chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted mcast
  39 defnetclass trusted untrusted trusted safe noloop mcast
  40 defnetclass safe trusted safe noloop mcast
  41 defnetclass noloop trusted safe mcast
  42 defnetclass link
  43 defnetclass mcast
  44 m4_divert(-1)
  45
  46 m4_divert(26)m4_dnl
  47 ###--------------------------------------------------------------------------
  48 ### Network layout.
  49
  50 ## House networks.
  51 defnet dmz trusted
  52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
  53         forwards unsafe untrusted
  54 defnet unsafe trusted
  55         addr 172.29.199.0/25 2001:470:9740:1::/64
  56         forwards househub
  57 defnet safe safe
  58         addr 172.29.199.192/27 2001:470:9740:4001::/64
  59         forwards househub
  60 defnet untrusted untrusted
  61         addr 172.29.198.0/25 2001:470:9740:8001::/64
  62         forwards househub
  63 defnet vpn safe
  64         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
  65         forwards househub colohub
  66         host crybaby 1
  67         host terror 2
  68 defnet iodine untrusted
  69         addr 172.29.198.128/28
  70
  71 defnet househub virtual
  72         forwards housebdry dmz unsafe safe untrusted
  73 defnet housebdry virtual
  74         forwards househub hub
  75         noxit dmz
  76
  77 ## House hosts.
  78 defhost radius
  79         hosttype router
  80         iface eth0 dmz unsafe safe
  81         iface eth1 dmz unsafe safe
  82         iface eth2 safe
  83         iface eth3 untrusted
  84 defhost roadstar
  85         iface eth0 dmz unsafe
  86         iface eth1 dmz unsafe
  87 defhost jem
  88         iface eth0 dmz unsafe
  89         iface eth1 dmz unsafe
  90 defhost artist
  91         iface eth0 dmz unsafe
  92         iface eth1 dmz unsafe
  93 defhost vampire
  94         hosttype router
  95         iface eth0.0 dmz unsafe safe default
  96         iface eth0.1 dmz unsafe safe default
  97         iface eth0.2 safe
  98         iface eth0.3 untrusted default
  99         iface dns0 dns
 100         iface vpn-+ vpn
 101         iface vpn-precision colobdry vpn
 102         iface t6-he default
 103 defhost ibanez
 104         iface br-dmz dmz unsafe
 105         iface br-unsafe unsafe
 106
 107 defhost gibson
 108         hosttype client
 109         iface eth0 unsafe
 110
 111 ## Colocated networks.
 112 defnet jump trusted
 113         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 114         forwards colohub
 115 defnet colo trusted
 116         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
 117         forwards colohub
 118 defnet colohub virtual
 119         forwards colobdry jump colo
 120 defnet colobdry virtual
 121         forwards colohub hub
 122         noxit jump
 123
 124 ## Colocated hosts.
 125 defhost fender
 126         iface br-jump jump colo
 127         iface br-colo jump colo
 128 defhost precision
 129         hosttype router
 130         iface eth0 jump colo
 131         iface eth1 jump colo
 132         iface vpn-+ vpn
 133         iface vpn-vampire housebdry vpn
 134 defhost telecaster
 135         iface eth0 jump colo
 136         iface eth1 jump colo
 137 defhost stratocaster
 138         iface eth0 jump colo
 139         iface eth1 jump colo
 140 defhost jazz
 141         iface eth0 jump colo
 142         iface eth1 jump colo
 143
 144 ## Other networks.
 145 defnet hub virtual
 146         forwards housebdry colobdry
 147 defnet default untrusted
 148         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
 149         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 150         addr 2001:ba8:1d9::/48 #temporary
 151         forwards dmz untrusted unsafe jump colo
 152
 153 m4_divert(80)m4_dnl
 154 ###--------------------------------------------------------------------------
 155 ### Special forwarding exemptions.
 156
 157 case $forward in
 158   1)
 159
 160     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 161     ## hosts's fragment reassembly to be robust against malicious fragments.)
