etc/rc.firewall6

   1 #!/bin/sh -
   2 ############
   3 # Setup system for IPv6 firewall service.
   4 # $FreeBSD$
   5
   6 # Suck in the configuration variables.
   7 if [ -z "${source_rc_confs_defined}" ]; then
   8         if [ -r /etc/defaults/rc.conf ]; then
   9                 . /etc/defaults/rc.conf
  10                 source_rc_confs
  11         elif [ -r /etc/rc.conf ]; then
  12                 . /etc/rc.conf
  13         fi
  14 fi
  15
  16 ############
  17 # Define the firewall type in /etc/rc.conf.  Valid values are:
  18 #   open     - will allow anyone in
  19 #   client   - will try to protect just this machine
  20 #   simple   - will try to protect a whole network
  21 #   closed   - totally disables IP services except via lo0 interface
  22 #   UNKNOWN  - disables the loading of firewall rules.
  23 #   filename - will load the rules in the given filename (full path required)
  24 #
  25 # For ``client'' and ``simple'' the entries below should be customized
  26 # appropriately.
  27
  28 ############
  29 #
  30 # If you don't know enough about packet filtering, we suggest that you
  31 # take time to read this book:
  32 #
  33 #       Building Internet Firewalls, 2nd Edition
  34 #       Brent Chapman and Elizabeth Zwicky
  35 #
  36 #       O'Reilly & Associates, Inc
  37 #       ISBN 1-56592-871-7
  38 #       http://www.ora.com/
  39 #       http://www.oreilly.com/catalog/fire2/
  40 #
  41 # For a more advanced treatment of Internet Security read:
  42 #
  43 #       Firewalls & Internet Security
  44 #       Repelling the wily hacker
  45 #       William R. Cheswick, Steven M. Bellowin
  46 #
  47 #       Addison-Wesley
  48 #       ISBN 0-201-63357-4
  49 #       http://www.awl.com/
  50 #       http://www.awlonline.com/product/0%2C2627%2C0201633574%2C00.html
  51 #
  52
  53 setup_local () {
  54         ############
  55         # Only in rare cases do you want to change these rules
  56         #
  57         ${fw6cmd} add 100 pass ip6 from any to any via lo0
  58         ${fw6cmd} add 200 deny ip6 from any to ::1
  59         ${fw6cmd} add 300 deny ip6 from ::1 to any
  60         #
  61         # ND
  62         #
  63         # DAD
  64         ${fw6cmd} add pass ip6 from :: to ff02::/16 proto ipv6-icmp
  65         # RS, RA, NS, NA, redirect...
  66         ${fw6cmd} add pass ip6 from fe80::/10 to fe80::/10 proto ipv6-icmp
  67         ${fw6cmd} add pass ip6 from fe80::/10 to ff02::/16 proto ipv6-icmp
  68 }
  69
  70 if [ -n "${1}" ]; then
  71         ipv6_firewall_type="${1}"
  72 fi
  73
  74 ############
  75 # Set quiet mode if requested
  76 #
  77 case ${ipv6_firewall_quiet} in
  78 [Yy][Ee][Ss])
  79         fw6cmd="/sbin/ipfw -q"
  80         ;;
  81 *)
  82         fw6cmd="/sbin/ipfw"
  83         ;;
  84 esac
  85
  86 ############
  87 # Flush out the list before we begin.
  88 #
  89 ${fw6cmd} -f flush
  90
  91 ############
  92 # If you just configured ipfw in the kernel as a tool to solve network
  93 # problems or you just want to disallow some particular kinds of traffic
  94 # then you will want to change the default policy to open.  You can also
  95 # do this as your only action by setting the ipv6_firewall_type to ``open''.
  96 #
  97 # ${fw6cmd} add 65000 pass all from any to any
  98
  99
 100 # Prototype setups.
 101 #
 102 case ${ipv6_firewall_type} in
 103 [Oo][Pp][Ee][Nn])
 104         setup_local
 105         ${fw6cmd} add 65000 pass ip6 from any to any
 106         ;;
 107
 108 [Cc][Ll][Ii][Ee][Nn][Tt])
 109         ############
 110         # This is a prototype setup that will protect your system somewhat
 111         # against people from outside your own network.
 112         ############
 113
 114         # set these to your network and prefixlen and ip
 115         #
 116         # This needs more work
 117         #
 118         net="2001:db8:2:1::"
 119         prefixlen="64"
 120         ip="2001:db8:2:1::1"
 121
 122         setup_local
 123
 124         # Allow any traffic to or from my own net.
