vampire.m4: Allow MPD again.

Merge branch 'master' of metalzone:public-git/firewall

* 'master' of metalzone:public-git/firewall:
  functions.m4, local.m4: Handle fragments in a useful way.
  classify.m4: Correct summary line at the top.
  vampire.m4: Remove the magical DNS DDoS hack.

Add iodine support..

This introduces a new section of the network which needs to be dealt
with properly.  The externally facing DNS server is actually the iodine
daemon, which listens on 5353 and is mapped from 53 by guvnor.  It
proxies requests outside io.distorted.org.uk on to the usual server
listening on port 53.

functions.m4, local.m4: Handle fragments in a useful way.

Add a function for defining standard rules on a chain: currently it only
provides fragment-handling policy.

The fragment policy is to pass fragments unmolested, except for TCP.  An
IP stack which can't reassemble fragments safely needs more protection
than we can provide here.

Note that this only affects `inbound' chains.  The forwarding rules
don't usually work at the level of individual ports, so this is OK; the
ones that do have been nobbled to refuse IP fragments.

classify.m4: Correct summary line at the top.

Wow, that must have been wrong for a long time.

vampire.m4: Remove the magical DNS DDoS hack.

We're going to use fail2ban for this job (and others).  So we don't need
logtrawl any more.

vampire: Open `disorder' port; close `mpd'.

vampire: Allow MPD traffic through.

vampire.m4: Log messages when rejecting DNS DDOS packets.

vampire: Add special hook for DNS badness.

There's a DDOS attack which works by sending DNS servers bogus requests
with spoofed source addresses.  The servers' error reports end up
bombarding the victim.

The `logtrawl' program maintains an ipset listing the known victim IP
addresses based on the DNS server's logs; here, we /drop/ matching
packets -- otherwise the ICMP fallout would do just as well as the DNS
errors at clobbering the victim.  Fortunately this isn't very evil,
since DNS over UDP is unreliable anyway.

It may be that `logtrawl' grows up to do more of this stuff later.

vampire: Add accounting rules for Tor on the OUTPUT chain.

This will tell me what I actually wanted to know.

vampire: Move tor ports to a separate rule.

This way we can get separate accounting for tor traffic.

vampire: Open up public ports for tor.

local.mk: Add install rule.

Makefile: Put default rule before local makefile.

Otherwise rules in local.mk become the default.

bookends: Prevent packets with destination localhost.

Linux blocks these anyway, but it's good to be sure.

functions: Don't prefix log messages with `new' any more.

This was done to distinguish messages from the old firewall script.
We don't need it any more.

filter: Bogus file, unused.

Not sure how this one got left behind.

Initial commit of fancy firewall infrastructure.