input/doc/firewall.mdwn

   1 Third party firewalling debian.org hosts
   2 ========================================
   3
   4 In Debian we rely on sponsors for providing housing and hosting for all
   5 of our infrastructure.  As such, we have a lot of our gear spread out
   6 all over the world across many different locations.
   7
   8 To make our life easier our general preference is that our kind sponsors
   9 give us unfiltered internet.  That means no firewall, no blocking of any
  10 ports or protocols, no blocking of ICMP, no protocol enforcement/cleanup
  11 and no state tracking and killing sessions that appear to be idle.  We
  12 are fortunate that most places are able to provide this.
  13
  14 We also acknowledge that sometimes local policies outside of our primary
  15 hosting provider requires a less optimal setup (e.g. the Computer
  16 Science department hosts our machine but central IT which controls the
  17 University's border routers think ICMP is the devil's doing).
  18
  19 In these cases we usually ask for the following setup:
  20
  21 * allow all outgoing traffic
  22 * allow incoming ICMP
  23 * allow incoming tcp/22 (ssh)
  24 * allow all incoming from
  25   * bytemark: 5.153.231.0/24
  26   * grnet: 194.177.211.192/27
  27   * man-da: 82.195.75.64/26
  28   * sil: 86.59.118.144/28
  29   * ubcece: 206.12.19.0/24
  30   * ubc: 209.87.16.0/24
  31   * bytemark: 2001:41c8:1000::/48
  32   * grnet: 2001:648:2ffc:deb::/64
  33   * man-da: 2001:41b8:202:deb::/64
  34   * sil: 2001:858:2:2::/64
  35   * ubcece: 2607:f8f0:610:4000::/64
  36   * ubc: 2607:F8F0:614:1::/64
  37 * allow all return traffic on tcp/udp/etc.
  38
  39 Extra ports might be required for specific services.
  40
  41 ---
  42 Fri, 26 Jul 2013 22:43:36 +0200