chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted mcast
  39 defnetclass trusted untrusted trusted safe noloop mcast
  40 defnetclass safe trusted safe noloop mcast
  41 defnetclass noloop trusted safe mcast
  42 defnetclass link
  43 defnetclass mcast
  44 m4_divert(-1)
  45
  46 m4_divert(26)m4_dnl
  47 ###--------------------------------------------------------------------------
  48 ### Network layout.
  49
  50 ## House networks.
  51 defnet dmz trusted
  52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
  53         forwards unsafe untrusted
  54 defnet unsafe trusted
  55         addr 172.29.199.0/25 2001:470:9740:1::/64
  56         forwards househub
  57 defnet safe safe
  58         addr 172.29.199.192/27 2001:470:9740:4001::/64
  59         forwards househub
  60 defnet untrusted untrusted
  61         addr 172.29.198.0/25 2001:470:9740:8001::/64
  62         forwards househub
  63 defnet iodine untrusted
  64         addr 172.29.198.128/28
  65
  66 defnet househub virtual
  67         forwards housebdry dmz unsafe safe untrusted
  68 defnet housebdry virtual
  69         forwards househub hub
  70         noxit dmz
  71
  72 ## House hosts.
  73 defhost radius
  74         hosttype router
  75         iface eth0 dmz unsafe safe default
  76         iface eth1 dmz unsafe safe default
  77         iface eth2 safe
  78         iface eth3 untrusted default
  79         iface t6-he default
  80 defhost roadstar
  81         iface eth0 dmz unsafe
  82         iface eth1 dmz unsafe
  83 defhost jem
  84         iface eth0 dmz unsafe
  85         iface eth1 dmz unsafe
  86 defhost artist
  87         iface eth0 dmz unsafe
  88         iface eth1 dmz unsafe
  89 defhost vampire
  90         hosttype router
  91         iface eth0.0 dmz unsafe safe
  92         iface eth0.1 dmz unsafe safe
  93         iface eth0.2 safe
  94         iface eth0.3 untrusted
  95         iface dns0 iodine
  96         iface vpn-precision colobdry vpn
  97         iface vpn-chiark sgo
  98         iface vpn-+ vpn
  99 defhost ibanez
 100         iface br-dmz dmz unsafe
 101         iface br-unsafe unsafe
 102
 103 defhost gibson
 104         hosttype client
 105         iface eth0 unsafe
 106
 107 ## Colocated networks.
 108 defnet jump trusted
 109         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 110         forwards colohub
 111 defnet colo trusted
 112         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
 113         forwards colohub
 114 defnet colohub virtual
 115         forwards colobdry jump colo
 116 defnet colobdry virtual
 117         forwards colohub hub
 118         noxit jump
 119
 120 ## Colocated hosts.
 121 defhost fender
 122         iface br-jump jump colo
 123         iface br-colo jump colo
 124 defhost precision
 125         hosttype router
 126         iface eth0 jump colo
 127         iface eth1 jump colo
 128         iface vpn-vampire housebdry vpn
 129         iface vpn-chiark sgo
 130         iface vpn-+ vpn
 131 defhost telecaster
 132         iface eth0 jump colo
 133         iface eth1 jump colo
 134 defhost stratocaster
 135         iface eth0 jump colo
 136         iface eth1 jump colo
 137 defhost jazz
 138         iface eth0 jump colo
 139         iface eth1 jump colo
 140
 141 ## Other networks.
 142 defnet hub virtual
 143         forwards housebdry colobdry
 144 defnet sgo noloop
 145         addr !172.29.198.0/23
 146         addr 10.0.0.0/8
 147         addr 172.16.0.0/12
 148         addr 192.168.0.0/16
 149         forwards househub colohub
 150 defnet vpn safe
 151         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
 152         forwards househub colohub
 153         host crybaby 1
 154         host terror 2
 155 defnet anycast trusted
 156         addr 172.29.199.224/27 2001:ba8:1d9:0::/64
 157         forwards dmz unsafe safe untrusted jump colo vpn
 158 defnet default untrusted
 159         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
 160         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 161         addr 2001:ba8:1d9::/48 #temporary
 162         forwards dmz unsafe untrusted jump colo
 163
 164 m4_divert(80)m4_dnl
 165 ###--------------------------------------------------------------------------
 166 ### Special forwarding exemptions.
