chiark - git - mdw - firewall/blob - local.m4

   1 ### -*-sh-*-
   2 ###
   3 ### Local firewall configuration
   4 ###
   5 ### (c) 2008 Mark Wooding
   6 ###
   7
   8 ###----- Licensing notice ---------------------------------------------------
   9 ###
  10 ### This program is free software; you can redistribute it and/or modify
  11 ### it under the terms of the GNU General Public License as published by
  12 ### the Free Software Foundation; either version 2 of the License, or
  13 ### (at your option) any later version.
  14 ###
  15 ### This program is distributed in the hope that it will be useful,
  16 ### but WITHOUT ANY WARRANTY; without even the implied warranty of
  17 ### MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18 ### GNU General Public License for more details.
  19 ###
  20 ### You should have received a copy of the GNU General Public License
  21 ### along with this program; if not, write to the Free Software Foundation,
  22 ### Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
  23
  24 ###--------------------------------------------------------------------------
  25 ### Local configuration.
  26
  27 m4_divert(6)m4_dnl
  28 ## Default NTP servers.
  29 defconf(ntp_servers,
  30         "158.152.1.76 158.152.1.204 194.159.253.2 195.173.57.232")
  31
  32 m4_divert(-1)
  33 ###--------------------------------------------------------------------------
  34 ### Packet classification.
  35
  36 ## Define the available network classes.
  37 m4_divert(42)m4_dnl
  38 defnetclass untrusted untrusted trusted mcast
  39 defnetclass trusted untrusted trusted safe noloop mcast
  40 defnetclass safe trusted safe noloop mcast
  41 defnetclass noloop trusted safe mcast
  42 defnetclass link
  43 defnetclass mcast
  44 m4_divert(-1)
  45
  46 m4_divert(26)m4_dnl
  47 ###--------------------------------------------------------------------------
  48 ### Network layout.
  49
  50 ## House networks.
  51 defnet dmz trusted
  52         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
  53         forwards unsafe untrusted
  54 defnet unsafe trusted
  55         addr 172.29.199.0/25 2001:470:9740:1::/64
  56         forwards househub
  57 defnet safe safe
  58         addr 172.29.199.192/27 2001:470:9740:4001::/64
  59         forwards househub
  60 defnet untrusted untrusted
  61         addr 172.29.198.0/25 2001:470:9740:8001::/64
  62         forwards househub
  63 defnet iodine untrusted
  64         addr 172.29.198.128/28
  65
  66 defnet househub virtual
  67         forwards housebdry dmz unsafe safe untrusted
  68 defnet housebdry virtual
  69         forwards househub hub
  70         noxit dmz
  71
  72 ## House hosts.
  73 defhost radius
  74         router
  75         iface eth0 dmz unsafe safe
  76         iface eth1 dmz unsafe safe
  77         iface eth2 safe
  78         iface eth3 untrusted
  79 defhost roadstar
  80         iface eth0 dmz unsafe
  81         iface eth1 dmz unsafe
  82 defhost jem
  83         iface eth0 dmz unsafe
  84         iface eth1 dmz unsafe
  85 defhost artist
  86         iface eth0 dmz unsafe
  87         iface eth1 dmz unsafe
  88 defhost vampire
  89         router
  90         iface eth0.0 dmz unsafe safe
  91         iface eth0.1 dmz unsafe safe
  92         iface eth0.2 safe
  93         iface eth0.3 untrusted
  94         iface dns0 iodine
  95         iface vpn-precision colobdry vpn
  96         iface vpn-chiark sgo
  97         iface vpn-+ vpn
  98 defhost ibanez
  99         iface br-dmz dmz unsafe
 100         iface br-unsafe unsafe
 101
 102 defhost gibson
 103         iface eth0 unsafe
 104
 105 ## Colocated networks.
 106 defnet jump trusted
 107         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 108         forwards colohub
 109 defnet colo trusted
 110         addr 172.29.199.176/28 2001:ba8:1d9:2::/64
 111         forwards colohub
 112 defnet colohub virtual
 113         forwards colobdry jump colo
 114 defnet colobdry virtual
 115         forwards colohub hub
 116         noxit jump
 117
 118 ## Colocated hosts.
 119 defhost fender
 120         iface br-jump jump colo
 121         iface br-colo jump colo
 122 defhost precision
 123         router
 124         iface eth0 jump colo
 125         iface eth1 jump colo
 126         iface vpn-vampire housebdry vpn
 127         iface vpn-chiark sgo
 128         iface vpn-+ vpn
 129 defhost telecaster
 130         iface eth0 jump colo
 131         iface eth1 jump colo
 132 defhost stratocaster
 133         iface eth0 jump colo
 134         iface eth1 jump colo
 135 defhost jazz
 136         iface eth0 jump colo
 137         iface eth1 jump colo
 138
 139 ## Other networks.