 125         ${fw6cmd} add pass ip6 from ${ip} to ${net}/${prefixlen}
 126         ${fw6cmd} add pass ip6 from ${net}/${prefixlen} to ${ip}
 127
 128         # Allow any link-local multicast traffic
 129         ${fw6cmd} add pass ip6 from fe80::/10 to ff02::/16
 130         ${fw6cmd} add pass ip6 from ${net}/${prefixlen} to ff02::/16
 131
 132         # Allow TCP through if setup succeeded
 133         ${fw6cmd} add pass ip6 from any to any established proto tcp
 134
 135         # Allow IP fragments to pass through
 136         ${fw6cmd} add pass ip6 from any to any frag
 137
 138         # Allow setup of incoming email
 139         ${fw6cmd} add pass ip6 from any to ${ip} 25 setup proto tcp
 140
 141         # Allow setup of outgoing TCP connections only
 142         ${fw6cmd} add pass ip6 from ${ip} to any setup proto tcp
 143
 144         # Disallow setup of all other TCP connections
 145         ${fw6cmd} add deny ip6 from any to any setup proto tcp
 146
 147         # Allow DNS queries out in the world
 148         ${fw6cmd} add pass ip6 from any 53 to ${ip} proto udp
 149         ${fw6cmd} add pass ip6 from ${ip} to any 53 proto udp
 150
 151         # Allow NTP queries out in the world
 152         ${fw6cmd} add pass ip6 from any 123 to ${ip} proto udp
 153         ${fw6cmd} add pass ip6 from ${ip} to any 123 proto udp
 154
 155         # Allow ICMPv6 destination unreach
 156         ${fw6cmd} add pass ip6 from any to any icmp6types 1 proto ipv6-icmp
 157
 158         # Allow NS/NA/toobig (don't filter it out)
 159         ${fw6cmd} add pass ip6 from any to any icmp6types 2,135,136 \
 160             proto ipv6-icmp
 161
 162         # Everything else is denied by default, unless the
 163         # IPV6FIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
 164         # config file.
 165         ;;
 166
 167 [Ss][Ii][Mm][Pp][Ll][Ee])
 168         ############
 169         # This is a prototype setup for a simple firewall.  Configure this
 170         # machine as a DNS and NTP server, and point all the machines
 171         # on the inside at this machine for those services.
 172         ############
 173
 174         # set these to your outside interface network and prefixlen and ip
 175         oif="ed0"
 176         onet="2001:db8:2:1::"
 177         oprefixlen="64"
 178         oip="2001:db8:2:1::1"
 179
 180         # set these to your inside interface network and prefixlen and ip
 181         iif="ed1"
 182         inet="2001:db8:2:2::"
 183         iprefixlen="64"
 184         iip="2001:db8:2:2::1"
 185
 186         setup_local
 187
 188         # Stop spoofing
 189         ${fw6cmd} add deny ip6 from ${inet}/${iprefixlen} to any in via ${oif}
 190         ${fw6cmd} add deny ip6 from ${onet}/${oprefixlen} to any in via ${iif}
 191
 192         # Stop unique local unicast address on the outside interface
 193         ${fw6cmd} add deny ip6 from fc00::/7 to any via ${oif}
 194         ${fw6cmd} add deny ip6 from any to fc00::/7 via ${oif}
 195
 196         # Stop site-local on the outside interface
 197         ${fw6cmd} add deny ip6 from fec0::/10 to any via ${oif}
 198         ${fw6cmd} add deny ip6 from any to fec0::/10 via ${oif}
 199
 200         # Disallow "internal" addresses to appear on the wire.
 201         ${fw6cmd} add deny ip6 from ::ffff:0.0.0.0/96 to any via ${oif}
 202         ${fw6cmd} add deny ip6 from any to ::ffff:0.0.0.0/96 via ${oif}
 203
 204         # Disallow packets to malicious IPv4 compatible prefix.
 205         ${fw6cmd} add deny ip6 from ::224.0.0.0/100 to any via ${oif}
 206         ${fw6cmd} add deny ip6 from any to ::224.0.0.0/100 via ${oif}
 207         ${fw6cmd} add deny ip6 from ::127.0.0.0/104 to any via ${oif}
 208         ${fw6cmd} add deny ip6 from any to ::127.0.0.0/104 via ${oif}
 209         ${fw6cmd} add deny ip6 from ::0.0.0.0/104 to any via ${oif}
 210         ${fw6cmd} add deny ip6 from any to ::0.0.0.0/104 via ${oif}
 211         ${fw6cmd} add deny ip6 from ::255.0.0.0/104 to any via ${oif}
 212         ${fw6cmd} add deny ip6 from any to ::255.0.0.0/104 via ${oif}
 213
 214         ${fw6cmd} add deny ip6 from ::0.0.0.0/96 to any via ${oif}
 215         ${fw6cmd} add deny ip6 from any to ::0.0.0.0/96 via ${oif}
 216
 217         # Disallow packets to malicious 6to4 prefix.
