chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted mcast
  39 defnetclass trusted untrusted trusted safe noloop mcast
  40 defnetclass safe trusted safe noloop mcast
  41 defnetclass noloop trusted safe mcast
  42 defnetclass link
  43 defnetclass mcast
  44 m4_divert(-1)
  45
  46 m4_divert(26)m4_dnl
  47 ###--------------------------------------------------------------------------
  48 ### Network layout.
  49
  50 ## House networks.
  51 defnet dmz trusted
  52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
  53         forwards unsafe untrusted
  54 defnet unsafe trusted
  55         addr 172.29.199.0/25 2001:470:9740:1::/64
  56         forwards househub
  57 defnet safe safe
  58         addr 172.29.199.192/27 2001:470:9740:4001::/64
  59         forwards househub
  60 defnet untrusted untrusted
  61         addr 172.29.198.0/25 2001:470:9740:8001::/64
  62         forwards househub
  63 defnet iodine untrusted
  64         addr 172.29.198.128/28
  65
  66 defnet househub virtual
  67         forwards housebdry dmz unsafe safe untrusted
  68 defnet housebdry virtual
  69         forwards househub hub
  70         noxit dmz
  71
  72 ## House hosts.
  73 defhost radius
  74         router
  75         iface eth0 dmz unsafe safe
  76         iface eth1 dmz unsafe safe
  77         iface eth2 safe
  78         iface eth3 untrusted
  79 defhost roadstar
  80         iface eth0 dmz unsafe
  81         iface eth1 dmz unsafe
  82 defhost jem
  83         iface eth0 dmz unsafe
  84         iface eth1 dmz unsafe
  85 defhost artist
  86         iface eth0 dmz unsafe
  87         iface eth1 dmz unsafe
  88 defhost vampire
  89         router
  90         iface eth0.0 dmz unsafe safe
  91         iface eth0.1 dmz unsafe safe
  92         iface eth0.2 safe
  93         iface eth0.3 untrusted
  94         iface dns0 dns
  95         iface vpn-+ vpn
  96         iface vpn-precision colobdry vpn
  97 defhost ibanez
  98         iface br-dmz dmz unsafe
  99         iface br-unsafe unsafe
 100
 101 defhost gibson
 102         iface eth0 unsafe
 103
 104 ## Colocated networks.
 105 defnet jump trusted
 106         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 107         forwards colohub
 108 defnet colo trusted
 109         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
 110         forwards colohub
 111 defnet colohub virtual
 112         forwards colobdry jump colo
 113 defnet colobdry virtual
 114         forwards colohub hub
 115         noxit jump
 116
 117 ## Colocated hosts.
 118 defhost fender
 119         iface br-jump jump colo
 120         iface br-colo jump colo
 121 defhost precision
 122         router
 123         iface eth0 jump colo
 124         iface eth1 jump colo
 125         iface vpn-+ vpn
 126         iface vpn-vampire housebdry vpn
 127 defhost telecaster
 128         iface eth0 jump colo
 129         iface eth1 jump colo
 130 defhost stratocaster
 131         iface eth0 jump colo
 132         iface eth1 jump colo
 133 defhost jazz
 134         iface eth0 jump colo
 135         iface eth1 jump colo
 136
 137 ## Other networks.
 138 defnet hub virtual
 139         forwards housebdry colobdry
 140 defnet vpn safe
 141         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
 142         forwards househub colohub
 143         host crybaby 1
 144         host terror 2
 145 defnet anycast trusted
 146         addr 172.29.199.224/27 2001:ba8:1d9:0::/64
 147         forwards dmz unsafe safe untrusted jump colo vpn
 148 defnet default untrusted
 149         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
 150         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 151         addr 2001:ba8:1d9::/48 #temporary
 152         forwards dmz unsafe untrusted jump colo
 153
 154 m4_divert(80)m4_dnl
 155 ###--------------------------------------------------------------------------
 156 ### Special forwarding exemptions.
 157
 158 case $forward in
 159   1)
 160
 161     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 162     ## hosts's fragment reassembly to be robust against malicious fragments.)
