classify.m4, functions.m4: Multiple interfaces can have default nets.

Following on from the last change: if a net can be reachable through
several interfaces, then logically the default net might be reachable
through several interfaces too.  Therefore, we must be able to cope with
this situation.

functions.m4: Allow multiple interfaces to be defined by defiface.

With the upcoming network reorganization, it will be possible for
particular networks to be routed over several different interfaces.  It
will make describing the individual routers easier if we can get
defiface to deal with the commonality.

functions.m4, local.m4: Workaround for option parser fragmentation bugs.

There are some nasty option parser bugs in iptables 1.4.11.1.  Most
obviously, it refuses to accept `! -f' even though it always used to
work.  (This is Debian #632695.)  Secondly, it sees that ip6tables has
stopped accepting `! --fragfirst'.  I'm not sure this is unintentional,
though it's certainly annoying.

Work around both of these problems by introducing additional chains.
That is, we replace

iptables -A chain -j action ! --test

by

iptables -A newchain -j RETURN --test
iptables -A newchain -j action
iptables -A chain -j newchain

which is rather unpleasant, really.

base.m4: Fix LSB init-script ordering.

We were coming up too early in the boot sequence, and sysctl wasn't
working.  Fix this.

bookends, classify, local: Fixes for IP multicasting.

  * Allow reception of multicast packets.

  * Ensure that link-local multicasts aren't forwarded.  (Though
    currently no multicasts are forwarded, this isn't necessarily always
    going to be the case).

  * Turn /off/ iptables filtering of bridged packets.  I'm currently
    taking the view that the bridges are a hack introduced because I
    can't just plug all of the guests into a physical switch.  If I need
    to do better filtering, I'll either use ebtables or do something
    more complicated later.

local, vampire, ibanez: Centralize definition of NTP servers.

We now have multiple independent NTP servers, so it makes sense to
have the list of upstream servers in only one place.  Make it so.

ibanez, radius: Move NTP service to ibanez.

Turns out running NTP in guests is a bad plan.

base.m4: Include an LSB header so that insserv can order it properly.

Makefile: Better rule hacking for installation.

If I use static pattern rules, I can set them as phony.  But I must
exclude the local host rule.

prologue.m4: Use iptables-{save,restore} for the molly-guard.

This seems generally more reliable than hoping that there's a saved copy
lying around which is likely to work, and also means that we have
an escape plan for an initial installation.

Host changeover.

Remove metalzone, which is defunct; add all of the new machines.

config.m4: Stupid typo.

base.m4: Fix missing comma in `setconf', which has never ever worked.

base.m4: On second thoughts, this one is more m4 than shell.

local.m4: Disable forwarding multicasts until I work out how.

classify.m4: Dislike multicast addresses as a source address.

I think they're not permitted.  They're certainly hard to deal with if
they are.

prologue, Makefile, local.mk: Overhaul installation.

The prologue mollyguard is abstracted and generalized a bit so that we
can install stuff remotely without too much worry.  Installation is moved
into the main Makefile (with slightly spruced-up documentation), leaving
only a few very minor tweaks in the local configuration.

Makefie: Give the main build the silent treatment.

Makefile: Add licence block at the top.

It's going to get more complicated later.  Also provide a bit more
guidance on what can be in local.mk.

*.m4: Use `sh' mode for editing these.

They're far more shell than m4, for the most part.

IPv6 firewall support.

Introduce half-hearted IPv6 support.  A surprising amount of the
firewall structure carries over unchanged.  The way fragmentation is
handled differs between IPv4 and IPv6, which is annoying.  And
ip6tables(8) doesn't have the `addrtype' match which was so useful in
IPv4.

local.mk: Introduce new target for testing.

This avoids trashing other hosts with maybe broken firewalls.

Whitespace fixing.

vampire: Allow incoming IMAPS and Submission.

Should have been done a while ago, when vampire took over responsibility
for mail.

Merge branch 'master' of /home/mdw/public-git/firewall

* 'master' of /home/mdw/public-git/firewall:
  vampire: Allow outside access to squid.
  vampire: Allow SMB from the untrusted network.

vampire: Allow outside access to squid.

