eggle.m4, local.m4, local.mk: Add new VPS `eggle'.

local.m4: Countenance non-Linode VPSes.

national.m4: Use public NTP servers.

bookends.m4: Bake in knowledge about the `iptables' chains.

Later kernels don't actually populate `/proc/net/ip{,6}_tables_names'
with anything.

fender.m4: Remove ethernet-level filtering.

Not needed any more: fender isn't on a boundary.

local.m4, fender.m4, radius.m4: Fixing for `fender' coming home.

prologue.m4: Fix exit statuses.

Exit 1 if installation failed but restoration of the previous state
succeeded; exit 2 if things are now buggered.

classify.m4: Explicitly class 255.255.255.255 as broadcast.

local.m4: Add a correct VPN entry for `groove'.

local.m4: Delete incorrect host entry for `groove'.

That address actually belongs to `radius'.  I have nothing.

roadstar.m4: Allow public access to the TLS web-cache port.

local.m4: Fix the IPv4 version of the `inbound-untrusted' chain.

This chain was introduced in 94ce6e764e92676c1a7dea68820bcf198ea4c466,
but, for some reason, the IPv6 version was established correctly but the
IPv4 version was hooked onto its parent `inbound' chain /after/ the
properly-final `forbidden' jump.

Fix this foolish bogosity.

local.mk, roadstar.m4: Move lpr service to roadstar; decommission vampire.

*.m4: Actually allow NFS to untrusted hosts.

Some NFS servers are configured to allow mounts from untrusted hosts,
but the firewall won't let them.  Fix this.

local.m4, etc.: Establish `inbound-untrusted' chain and deploy.

Quite a lot of the per-host files involve allowing local untrusted
access to various services.  This was being done with explicit network
address ranges, which led to repetition of the rules for IPv4 and IPv6,
or only permitting access through IPv4.

Instead, introduce a new chain (actually promoted from `vampire.m4') for
these local untrusted clients and replace the explicit address ranges.

fender.m4, ibanez.m4, vampire.m4: Invoke `footables' via `run'.

Merge branch 'master' of git.distorted.org.uk:~mdw/publish/public-git/firewall

* 'master' of git.distorted.org.uk:~mdw/publish/public-git/firewall:
  jazz.m4, numbers.m4: Allow Privoxy access to SGO VPN.
  local.m4: Update external NTP servers.

numbers.m4, artist.m4: Add a second DisOrder port for RTP multicast.

local.m4: Add `mdwdev.upn'.

jazz.m4, numbers.m4: Allow Privoxy access to SGO VPN.

local.m4: Update external NTP servers.

local.m4: Add entry for new laptop `spirit'.

local.m4, precision.m4: Introduce `vpnnat' network class for nefarious hacks.

This allows hosts to route to the outside world via a remote VPN
endpoint, in order to work around local network problems or geographical
restrictions.

local.mk: Reinstate mango.

local.m4: Filter out source routing in the firewall.

Don't rely on `sysctl' options.  This means that everyone must now have
`xtables-addons' installed.

local.m4: Don't expect `forbidden' to return.

local.m4: Add the `hippotat' network.

This is for Ian Jackson's `Asinine IP Over HTTP' utility.

classify.m4: Note the older site-local IPv6 range.

classify.m4: Fix typo in commentary.

telecaster.m4: Open the old (implicit-TLS) `ftps' port.

Also add a `numbers.m4' entry.

roadstar.m4, telecaster.m4: No need to open the `ftp_data' port.

base.m4: Improve LSB header to delay firewall shutdown.

Running this before bind and NFS-unmount should make shutting down
faster.

local.m4: gibson uses untagged packets for the unsafe network now.

local.m4: Designate `vpn' as `trusted' rather than `safe'.

It turns out to be too annoying that VPN hosts can't talk to untrusted
things.

national.m4: Configure as an authoritative DNS server.

The DNSSEC means that I don't have to trust the DNS servers, and
national is geographically separated and in an entirely different AS.

Finish the switchover to Andrews & Arnold.

  * Remove the old HE netblock.  I've switched the house over to using
    the A&A IPv6 netblock throughout because multihoming just isn't
    going to work well.

  * Remove the `aaisp' network name now that I've decided we're not
    doing parallel running.

  * Allocate a little gateway network for the PPP-terminating router.
    It turns out that if I don't do this then it uses a completely bogus
    default source address for the PPP interface.

  * Incidentally, fix the NTP-server netblocks to include the Jump range
    as well as the house range.

fender.m4: Fix silly typo in comment.

local.m4: Prepare for switchover to A&A.

local.m4: Fix whitespace oddity.

fender.m4: Provide NTP service to untrusted clients.

e.g., national, which has been languishing...

New host universe.

local.m4, local.mk, national.m4: New virtual host `national'.

Hosted by Linode in Dallas, TX.

local.m4: New address range for untrusted VPN hosts.

functions.m4 (ntpclient): Handle NTP servers with IPv6 addresses.

local.m4: Allow IPv6 ping separately.

This seems to have broken recently.

telecaster.m4: External SMTP service for mailing lists.

local.mk: Remove orange and mango.

They're not currently active.

jem.m4, vampire.m4: Cull some external services.

jem never provided externally facing email.  vampire used to, but
doesn't any more.  It also doesn't provide a slew of other random
services.  Block them all.

local.m4: gibson now uses explicit VLAN tagging.

functions.m4: Only call `allow-non-init-frag' on fragments.

Otherwise we let in all non-fragmented packets.  Oops.

jaguar.m4, local.m4: Remove jaguar completely.

