local.m4: Fix whitespace oddity.

fender.m4: Provide NTP service to untrusted clients.

e.g., national, which has been languishing...

New host universe.

local.m4, local.mk, national.m4: New virtual host `national'.

Hosted by Linode in Dallas, TX.

local.m4: New address range for untrusted VPN hosts.

functions.m4 (ntpclient): Handle NTP servers with IPv6 addresses.

local.m4: Allow IPv6 ping separately.

This seems to have broken recently.

telecaster.m4: External SMTP service for mailing lists.

local.mk: Remove orange and mango.

They're not currently active.

jem.m4, vampire.m4: Cull some external services.

jem never provided externally facing email.  vampire used to, but
doesn't any more.  It also doesn't provide a slew of other random
services.  Block them all.

local.m4: gibson now uses explicit VLAN tagging.

functions.m4: Only call `allow-non-init-frag' on fragments.

Otherwise we let in all non-fragmented packets.  Oops.

jaguar.m4, local.m4: Remove jaguar completely.

Its firewall configuration is now in /usr/local/src/firewall on jaguar
itself.

jem.m4: External rsync service.

radius.m4: Stop MSS clamping on egress now the external MTU is 1500.

And there was great rejoicing!

local.m4: Reinstate detailed filtering from scary networks.

This got lost when I split scary out of untrusted.  Oops.

local.m4: Inbound restriction on untrusted is no longer experimental.

local.m4: Protect the `untrusted' network from incoming requests.

Currently the untrusted network is vulnerable to incoming hostile IPv6
requests, and only protected from IPv4 by NAT.

I don't think it's especially useful to allow untrusted hosts to
provide externally facing services, so rather than deploy a new
network, I'm just going to change the policy for the existing one, and
forbid new connections and UDP traffic to untrusted hosts.  This
involves splitting out a separate network class for the external
Internet, which is now `scary'.

classify.m4: Fix some typos in the commentary.

jazz.m4, numbers.m4: Expose the OpenPGP key server.

local.m4: Proper configuration for groove.

groove.m4: New host.

artist.m4: Further Rygel hacking.

artist.m4: Punch a hole for Rygel service to local (-ish) devices.

local.m4: Boundary network addresses can legitimately transit the VPN.

This is IPv6-specific.  Suppose an internal host on one end of a VPN
connection sends a packet to a host on the boundary network at the
other end.  This packet will go via the public Internet -- fine.  But
the other end will reply, and route the packet through the VPN because
it's an internal address.  So we should allow it or we break
connectivity.

The right answer is probably to arrange for the routing to be
symmetrical, either by forcing the original packet to go through the
VPN or the reply to go around it, but both of these would seem to
involve messing with policy routing in a complicated way.  The current
situation seems weird but not especially harmful.

stratocaster.m4: Permit incoming finger.

local.m4: Load connection tracking modules as standard.

This will make FTP work properly, at least.

classify.m4: Forbid the v4-mapped and v4-compatible ranges.

These shouldn't be appearing as source addresses.

local.m4: Move VPN hosts to ...:1.

Linux thinks that host addresses which coincide with network base
addresses are `anycast', and that this means that it shouldn't send
ICMP errors to them.  This is obviously ridiculous. so move hosts to
address ...:1 to prevent this stupidity.

telecaster.m4: Allow external DNS service.

local.m4: Replacing IPv6 host routes with /112 networks.

Linux has a bug: it doesn't make route cache entries for remote hosts
if there's already a host route, and it only attaches path-MTU
information to cache entries.  The result is that it doesn't handle
ICMPv6 `packet too big' messages properly for destinations with host
routes.

I'm bodging this by replacing all of the host routes with tiny /112
networks.  It's awful, but it seems to work.  The convention is that
the `host part' of the net is always zero.

local.m4: Mention that the IPv6 VPN net is logically `safe'.

icmp.m4: Actually track the correct ICMPv6 protocol.

Silly program thinks that `icmp' on IPv6 doesn't mean the same as
`icmpv6'.

Makefile: Explicit stdin from terminal, so `make -j' builds work.

Arrange that stdin is /dev/tty for local installs so that they can be
confirmed manually.

fender.m4: BCP38 source-address filtering, at ebtables level.

I found an annoying bug here, reported to Debian as #741101.

fender.m4: Reformat the ebtables hacking a bit.

functions.m4, radius.m4: BCP38 filtering for outbound traffic.

base.m4: Run firewall after local filesystems are mounted.

Annoyingly, ipset(8) is in /usr, and this breaks the firewall at boot
if it's run too early.

numbers.m4, stratocaster.m4: Public-facing IMAP server.

It supports (and insists on, indeed) using `STARTTLS', so this is
sensible.

numbers.m4, telecaster.m4: TLS-enabled web cache.

local.mk: jaguar's firewall is maintained locally now.

fender.m4: Trap bad source IP addresses at the ethernet bridge layer.

Since we don't have control of the Jump router, and it doesn't seem to
trap spoofed packets, we must do that ourselves.

jazz.m4: Allow iodine hosts NATed internet access.

jaguar.m4, local.m4, local.mk: New host.

telecaster.m4: Rate-limit incoming ICP.

functions.m4: Partially cope with ipset(8) command-line overhaul.

They've completely changed the syntax.  The old one seems still
available for now, but we should switch over completely now that
wheezy is released.

numbers.m4, telecaster.m4: Expose the Squid ICP port.

mango.m4: Reverse NAT into the main network.

Allow access to internal web proxy and so on.

classify.m4: Document the source of blacklisted address blocks.

jazz.m4: No, jazz is not a nameserver.

