iptables-workstation.sh

   1 #!/bin/bash
   2 #
   3 # iptables ruleset for an End Node acting as a workstation in a LAN.
   4 #
   5 # Copyright (C) 2018  Antonio Ospite <ao2@ao2.it>
   6 # SPDX-License-Identifier: MIT
   7 #
   8 # Based on updateipt.sh by Phil Sutter:
   9 # https://developers.redhat.com/blog/2017/01/10/migrating-my-iptables-setup-to-nftables/
  10
  11 set -e
  12
  13 [ $UID -eq 0 ] || { echo "This script must be run as root" 1>&2; exit 1; }
  14
  15 . lib/utils.sh
  16
  17 COMMON_OPEN_PORTS=(
  18 # XMPP
  19 5222
  20 5269
  21 # Link-local XMPP, for backward compatibility, XEP-0174
  22 5298
  23 )
  24
  25 TCP_OPEN_PORTS=(
  26 "${COMMON_OPEN_PORTS[@]}"
  27 )
  28
  29 UDP_OPEN_PORTS=(
  30 "${COMMON_OPEN_PORTS[@]}"
  31 )
  32
  33 flush_ruleset
  34
  35
  36 ### Define a custom chain for packets in NEW state.
  37
  38 ip46t -N in-new
  39
  40 # Silently drop DHCPv4 Discover and Request packets from other clients.
  41 ipt -A in-new -s 0.0.0.0 -d 255.255.255.255 -p udp -m udp --sport bootpc --dport bootps -j DROP
  42
  43 # Silently drop DHCPv6 from other clients.
  44 ip6t -A in-new -s fe80::/64 -d fe80::/64 -p udp -m udp --sport dhcpv6-client --dport dhcpv6-server -j DROP
  45
  46 # mDNS (ZeroConf/Bonjour)
  47 ipt  -A in-new -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
  48 ip6t -A in-new -d ff02::fb    -p udp -m udp --dport 5353 -j ACCEPT
  49
  50 # SSDP: https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol
  51 ipt  -A in-new -d 239.255.255.250 -p udp -m udp --dport 1900 -j ACCEPT
  52 ip6t -A in-new -d ff02::c         -p udp -m udp --dport 1900 -j ACCEPT
  53 ip6t -A in-new -d ff05::c         -p udp -m udp --dport 1900 -j ACCEPT
  54 ip6t -A in-new -d ff08::c         -p udp -m udp --dport 1900 -j ACCEPT
  55 ip6t -A in-new -d ff0e::c         -p udp -m udp --dport 1900 -j ACCEPT
  56
  57
  58 for port in "${TCP_OPEN_PORTS[@]}";
  59 do
  60   ip46t -A in-new -p tcp -m tcp --dport "$port" --syn -j ACCEPT
  61 done
  62
  63 for port in "${UDP_OPEN_PORTS[@]}";
  64 do
  65   ip46t -A in-new -p udp -m udp --dport "$port" -j ACCEPT
  66 done
  67
  68
  69 ### INPUT chain
  70 ip46t -P INPUT DROP
  71
  72 # Allow all loopback traffic.
  73 ip46t -A INPUT -i lo -j ACCEPT
  74
  75 # Allow ICMP traffic.
  76 ipt -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
  77 ipt -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  78 ipt -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
  79 ipt -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
  80 ipt -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
  81
  82 # Allow ICMPv6 traffic
  83 ip6t -A INPUT -p ipv6-icmp --icmpv6-type echo-reply -j ACCEPT
  84 ip6t -A INPUT -p ipv6-icmp --icmpv6-type echo-request -j ACCEPT
  85 ip6t -A INPUT -p ipv6-icmp --icmpv6-type time-exceeded -j ACCEPT
  86 ip6t -A INPUT -p ipv6-icmp --icmpv6-type parameter-problem -j ACCEPT
  87 ip6t -A INPUT -p ipv6-icmp --icmpv6-type destination-unreachable -j ACCEPT
  88 ip6t -A INPUT -p ipv6-icmp --icmpv6-type packet-too-big -j ACCEPT
  89
  90 # Allow IPv6 Neighbor Discovery (RFC4861).
  91 ip6t -A INPUT -p ipv6-icmp --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
  92 ip6t -A INPUT -p ipv6-icmp --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
  93 ip6t -A INPUT -p ipv6-icmp --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
  94 ip6t -A INPUT -p ipv6-icmp --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
  95
  96 # Allow multicast listener discovery on link-local addresses.
  97 # RFC2710 specifies that a Hop-by-Hop Options header is used.
  98 ip6t -A INPUT -p ipv6-icmp --icmpv6-type 130 -s fe80::/10 -j ACCEPT
  99 ip6t -A INPUT -p ipv6-icmp --icmpv6-type 131 -s fe80::/10 -j ACCEPT
 100 ip6t -A INPUT -p ipv6-icmp --icmpv6-type 132 -s fe80::/10 -j ACCEPT
 101
 102 # Allow multicast router discovery messages on link-local addresses (hop limit 1).
 103 ip6t -A INPUT -p ipv6-icmp --icmpv6-type router-solicitation -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
 104 ip6t -A INPUT -p ipv6-icmp --icmpv6-type router-advertisement -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
 105
 106 # Allow IGMPv3 queries.
 107 ipt -A INPUT -d 224.0.0.1 -p igmp -j DROP
 108
 109
 110 # Stateful filtering for anything else.
 111 ip46t -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 112 ip46t -A INPUT -m state --state INVALID -j DROP
 113 ip46t -A INPUT -m state --state NEW -j in-new
 114
 115 # Silently drop other incoming broadcast and multicast traffic.
 116 ip46t -A INPUT -m pkttype --pkt-type broadcast -j DROP
 117 ip46t -A INPUT -m pkttype --pkt-type multicast -j DROP
 118
 119 ip46t -A INPUT -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[INPUT]: "
 120 ip46t -A INPUT -j REJECT
 121
 122
 123 ### OUTPUT chain
 124 ip46t -P OUTPUT DROP
 125
 126 ip46t -A OUTPUT -j ACCEPT
 127
 128
 129 ### FORWARD chain
 130 ip46t -P FORWARD DROP
 131
 132 ip46t -A FORWARD -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[FORWARD]: "
 133 ip46t -A FORWARD -j REJECT