 140 defnet hub virtual
 141         forwards housebdry colobdry
 142 defnet sgo noloop
 143         addr !172.29.198.0/23
 144         addr 10.0.0.0/8
 145         addr 172.16.0.0/12
 146         addr 192.168.0.0/16
 147         forwards househub colohub
 148 defnet vpn safe
 149         addr 172.29.199.128/27 2001:ba8:1d9:6000::/64
 150         forwards househub colohub
 151         host crybaby 1
 152         host terror 2
 153 defnet anycast trusted
 154         addr 172.29.199.224/27 2001:ba8:1d9:0::/64
 155         forwards dmz unsafe safe untrusted jump colo vpn
 156 defnet default untrusted
 157         addr 62.49.204.144/28 2001:470:1f09:1b98::/64
 158         addr 212.13.198.64/28 2001:ba8:0:1d9::/64
 159         addr 2001:ba8:1d9::/48 #temporary
 160         forwards dmz unsafe untrusted jump colo
 161
 162 m4_divert(80)m4_dnl
 163 ###--------------------------------------------------------------------------
 164 ### Special forwarding exemptions.
 165
 166 case $forward in
 167   1)
 168
 169     ## Only allow these packets if they're not fragmented.  (Don't trust safe
 170     ## hosts's fragment reassembly to be robust against malicious fragments.)
 171     ## There's a hideous bug in iptables 1.4.11.1 which botches the meaning
 172     ## of `! -f', so we do the negation using early return from a subchain.
 173     clearchain fwd-spec-nofrag
 174     run iptables -A fwd-spec-nofrag -j RETURN --fragment
 175     run ip6tables -A fwd-spec-nofrag -j RETURN \
 176             -m ipv6header --soft --header frag
 177     run ip46tables -A FORWARD -j fwd-spec-nofrag
 178
 179     ## Allow ping from safe/noloop to untrusted networks.
 180     run iptables -A fwd-spec-nofrag -j ACCEPT \
 181             -p icmp --icmp-type echo-request \
 182             -m mark --mark $to_untrusted/$MASK_TO
 183     run iptables -A fwd-spec-nofrag -j ACCEPT \
 184             -p icmp --icmp-type echo-reply \
 185             -m mark --mark $from_untrusted/$MASK_FROM \
 186             -m state --state ESTABLISHED
 187     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 188             -p icmpv6 --icmpv6-type echo-request \
 189             -m mark --mark $to_untrusted/$MASK_TO
 190     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 191             -p icmpv6 --icmpv6-type echo-reply \
 192             -m mark --mark $from_untrusted/$MASK_FROM \
 193             -m state --state ESTABLISHED
 194
 195     ## Allow SSH from safe/noloop to untrusted networks.
 196     run iptables -A fwd-spec-nofrag -j ACCEPT \
 197             -p tcp --destination-port $port_ssh \
 198             -m mark --mark $to_untrusted/$MASK_TO
 199     run iptables -A fwd-spec-nofrag -j ACCEPT \
 200             -p tcp --source-port $port_ssh \
 201             -m mark --mark $from_untrusted/$MASK_FROM \
 202             -m state --state ESTABLISHED
 203     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 204             -p tcp --destination-port $port_ssh \
 205             -m mark --mark $to_untrusted/$MASK_TO
 206     run ip6tables -A fwd-spec-nofrag -j ACCEPT \
 207             -p tcp --source-port $port_ssh \
 208             -m mark --mark $from_untrusted/$MASK_FROM \
 209             -m state --state ESTABLISHED
 210
 211     ;;
 212 esac
 213
 214 m4_divert(80)m4_dnl
 215 ###--------------------------------------------------------------------------
 216 ### Kill things we don't understand properly.
 217 ###
 218 ### I don't like having to do this, but since I don't know how to do proper
 219 ### multicast filtering, I'm just going to ban it from being forwarded.
 220
 221 errorchain poorly-understood REJECT
 222
 223 ## Ban multicast destination addresses in forwarding.
 224 case $forward in
 225   1)
 226     run iptables -A FORWARD -g poorly-understood \
 227             -d 224.0.0.0/4
 228     run ip6tables -A FORWARD -g poorly-understood \
 229             -d ff::/8
 230     ;;
 231 esac
 232
 233 m4_divert(84)m4_dnl
 234 ###--------------------------------------------------------------------------
 235 ### Locally-bound packet inspection.
 236
 237 clearchain inbound
 238
 239 ## Track connections.
 240 commonrules inbound
 241 conntrack inbound
 242
 243 ## Allow incoming bootp.  Bootp won't be forwarded, so this is obviously a
 244 ## local request.
 245 run iptables -A inbound -j ACCEPT \
 246         -s 0.0.0.0 -d 255.255.255.255 \
 247         -p udp --source-port $port_bootpc --destination-port $port_bootps
 248 run iptables -A inbound -j ACCEPT \
 249         -s 172.29.198.0/23 \
 250         -p udp --source-port $port_bootpc --destination-port $port_bootps
 251
 252 ## Allow incoming ping.  This is the only ICMP left.
 253 run ip46tables -A inbound -j ACCEPT -p icmp
 254
 255 m4_divert(88)m4_dnl
 256 ## Allow unusual things.
 257 openports inbound
 258
 259 ## Inspect inbound packets from untrusted sources.
 260 run ip46tables -A inbound -j forbidden
 261 run ip46tables -A INPUT -m mark --mark $from_untrusted/$MASK_FROM -g inbound
 262
 263 ## Otherwise process as indicated by the mark.
 264 for i in $inchains; do
 265   run ip46tables -A $i -m mark ! --mark 0/$MASK_MASK -j ACCEPT
 266 done
 267
 268 m4_divert(-1)
 269 ###----- That's all, folks --------------------------------------------------