 218         ${fw6cmd} add deny ip6 from 2002:e000::/20 to any via ${oif}
 219         ${fw6cmd} add deny ip6 from any to 2002:e000::/20 via ${oif}
 220         ${fw6cmd} add deny ip6 from 2002:7f00::/24 to any via ${oif}
 221         ${fw6cmd} add deny ip6 from any to 2002:7f00::/24 via ${oif}
 222         ${fw6cmd} add deny ip6 from 2002:0000::/24 to any via ${oif}
 223         ${fw6cmd} add deny ip6 from any to 2002:0000::/24 via ${oif}
 224         ${fw6cmd} add deny ip6 from 2002:ff00::/24 to any via ${oif}
 225         ${fw6cmd} add deny ip6 from any to 2002:ff00::/24 via ${oif}
 226
 227         ${fw6cmd} add deny ip6 from 2002:0a00::/24 to any via ${oif}
 228         ${fw6cmd} add deny ip6 from any to 2002:0a00::/24 via ${oif}
 229         ${fw6cmd} add deny ip6 from 2002:ac10::/28 to any via ${oif}
 230         ${fw6cmd} add deny ip6 from any to 2002:ac10::/28 via ${oif}
 231         ${fw6cmd} add deny ip6 from 2002:c0a8::/32 to any via ${oif}
 232         ${fw6cmd} add deny ip6 from any to 2002:c0a8::/32 via ${oif}
 233
 234         ${fw6cmd} add deny ip6 from ff05::/16 to any via ${oif}
 235         ${fw6cmd} add deny ip6 from any to ff05::/16 via ${oif}
 236
 237         # Allow TCP through if setup succeeded
 238         ${fw6cmd} add pass tcp from any to any established
 239
 240         # Allow IP fragments to pass through
 241         ${fw6cmd} add pass ip6 from any to any frag
 242
 243         # Allow setup of incoming email
 244         ${fw6cmd} add pass ip6 from any to ${oip} 25 setup proto tcp
 245
 246         # Allow access to our DNS
 247         ${fw6cmd} add pass ip6 from any to ${oip} 53 setup proto tcp
 248         ${fw6cmd} add pass ip6 from any to ${oip} 53 proto udp
 249         ${fw6cmd} add pass ip6 from ${oip} 53 to any proto udp
 250
 251         # Allow access to our WWW
 252         ${fw6cmd} add pass ip6 from any to ${oip} 80 setup proto tcp
 253
 254         # Reject&Log all setup of incoming connections from the outside
 255         ${fw6cmd} add deny log ip6 from any to any in via ${oif} setup \
 256             proto tcp
 257
 258         # Allow setup of any other TCP connection
 259         ${fw6cmd} add pass ip6 from any to any setup proto tcp
 260
 261         # Allow DNS queries out in the world
 262         ${fw6cmd} add pass ip6 from any 53 to ${oip} proto udp
 263         ${fw6cmd} add pass ip6 from ${oip} to any 53 proto udp
 264
 265         # Allow NTP queries out in the world
 266         ${fw6cmd} add pass ip6 from any 123 to ${oip} proto udp
 267         ${fw6cmd} add pass ip6 from ${oip} to any 123 proto udp
 268
 269         # Allow RIPng
 270         #${fw6cmd} add pass ip6 from fe80::/10 521 to ff02::9 521 proto udp
 271         #${fw6cmd} add pass ip6 from fe80::/10 521 to fe80::/10 521 proto udp
 272
 273         # Allow ICMPv6 destination unreach
 274         ${fw6cmd} add pass ip6 from any to any icmp6types 1 proto ipv6-icmp
 275
 276         # Allow NS/NA/toobig (don't filter it out)
 277         ${fw6cmd} add pass ip6 from any to any icmp6types 2,135,136 \
 278              proto ipv6-icmp
 279
 280         # Everything else is denied by default, unless the
 281         # IPV6FIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
 282         # config file.
 283         ;;
 284
 285 [Cc][Ll][Oo][Ss][Ee][Dd])
 286         # Only enable the loopback interface
 287         ${fw6cmd} add 100 pass ip6 from any to any via lo0
 288         ;;
 289 [Uu][Nn][Kk][Nn][Oo][Ww][Nn])
 290         ;;
 291 *)
 292         if [ -r "${ipv6_firewall_type}" ]; then
 293                 ${fw6cmd} ${ipv6_firewall_flags} ${ipv6_firewall_type}
 294         fi
 295         ;;
 296 esac