chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted
  39 defnetclass trusted untrusted trusted safe noloop
  40 defnetclass safe trusted safe noloop
  41 defnetclass noloop trusted safe
  42 m4_divert(-1)
  43
  44 m4_divert(26)m4_dnl
  45 ###--------------------------------------------------------------------------
  46 ### Network layout.
  47
  48 ## House networks.
  49 defnet dmz trusted
  50         addr 62.49.204.144/28
  51         forwards unsafe untrusted
  52 defnet unsafe trusted
  53         addr 172.29.199.0/25
  54         forwards househub
  55 defnet safe safe
  56         addr 172.29.199.192/28
  57         forwards househub
  58 defnet untrusted untrusted
  59         addr 172.29.198.0/25
  60         forwards househub
  61 defnet vpn safe
  62         addr 172.29.199.128/27
  63         forwards househub colohub
  64         host crybaby 1
  65         host terror 2
  66 defnet iodine untrusted
  67         addr 172.29.198.128/28
  68
  69 defnet househub virtual
  70         forwards housebdry dmz unsafe safe untrusted
  71 defnet housebdry virtual
  72         forwards househub hub
  73         noxit dmz
  74
  75 ## House hosts.
  76 defhost radius
  77         router
  78         iface eth0 dmz unsafe safe
  79         iface eth1 dmz unsafe safe
  80         iface eth2 safe
  81         iface eth3 untrusted
  82 defhost roadstar
  83         iface eth0 dmz unsafe
  84         iface eth1 dmz unsafe
  85 defhost jem
  86         iface eth0 dmz unsafe
  87         iface eth1 dmz unsafe
  88 defhost artist
  89         iface eth0 dmz unsafe
  90         iface eth1 dmz unsafe
  91 defhost vampire
  92         router
  93         iface eth0.0 dmz unsafe safe
  94         iface eth0.1 dmz unsafe safe
  95         iface eth0.2 safe
  96         iface eth0.3 untrusted
  97         iface dns0 dns
  98         iface vpn-+ vpn
  99         iface vpn-precision colobdry vpn
 100 defhost ibanez
 101         iface br-dmz dmz unsafe
 102         iface br-unsafe unsafe
 103
 104 defhost gibson
 105         iface eth0 unsafe
 106
 107 ## Colocated networks.
 108 defnet jump trusted
 109         addr 212.13.198.64/28
 110         forwards colohub
 111 defnet colo trusted
 112         addr 172.29.199.176/28
 113         forwards colohub
 114 defnet colohub virtual
 115         forwards colobdry jump colo
 116 defnet colobdry virtual
 117         forwards colohub hub
 118         noxit jump
 119
 120 ## Colocated hosts.
 121 defhost fender
 122         iface br-jump jump colo
 123         iface br-colo jump colo
 124 defhost precision
 125         router
 126         iface eth0 jump colo
 127         iface eth1 jump colo
 128         iface vpn-+ vpn
 129         iface vpn-vampire housebdry vpn
 130 defhost telecaster
 131         iface eth0 jump colo
 132         iface eth1 jump colo
 133 defhost stratocaster
 134         iface eth0 jump colo
 135         iface eth1 jump colo
 136 defhost jazz
 137         iface eth0 jump colo
 138         iface eth1 jump colo
 139
 140 ## Other networks.
 141 defnet hub virtual
 142         forwards housebdry colobdry
 143 defnet default untrusted
 144         addr 62.49.204.144/28
 145         addr 212.13.198.64/28
 146         forwards dmz untrusted unsafe jump colo
 147
 148 m4_divert(80)m4_dnl
 149 ###--------------------------------------------------------------------------
 150 ### Special forwarding exemptions.
 151
 152 case $forward in
 153   1)
 154
 155     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 156     ## hosts's fragment reassembly to be robust against malicious fragments.)
 157     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 158     ## of `! -f', so we do the negation using early return from a subchain.
 159     clearchain fwd-spec-nofrag
 160     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 161     run ip6tables -A fwd-spec-nofrag -j RETURN \
 162             -m ipv6header --soft --header frag
 163     run iptables -A FORWARD -j fwd-spec-nofrag
 164
 165     ## Allow ping from safe/noloop to untrusted networks.