Its firewall configuration is now in /usr/local/src/firewall on jaguar
itself.

jem.m4: External rsync service.

radius.m4: Stop MSS clamping on egress now the external MTU is 1500.

And there was great rejoicing!

local.m4: Reinstate detailed filtering from scary networks.

This got lost when I split scary out of untrusted.  Oops.

local.m4: Inbound restriction on untrusted is no longer experimental.

local.m4: Protect the `untrusted' network from incoming requests.

Currently the untrusted network is vulnerable to incoming hostile IPv6
requests, and only protected from IPv4 by NAT.

I don't think it's especially useful to allow untrusted hosts to
provide externally facing services, so rather than deploy a new
network, I'm just going to change the policy for the existing one, and
forbid new connections and UDP traffic to untrusted hosts.  This
involves splitting out a separate network class for the external
Internet, which is now `scary'.

classify.m4: Fix some typos in the commentary.

jazz.m4, numbers.m4: Expose the OpenPGP key server.

local.m4: Proper configuration for groove.

groove.m4: New host.

artist.m4: Further Rygel hacking.

artist.m4: Punch a hole for Rygel service to local (-ish) devices.

local.m4: Boundary network addresses can legitimately transit the VPN.

This is IPv6-specific.  Suppose an internal host on one end of a VPN
connection sends a packet to a host on the boundary network at the
other end.  This packet will go via the public Internet -- fine.  But
the other end will reply, and route the packet through the VPN because
it's an internal address.  So we should allow it or we break
connectivity.

The right answer is probably to arrange for the routing to be
symmetrical, either by forcing the original packet to go through the
VPN or the reply to go around it, but both of these would seem to
involve messing with policy routing in a complicated way.  The current
situation seems weird but not especially harmful.

stratocaster.m4: Permit incoming finger.

local.m4: Load connection tracking modules as standard.

This will make FTP work properly, at least.

classify.m4: Forbid the v4-mapped and v4-compatible ranges.

These shouldn't be appearing as source addresses.

local.m4: Move VPN hosts to ...:1.

Linux thinks that host addresses which coincide with network base
addresses are `anycast', and that this means that it shouldn't send
ICMP errors to them.  This is obviously ridiculous. so move hosts to
address ...:1 to prevent this stupidity.

telecaster.m4: Allow external DNS service.

local.m4: Replacing IPv6 host routes with /112 networks.

Linux has a bug: it doesn't make route cache entries for remote hosts
if there's already a host route, and it only attaches path-MTU
information to cache entries.  The result is that it doesn't handle
ICMPv6 `packet too big' messages properly for destinations with host
routes.

I'm bodging this by replacing all of the host routes with tiny /112
networks.  It's awful, but it seems to work.  The convention is that
the `host part' of the net is always zero.

local.m4: Mention that the IPv6 VPN net is logically `safe'.

icmp.m4: Actually track the correct ICMPv6 protocol.

Silly program thinks that `icmp' on IPv6 doesn't mean the same as
`icmpv6'.

Makefile: Explicit stdin from terminal, so `make -j' builds work.

Arrange that stdin is /dev/tty for local installs so that they can be
confirmed manually.

fender.m4: BCP38 source-address filtering, at ebtables level.

I found an annoying bug here, reported to Debian as #741101.

fender.m4: Reformat the ebtables hacking a bit.

functions.m4, radius.m4: BCP38 filtering for outbound traffic.

base.m4: Run firewall after local filesystems are mounted.

Annoyingly, ipset(8) is in /usr, and this breaks the firewall at boot
if it's run too early.

numbers.m4, stratocaster.m4: Public-facing IMAP server.

It supports (and insists on, indeed) using `STARTTLS', so this is
sensible.

numbers.m4, telecaster.m4: TLS-enabled web cache.

local.mk: jaguar's firewall is maintained locally now.

fender.m4: Trap bad source IP addresses at the ethernet bridge layer.

Since we don't have control of the Jump router, and it doesn't seem to
trap spoofed packets, we must do that ourselves.

jazz.m4: Allow iodine hosts NATed internet access.

jaguar.m4, local.m4, local.mk: New host.

telecaster.m4: Rate-limit incoming ICP.

functions.m4: Partially cope with ipset(8) command-line overhaul.

They've completely changed the syntax.  The old one seems still
available for now, but we should switch over completely now that
wheezy is released.

numbers.m4, telecaster.m4: Expose the Squid ICP port.

mango.m4: Reverse NAT into the main network.

Allow access to internal web proxy and so on.

classify.m4: Document the source of blacklisted address blocks.

jazz.m4: No, jazz is not a nameserver.

At all.  Why...?

mango.m4: Tighten up the SNAT rules.

config.m4: Extend the upper limit on open ports.

This will make using mosh(1) much more pleasant.  I'm sure that the
limit used to be around 65K, but I don't remember why I reduced it.

New host `mango'.

classify.m4: Hook the INPUT and FORWARD chains, not PREROUTING.

The latter are done after NAT has resolved the source and destination
addresses, so we can actually do the job right.

ibanez.m4: Open an explicit hole for `udpkey'.

local.m4: Yet more explicit networks for asymmetric routing.

local.m4: New satellite network `binswood'.

local.m4: Make the net-class policies easier to read.

local.m4: Nothing should forward via `iodine'.

functions.m4, local.m4: Rename `forwards' to `via'.

In fact, it lists the networks to which this one might forward packets,
rather than the networks whose packets this one forwards.  Hopefully the
name change will reduce confusion.

New host `orange'.

ibanez.m4, vampire.m4: Provide NTP service to untrusted hosts.