This is to provide an escape hatch against the office's cretinous web
filter thing.

vampire: Allow SMB from the untrusted network.

This lets the Wii get to the media library, which is nice.

metalzone: Allow incoming `submission' connections.

Like SMTP, but allows authenticated users to send mail anywhere.  Useful
for mobile devices.

Merge branch 'master' of /home/mdw/public-git/firewall

* 'master' of /home/mdw/public-git/firewall:
  local.m4: Put the default network stanza at the end.
  local.m4: Note terror's participation in the VPN.

local.m4: Put the default network stanza at the end.

Otherwise packets get mistakenly classified as being to-untrusted and
stuff doesn't work properly.  Most notably, forwarding between VPN hosts
fails.

local.m4: Note terror's participation in the VPN.

Merge branch 'master' of /home/mdw/public-git/firewall

* 'master' of /home/mdw/public-git/firewall:
  vampire: Allow incoming I2P traffic.

vampire: Allow incoming I2P traffic.

metalzone: Open up incoming IMAPS.

Merge branch 'master' of /home/mdw/public-git/firewall

* 'master' of /home/mdw/public-git/firewall:
  vampire.m4: Allow MPD again.
  Add iodine support..
  vampire: Open `disorder' port; close `mpd'.
  vampire: Allow MPD traffic through.

vampire.m4: Allow MPD again.

Merge branch 'master' of metalzone:public-git/firewall

* 'master' of metalzone:public-git/firewall:
  functions.m4, local.m4: Handle fragments in a useful way.
  classify.m4: Correct summary line at the top.
  vampire.m4: Remove the magical DNS DDoS hack.

Add iodine support..

This introduces a new section of the network which needs to be dealt
with properly.  The externally facing DNS server is actually the iodine
daemon, which listens on 5353 and is mapped from 53 by guvnor.  It
proxies requests outside io.distorted.org.uk on to the usual server
listening on port 53.

local.mk: Fix spurious failure.

`false && mumble' bug; should know better.

functions.m4, local.m4: Handle fragments in a useful way.

Add a function for defining standard rules on a chain: currently it only
provides fragment-handling policy.

The fragment policy is to pass fragments unmolested, except for TCP.  An
IP stack which can't reassemble fragments safely needs more protection
than we can provide here.

Note that this only affects `inbound' chains.  The forwarding rules
don't usually work at the level of individual ports, so this is OK; the
ones that do have been nobbled to refuse IP fragments.

classify.m4: Correct summary line at the top.

Wow, that must have been wrong for a long time.

vampire.m4: Remove the magical DNS DDoS hack.

We're going to use fail2ban for this job (and others).  So we don't need
logtrawl any more.

vampire: Open `disorder' port; close `mpd'.

vampire: Allow MPD traffic through.

vampire.m4: Log messages when rejecting DNS DDOS packets.

vampire: Add special hook for DNS badness.

There's a DDOS attack which works by sending DNS servers bogus requests
with spoofed source addresses.  The servers' error reports end up
bombarding the victim.

The `logtrawl' program maintains an ipset listing the known victim IP
addresses based on the DNS server's logs; here, we /drop/ matching
packets -- otherwise the ICMP fallout would do just as well as the DNS
errors at clobbering the victim.  Fortunately this isn't very evil,
since DNS over UDP is unreliable anyway.

It may be that `logtrawl' grows up to do more of this stuff later.

vampire: Add accounting rules for Tor on the OUTPUT chain.

This will tell me what I actually wanted to know.

vampire: Move tor ports to a separate rule.

This way we can get separate accounting for tor traffic.

vampire: Open up public ports for tor.

local.mk: Add install rule.

Makefile: Put default rule before local makefile.

Otherwise rules in local.mk become the default.

bookends: Prevent packets with destination localhost.

Linux blocks these anyway, but it's good to be sure.

functions: Don't prefix log messages with `new' any more.

This was done to distinguish messages from the old firewall script.
We don't need it any more.

filter: Bogus file, unused.

Not sure how this one got left behind.

Initial commit of fancy firewall infrastructure.