 163     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 164     ## of `! -f', so we do the negation using early return from a subchain.
 165     clearchain fwd-spec-nofrag
 166     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 167     run ip6tables -A fwd-spec-nofrag -j RETURN \
 168             -m ipv6header --soft --header frag
 169     run ip46tables -A FORWARD -j fwd-spec-nofrag
 170
 171     ## Allow ping from safe/noloop to untrusted networks.
 172     run iptables -A fwd-spec-nofrag -j ACCEPT \
 173             -p icmp --icmp-type echo-request \
 174             -m mark --mark $to_untrusted/$MASK_TO
 175     run iptables -A fwd-spec-nofrag -j ACCEPT \
 176             -p icmp --icmp-type echo-reply \
 177             -m mark --mark $from_untrusted/$MASK_FROM \
 178             -m state --state ESTABLISHED
 179     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 180             -p icmpv6 --icmpv6-type echo-request \
 181             -m mark --mark $to_untrusted/$MASK_TO
 182     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 183             -p icmpv6 --icmpv6-type echo-reply \
 184             -m mark --mark $from_untrusted/$MASK_FROM \
 185             -m state --state ESTABLISHED
 186
 187     ## Allow SSH from safe/noloop to untrusted networks.
 188     run iptables -A fwd-spec-nofrag -j ACCEPT \
 189             -p tcp --destination-port $port_ssh \
 190             -m mark --mark $to_untrusted/$MASK_TO
 191     run iptables -A fwd-spec-nofrag -j ACCEPT \
 192             -p tcp --source-port $port_ssh \
 193             -m mark --mark $from_untrusted/$MASK_FROM \
 194             -m state --state ESTABLISHED
 195     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 196             -p tcp --destination-port $port_ssh \
 197             -m mark --mark $to_untrusted/$MASK_TO
 198     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 199             -p tcp --source-port $port_ssh \
 200             -m mark --mark $from_untrusted/$MASK_FROM \
 201             -m state --state ESTABLISHED
 202
 203     ;;
 204 esac
 205
 206 m4_divert(80)m4_dnl
 207 ###--------------------------------------------------------------------------
 208 ### Kill things we don't understand properly.
 209 ###
 210 ### I don't like having to do this, but since I don't know how to do proper
 211 ### multicast filtering, I'm just going to ban it from being forwarded.
 212
 213 errorchain poorly-understood REJECT
 214
 215 ## Ban multicast destination addresses in forwarding.
 216 case $forward in
 217   1)
 218     run iptables -A FORWARD -g poorly-understood \
 219             -d 224.0.0.0/4
 220     run ip6tables -A FORWARD -g poorly-understood \
 221             -d ff::/8
 222     ;;
 223 esac
 224
 225 m4_divert(84)m4_dnl
 226 ###--------------------------------------------------------------------------
 227 ### Locally-bound packet inspection.
 228
 229 clearchain inbound
 230
 231 ## Track connections.
 232 commonrules inbound
 233 conntrack inbound
 234
 235 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 236 ## local request.
 237 run iptables -A inbound -j ACCEPT \
 238         -s 0.0.0.0 -d 255.255.255.255 \
 239         -p udp --source-port $port_bootpc --destination-port $port_bootps
 240 run iptables -A inbound -j ACCEPT \
 241         -s 172.29.198.0/23 \
 242         -p udp --source-port $port_bootpc --destination-port $port_bootps
 243
 244 ## Allow incoming ping.  This is the only ICMP left.
 245 run ip46tables -A inbound -j ACCEPT -p icmp
 246
 247 m4_divert(88)m4_dnl
 248 ## Allow unusual things.
 249 openports inbound
 250
 251 ## Inspect inbound packets from untrusted sources.
 252 run ip46tables -A inbound -j forbidden
 253 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 254
 255 ## Otherwise process as indicated by the mark.
 256 for i in $inchains; do
 257   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 258 done
 259
 260 m4_divert(-1)
 261 ###----- That's all, folks --------------------------------------------------