo-reply \
192             -m mark --mark $from_untrusted/$MASK_FROM \
193             -m state --state ESTABLISHED
194     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
195             -p icmpv6 --icmpv6-type echo-request \
196             -m mark --mark $to_untrusted/$MASK_TO
197     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
198             -p icmpv6 --icmpv6-type echo-reply \
199             -m mark --mark $from_untrusted/$MASK_FROM \
200             -m state --state ESTABLISHED
201
202     ## Allow SSH from safe/noloop to untrusted networks.
203     run iptables -A fwd-spec-nofrag -j ACCEPT \
204             -p tcp --destination-port $port_ssh \
205             -m mark --mark $to_untrusted/$MASK_TO
206     run iptables -A fwd-spec-nofrag -j ACCEPT \
207             -p tcp --source-port $port_ssh \
208             -m mark --mark $from_untrusted/$MASK_FROM \
209             -m state --state ESTABLISHED
210     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
211             -p tcp --destination-port $port_ssh \
212             -m mark --mark $to_untrusted/$MASK_TO
213     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
214             -p tcp --source-port $port_ssh \
215             -m mark --mark $from_untrusted/$MASK_FROM \
216             -m state --state ESTABLISHED
217
218     ;;
219 esac
220
221 m4_divert(80)m4_dnl
222 ###--------------------------------------------------------------------------
223 ### Kill things we don't understand properly.
224 ###
225 ### I don't like having to do this, but since I don't know how to do proper
226 ### multicast filtering, I'm just going to ban it from being forwarded.
227
228 errorchain poorly-understood REJECT
229
230 ## Ban multicast destination addresses in forwarding.
231 case $forward in
232   1)
233     run iptables -A FORWARD -g poorly-understood \
234             -d 224.0.0.0/4
235     run ip6tables -A FORWARD -g poorly-understood \
236             -d ff::/8
237     ;;
238 esac
239
240 m4_divert(84)m4_dnl
241 ###--------------------------------------------------------------------------
242 ### Locally-bound packet inspection.
243
244 clearchain inbound
245
246 ## Track connections.
247 commonrules inbound
248 conntrack inbound
249
250 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
251 ## local request.
252 run iptables -A inbound -j ACCEPT \
253         -s 0.0.0.0 -d 255.255.255.255 \
254         -p udp --source-port $port_bootpc --destination-port $port_bootps
255 run iptables -A inbound -j ACCEPT \
256         -s 172.29.198.0/23 \
257         -p udp --source-port $port_bootpc --destination-port $port_bootps
258
259 ## Allow incoming ping.  This is the only ICMP left.
260 run ip46tables -A inbound -j ACCEPT -p icmp
261
262 m4_divert(88)m4_dnl
263 ## Allow unusual things.
264 openports inbound
265
266 ## Inspect inbound packets from untrusted sources.
267 run ip46tables -A inbound -j forbidden
268 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
269
270 ## Otherwise process as indicated by the mark.
271 for i in $inchains; do
272   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
273 done
274
275 m4_divert(-1)
276 ###----- That's all, folks --------------------------------------------------
Firewall scripts for distorted.org.uk.