At all.  Why...?

mango.m4: Tighten up the SNAT rules.

config.m4: Extend the upper limit on open ports.

This will make using mosh(1) much more pleasant.  I'm sure that the
limit used to be around 65K, but I don't remember why I reduced it.

New host `mango'.

classify.m4: Hook the INPUT and FORWARD chains, not PREROUTING.

The latter are done after NAT has resolved the source and destination
addresses, so we can actually do the job right.

ibanez.m4: Open an explicit hole for `udpkey'.

local.m4: Yet more explicit networks for asymmetric routing.

local.m4: New satellite network `binswood'.

local.m4: Make the net-class policies easier to read.

local.m4: Nothing should forward via `iodine'.

functions.m4, local.m4: Rename `forwards' to `via'.

In fact, it lists the networks to which this one might forward packets,
rather than the networks whose packets this one forwards.  Hopefully the
name change will reduce confusion.

New host `orange'.

ibanez.m4, vampire.m4: Provide NTP service to untrusted hosts.

bookends.m4: Better check for bridging.

stratocaster.m4: Provide rsync service.

{roadstar,jem,telecaster,stratocaster}.m4: Move Git to login servers.

This avoids lots of annoying messing about with NFS.  Maybe when
wheezy is released I'll move these back.

artist.m4: Moved the `rawk' server to artist.

Maybe for the second time.

jazz.m4, local.m4: Make jazz be a TrIPE endpoint.

It's running the IP-over-DNS endpoint, and life becomes very tricky if
it's not also the VPN endpoint.  There's knock-on stuff: jazz becomes
a router, and VPN traffic can flow over the colo and jump nets.

numbers.m4: Add port number for IRC.

Not that it's used anywhere yet.

Makefile: If the user overrides HOSTS, don't install locally anyway.

local.m4: Add a prose commentary on address allocation.

The IPv4 allocation is summarized in the DNS zone repository; the IPv6
allocation wasn't described anywhere at all.

functions.m4: Correctly clear `to' network field in packet mark.

I thibk this worked before anyway, but it's good to fix it properly.

classify.m4: Dispatch on destination addresses to correct chains.

classify.m4: Classify individual host routes correctly.

For some reason, were just using whatever value of `$class' was left
lying around.  Not very clever, really.

classify.m4: Clean up interface map tracing.

Remove duplicate dump of the interface, and only dump the list of known
networks once at the very end.

functions.m4: Fix up commentary for `matchnets'.

local.m4, jazz.m4: Move iodine endpoint to jazz.

numbers.m4, vampire.m4: Expose print server to local untrusted hosts.

Let's hope they don't use up all of my paper.

radius.m4: Allow external servers to contact the identd.

Otherwise all requests for NATted connections will fail.

local.m4, radius.m4: radius is now the host gateway to the net.

The MTU is low because the PPPoE<->PPPoA modem uses 8 bytes from the
ethernet frame size limit, and Demon has a tendency to be useless
about breaking path-MTU discovery; so apply TCP MSS clamping.

local.m4: artist should expect untrusted source addrs on dmz and unsafe.

An untrusted device, not on the VPN, will be routed to artist through
radius.

local.m4: Track VLAN renumbering in vampire's interface names.

Rate limiting for incoming DNS queries over UDP.

We provide DNSsec-signed responses, and could be used as a DDoS
amplifier.  Apply rate-limiting to incoming traffic to mitigate this
effect.

This should be removed if and when BIND acquires its own more
intelligent rate-limiting.

radius.m4: Handy ipset hook for ad-hoc safe/unstrusted exceptions.

local.m4: Refactor common SSH permission between safe/untrusted hosts.

Actually the same rules work for IPv4 and IPv6, so we should only write
them once.

local.m4: Packets can be routed over the safe network.

local.m4: Add the colocated servers to the VPN.

local.m4: Untrusted source addresses appear on the backbone.

This happens because of router redundancy.  Case in point: suppose
vampire is selected via IPv6 router discovery, but radius owns the
external tunnel.  Then vampire will forward the packet over the
backbone to radius, which mustn't reject it.

(This isn't a security problem because the untrusted network isn't (by
definition) trusted very much for anything.

bookends.m4: Allow redirects to (non-routing) hosts.

Configuration for new colocated virtual servers.

local.m4: More interfaces for artist.

Firstly, artist needs an interface on the untrusted network so that it
can provide convincing SMB.  Secondly, it will eventually provide the
iodine gateway, and will need to forward packets appropriately.

local.m4: Default addresses reach the IPv6 tunnel interface.

jem.m4, artist.m4: Allow answers to DNS queries.

radius.m4: Load NAT helpers (from d119795).

bookends.m4: Configure IPv6 router advertisement stuff.

Servers are expected to listen in on the routing protocols, so even
though they aren't actually routers, they still shouldn't listen to
the advertisements.

functions.m4, local.m4: Introduce more kinds of hosts.

functions.m4: Actually set the IPv6 options.

fender.m4: Define an address to be a guaranteed black hole.

local.m4: A new network for the SGO VPN.

functions.m4, classify.m4: Handle negative address ranges.

That is, a network can explicitly exclude an address range.  Ranges are
checked in order, so you carve out a hole in the middle of a range by
putting a negative range first for the hole first, and the big network
afterwards.

This involves a fairly major rearrangement of the address classification
machinery.  Again.

Make FW_NOACT work properly.

Some calls to iptables(8) and friends weren't through `run', so fix
these.  Also skip the initial flushing.  We probably want to skip the
final dump, but don't do that yet.