 166     run iptables -A fwd-spec-nofrag -j ACCEPT \
 167             -p icmp --icmp-type echo-request \
 168             -m mark --mark $to_untrusted/$MASK_TO
 169     run iptables -A fwd-spec-nofrag -j ACCEPT \
 170             -p icmp --icmp-type echo-reply \
 171             -m mark --mark $from_untrusted/$MASK_FROM \
 172             -m state --state ESTABLISHED
 173     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 174             -p ipv6-icmp --icmpv6-type echo-request \
 175             -m mark --mark $to_untrusted/$MASK_TO
 176     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 177             -p ipv6-icmp --icmpv6-type echo-reply \
 178             -m mark --mark $from_untrusted/$MASK_FROM \
 179             -m state --state ESTABLISHED
 180
 181     ## Allow SSH from safe/noloop to untrusted networks.
 182     run iptables -A fwd-spec-nofrag -j ACCEPT \
 183             -p tcp --destination-port $port_ssh \
 184             -m mark --mark $to_untrusted/$MASK_TO
 185     run iptables -A fwd-spec-nofrag -j ACCEPT \
 186             -p tcp --source-port $port_ssh \
 187             -m mark --mark $from_untrusted/$MASK_FROM \
 188             -m state --state ESTABLISHED
 189     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 190             -p tcp --destination-port $port_ssh \
 191             -m mark --mark $to_untrusted/$MASK_TO
 192     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 193             -p tcp --source-port $port_ssh \
 194             -m mark --mark $from_untrusted/$MASK_FROM \
 195             -m state --state ESTABLISHED
 196
 197     ;;
 198 esac
 199
 200 m4_divert(80)m4_dnl
 201 ###--------------------------------------------------------------------------
 202 ### Kill things we don't understand properly.
 203 ###
 204 ### I don't like having to do this, but since I don't know how to do proper
 205 ### multicast filtering, I'm just going to ban it from being forwarded.
 206
 207 errorchain poorly-understood REJECT
 208
 209 ## Ban multicast destination addresses in forwarding.
 210 case $forward in
 211   1)
 212     run iptables -A FORWARD -g poorly-understood \
 213             -d 224.0.0.0/4
 214     run ip6tables -A FORWARD -g poorly-understood \
 215             -d ff::/8
 216     ;;
 217 esac
 218
 219 m4_divert(84)m4_dnl
 220 ###--------------------------------------------------------------------------
 221 ### Locally-bound packet inspection.
 222
 223 clearchain inbound
 224
 225 ## Track connections.
 226 commonrules inbound
 227 conntrack inbound
 228
 229 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 230 ## local request.
 231 run iptables -A inbound -j ACCEPT \
 232         -s 0.0.0.0 -d 255.255.255.255 \
 233         -p udp --source-port $port_bootpc --destination-port $port_bootps
 234 run iptables -A inbound -j ACCEPT \
 235         -s 172.29.198.0/23 \
 236         -p udp --source-port $port_bootpc --destination-port $port_bootps
 237
 238 ## Incoming multicast on a network interface associated with a trusted
 239 ## network is OK, since it must have originated there (or been forwarded, but
 240 ## we don't do that yet).
 241 seen=:-:
 242 for net in $allnets; do
 243   eval class=\$net_class_$net
 244   case $class in trusted) ;; *) continue ;; esac
 245   for iface in $(net_interfaces FWHOST $net); do
 246     case "$seen" in *:$iface:*) continue ;; esac
 247     seen=$seen$iface:
 248     run iptables -A inbound -j ACCEPT \
 249         -s 0.0.0.0 -d 224.0.0.0/24 \
 250         -i $iface
 251   done
 252 done
 253
 254 ## Allow incoming ping.  This is the only ICMP left.
 255 run ip46tables -A inbound -j ACCEPT -p icmp
 256
 257 m4_divert(88)m4_dnl
 258 ## Allow unusual things.
 259 openports inbound
 260
 261 ## Inspect inbound packets from untrusted sources.
 262 run ip46tables -A inbound -j forbidden
 263 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 264
 265 ## Otherwise process as indicated by the mark.
 266 run ip46tables -A INPUT -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 267 case $forward in
 268   1)
 269     run ip46tables -A FORWARD -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 270     ;;
 271 esac
 272
 273 m4_divert(-1)
 274 ###----- That's all, folks --------------------------------------------------