 167
 168 case $forward in
 169   1)
 170
 171     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 172     ## hosts's fragment reassembly to be robust against malicious fragments.)
 173     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 174     ## of `! -f', so we do the negation using early return from a subchain.
 175     clearchain fwd-spec-nofrag
 176     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 177     run ip6tables -A fwd-spec-nofrag -j RETURN \
 178             -m ipv6header --soft --header frag
 179     run ip46tables -A FORWARD -j fwd-spec-nofrag
 180
 181     ## Allow ping from safe/noloop to untrusted networks.
 182     run iptables -A fwd-spec-nofrag -j ACCEPT \
 183             -p icmp --icmp-type echo-request \
 184             -m mark --mark $to_untrusted/$MASK_TO
 185     run iptables -A fwd-spec-nofrag -j ACCEPT \
 186             -p icmp --icmp-type echo-reply \
 187             -m mark --mark $from_untrusted/$MASK_FROM \
 188             -m state --state ESTABLISHED
 189     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 190             -p icmpv6 --icmpv6-type echo-request \
 191             -m mark --mark $to_untrusted/$MASK_TO
 192     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 193             -p icmpv6 --icmpv6-type echo-reply \
 194             -m mark --mark $from_untrusted/$MASK_FROM \
 195             -m state --state ESTABLISHED
 196
 197     ## Allow SSH from safe/noloop to untrusted networks.
 198     run iptables -A fwd-spec-nofrag -j ACCEPT \
 199             -p tcp --destination-port $port_ssh \
 200             -m mark --mark $to_untrusted/$MASK_TO
 201     run iptables -A fwd-spec-nofrag -j ACCEPT \
 202             -p tcp --source-port $port_ssh \
 203             -m mark --mark $from_untrusted/$MASK_FROM \
 204             -m state --state ESTABLISHED
 205     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 206             -p tcp --destination-port $port_ssh \
 207             -m mark --mark $to_untrusted/$MASK_TO
 208     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 209             -p tcp --source-port $port_ssh \
 210             -m mark --mark $from_untrusted/$MASK_FROM \
 211             -m state --state ESTABLISHED
 212
 213     ;;
 214 esac
 215
 216 m4_divert(80)m4_dnl
 217 ###--------------------------------------------------------------------------
 218 ### Kill things we don't understand properly.
 219 ###
 220 ### I don't like having to do this, but since I don't know how to do proper
 221 ### multicast filtering, I'm just going to ban it from being forwarded.
 222
 223 errorchain poorly-understood REJECT
 224
 225 ## Ban multicast destination addresses in forwarding.
 226 case $forward in
 227   1)
 228     run iptables -A FORWARD -g poorly-understood \
 229             -d 224.0.0.0/4
 230     run ip6tables -A FORWARD -g poorly-understood \
 231             -d ff::/8
 232     ;;
 233 esac
 234
 235 m4_divert(84)m4_dnl
 236 ###--------------------------------------------------------------------------
 237 ### Locally-bound packet inspection.
 238
 239 clearchain inbound
 240
 241 ## Track connections.
 242 commonrules inbound
 243 conntrack inbound
 244
 245 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 246 ## local request.
 247 run iptables -A inbound -j ACCEPT \
 248         -s 0.0.0.0 -d 255.255.255.255 \
 249         -p udp --source-port $port_bootpc --destination-port $port_bootps
 250 run iptables -A inbound -j ACCEPT \
 251         -s 172.29.198.0/23 \
 252         -p udp --source-port $port_bootpc --destination-port $port_bootps
 253
 254 ## Allow incoming ping.  This is the only ICMP left.
 255 run ip46tables -A inbound -j ACCEPT -p icmp
 256
 257 m4_divert(88)m4_dnl
 258 ## Allow unusual things.
 259 openports inbound
 260
 261 ## Inspect inbound packets from untrusted sources.
 262 run ip46tables -A inbound -j forbidden
 263 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 264
 265 ## Otherwise process as indicated by the mark.
 266 for i in $inchains; do
 267   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 268 done
 269
 270 m4_divert(-1)
 271 ###----- That's all, folks --------------------------------------------------