 162     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 163     ## of `! -f', so we do the negation using early return from a subchain.
 164     clearchain fwd-spec-nofrag
 165     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 166     run ip6tables -A fwd-spec-nofrag -j RETURN \
 167             -m ipv6header --soft --header frag
 168     run ip46tables -A FORWARD -j fwd-spec-nofrag
 169
 170     ## Allow ping from safe/noloop to untrusted networks.
 171     run iptables -A fwd-spec-nofrag -j ACCEPT \
 172             -p icmp --icmp-type echo-request \
 173             -m mark --mark $to_untrusted/$MASK_TO
 174     run iptables -A fwd-spec-nofrag -j ACCEPT \
 175             -p icmp --icmp-type echo-reply \
 176             -m mark --mark $from_untrusted/$MASK_FROM \
 177             -m state --state ESTABLISHED
 178     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 179             -p icmpv6 --icmpv6-type echo-request \
 180             -m mark --mark $to_untrusted/$MASK_TO
 181     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 182             -p icmpv6 --icmpv6-type echo-reply \
 183             -m mark --mark $from_untrusted/$MASK_FROM \
 184             -m state --state ESTABLISHED
 185
 186     ## Allow SSH from safe/noloop to untrusted networks.
 187     run iptables -A fwd-spec-nofrag -j ACCEPT \
 188             -p tcp --destination-port $port_ssh \
 189             -m mark --mark $to_untrusted/$MASK_TO
 190     run iptables -A fwd-spec-nofrag -j ACCEPT \
 191             -p tcp --source-port $port_ssh \
 192             -m mark --mark $from_untrusted/$MASK_FROM \
 193             -m state --state ESTABLISHED
 194     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 195             -p tcp --destination-port $port_ssh \
 196             -m mark --mark $to_untrusted/$MASK_TO
 197     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 198             -p tcp --source-port $port_ssh \
 199             -m mark --mark $from_untrusted/$MASK_FROM \
 200             -m state --state ESTABLISHED
 201
 202     ;;
 203 esac
 204
 205 m4_divert(80)m4_dnl
 206 ###--------------------------------------------------------------------------
 207 ### Kill things we don't understand properly.
 208 ###
 209 ### I don't like having to do this, but since I don't know how to do proper
 210 ### multicast filtering, I'm just going to ban it from being forwarded.
 211
 212 errorchain poorly-understood REJECT
 213
 214 ## Ban multicast destination addresses in forwarding.
 215 case $forward in
 216   1)
 217     run iptables -A FORWARD -g poorly-understood \
 218             -d 224.0.0.0/4
 219     run ip6tables -A FORWARD -g poorly-understood \
 220             -d ff::/8
 221     ;;
 222 esac
 223
 224 m4_divert(84)m4_dnl
 225 ###--------------------------------------------------------------------------
 226 ### Locally-bound packet inspection.
 227
 228 clearchain inbound
 229
 230 ## Track connections.
 231 commonrules inbound
 232 conntrack inbound
 233
 234 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 235 ## local request.
 236 run iptables -A inbound -j ACCEPT \
 237         -s 0.0.0.0 -d 255.255.255.255 \
 238         -p udp --source-port $port_bootpc --destination-port $port_bootps
 239 run iptables -A inbound -j ACCEPT \
 240         -s 172.29.198.0/23 \
 241         -p udp --source-port $port_bootpc --destination-port $port_bootps
 242
 243 ## Allow incoming ping.  This is the only ICMP left.
 244 run ip46tables -A inbound -j ACCEPT -p icmp
 245
 246 m4_divert(88)m4_dnl
 247 ## Allow unusual things.
 248 openports inbound
 249
 250 ## Inspect inbound packets from untrusted sources.
 251 run ip46tables -A inbound -j forbidden
 252 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 253
 254 ## Otherwise process as indicated by the mark.
 255 for i in $inchains; do
 256   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 257 done
 258
 259 m4_divert(-1)
 260 ###----- That's all, folks --------------------------------------------------