staticsync: let's assume that IPv6 is not worse than IPv4

eximconf: fix escaping in RT_SUBJECT macro

It's included in a doule-quoted string, which imposes extra escaping
requirements

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

Turn off accept_ra sysctl everywhere

Merge branch 'fordsa' of https://git.adam-barratt.org.uk/git/mirror/dsa-puppet

eximconf: more comments

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: reject mail based on SORBS's "no mail" / "no servers" lists

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

exim/common/rhsbllist: Stop using the obsolete rfc-ignorant.org DNSBLs

See https://web.archive.org/web/20121123184538/http://www.rfc-ignorant.org/endofanera.php

The mantle - and initially the dataset - has been taken over by
rfc-clueless.org. However, their DSN list contains (and it appears
will contain to contain), amongst others, Google, which makes it an
unsuitable choice for "default" role address filtering.

As such, the users of the "bogus MX" list are moved over to the new
domain, and the DSN list is dropped.

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

Fix /etc/exim4/submission-domains generation harder

Fix /etc/exim4/submission-domains generation

Merge branch 'fordsa' of https://git.adam-barratt.org.uk/git/mirror/dsa-puppet

Rename exim::submission-domain.pp to drop the "-"

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

exim blacklist: add more recent offenders

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

exim: build submission domain list dynamically

and have the bugs_master role declare that it handles bugs.d.o

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: only define RT_SUBJECT on RT master

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: macroise RT Subject header replacement

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: unfold Subject headers before processing in RT routers

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

exim blacklist: use simpler matches

The regular expression versions are more specific, but don't appear
to want to actually match.

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: use \N rather than double escaping

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

Use ttyS1 on csail-node0[12]

upload hosts towards ftp-master need read access to the bm dak replica

retire manual firewalling on bmdb1 for dak replica access

manage bmdb1/dak pg_hba: fix common.yaml

manage bmdb1/dak pg_hba

prepare for dak replica on danzi

Add a comment about why access to UDD is needed on wuiet

add missing new files for pet role

manage bmdb1/main pg_hba

sort entries

Move draghi finger/ldap/ldaps fw into dbmaster role

Move gombert infinoted fw into gobby role

Move kaufmann keyserver fw into keyring role

udd: no ssl needed on localhost

buildd/udd: do guest access earlier

udd wants guest access on localhost

buildd/udd: do guest access earlier

manage ullmann/udd pg_hba

pg config on ullmann, pt 1

manage danzi/wanna-build pg_hba

manage danzi/main pg_hba

manage danzi/debconf pg_hba

fqdn in name

manage danzi/tracker pg_hba

remove manual firewall allow snapshotdb-manda-01->sallinen

fix order of the guest trust on snapshot db (do it before the other localhost entries)

manage pg_hba on sallinen

put a fqdn in a name in ftp_master_dak_replica

roles::snapshot_db: make packages ignore conditional on running on buster

remove manual firewall allow leaseweb->snapshotdb-manda-01

manage pg_hba on snapshotdb-manda-01

manage pg_hba on melartin

remove manual firewall allow bmdb1->fasolo

unique names

Do not require ssl on localhost

move localhost guest access in front of catch-all localhost access

guest access for dak on ftp-master

Fix spelling for a type

manage pg_hba on fasolo

manage pg_hba on seger

manage pg_hba on vittoria

Do not enable replication from localhost

manage pg_hba on buxtehude

auth method trust also wants addresses

manage debsources access to its DB on bmdb1

Allow us to gradually move a server with multiple clusters to move to managed hba

allow the backup hosts to access the salsa pg again

Merge branch 'fordsa' of https://git.adam-barratt.org.uk/git/mirror/dsa-puppet

Variables work better with $

fix ferm::rule::chain template

We want variable expansion in this one

Create an empty pg-nnn chain in case nobody else puts anything there

puppet rule to create an empty ferm chain

eximconf: fix IPv4-only sending

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

Don't hardcode bacula director host name

better instance names for pg clusters

reload ferm when files are removed

roles::postgresql::server now sets up postgres::cluster for all clusters

Setting up backup moved to postgres::cluster which includes
postgres::backup_cluster if requested.

All the backup firewall access should be done via pg_hba entries now.

fail2ban: use "host_info" template expression

This correctly handles items such as the port number that is now
included in log entries

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

fail2ban: fix case-insensitive match in dsa-exim-strict

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

fail2ban: set explicit encoding for exim logs

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

eximconf: expand comments related to retries

Signed-off-by: Adam D. Barratt <adam@adam-barratt.org.uk>

fix entry name

Make the bacula director node request DB access from its role

Make the bacula storage node request DB access from its role

Also collect entries that only knew the port

we care about the first element of the array

providing either a port or a version/clustername pair to hba_entry should suffice

eximconf: fix typo in comment

Merge branch 'fordsa' of https://git.adam-barratt.org.uk/git/mirror/dsa-puppet

unique postgres::cluster::hba_entry names for hosts with more than one cluster

Move backup replication hba_entry to backup_cluster

Remove manual fw for dinis/storace access to postgresql-manda-01

First attempt to configure pg_hba of the bacula cluster

We will want to split this and hardcode less in the future.

Start with pg cluster configuration

firwalling for pg basebackup

Fix path in postgres-make-base-backups file redirection

old-style roles are gone

enable snapshotdb-manda-01.debian.org to read sallinen's backups

lw07 no longer runs a snapshot pg db

Try to configure --read-allow via hiera

move debbackup-ssh-wrap from dsa-misc to puppet