check chain name length (max 28 chars)
[pve-firewall.git] / PVE / Firewall.pm
1 package PVE::Firewall;
2
3 use warnings;
4 use strict;
5 use Data::Dumper;
6 use Digest::SHA;
7 use PVE::Tools;
8 use PVE::QemuServer;
9 use File::Path;
10 use IO::File;
11 use Net::IP;
12 use PVE::Tools qw(run_command lock_file);
13
14 use Data::Dumper;
15
16 my $pve_fw_lock_filename = "/var/lock/pvefw.lck";
17
18 my $macros;
19
20 # todo: implement some kind of MACROS, like shorewall /usr/share/shorewall/macro.*
21 sub get_firewall_macros {
22
23     return $macros if $macros;
24
25     #foreach my $path (</usr/share/shorewall/macro.*>) {
26     #  if ($path =~ m|/macro\.(\S+)$|) {
27     #    $macros->{$1} = 1;
28     #  }
29     #}
30
31     $macros = {}; # fixme: implemet me
32
33     return $macros;
34 }
35
36 my $etc_services;
37
38 sub get_etc_services {
39
40     return $etc_services if $etc_services;
41
42     my $filename = "/etc/services";
43
44     my $fh = IO::File->new($filename, O_RDONLY);
45     if (!$fh) {
46         warn "unable to read '$filename' - $!\n";
47         return {};
48     }
49
50     my $services = {};
51
52     while (my $line = <$fh>) {
53         chomp ($line);
54         next if $line =~m/^#/;
55         next if ($line =~m/^\s*$/);
56
57         if ($line =~ m!^(\S+)\s+(\S+)/(tcp|udp).*$!) {
58             $services->{byid}->{$2}->{name} = $1;
59             $services->{byid}->{$2}->{$3} = 1;
60             $services->{byname}->{$1} = $services->{byid}->{$2};
61         }
62     }
63
64     close($fh);
65
66     $etc_services = $services;    
67     
68
69     return $etc_services;
70 }
71
72 my $etc_protocols;
73
74 sub get_etc_protocols {
75     return $etc_protocols if $etc_protocols;
76
77     my $filename = "/etc/protocols";
78
79     my $fh = IO::File->new($filename, O_RDONLY);
80     if (!$fh) {
81         warn "unable to read '$filename' - $!\n";
82         return {};
83     }
84
85     my $protocols = {};
86
87     while (my $line = <$fh>) {
88         chomp ($line);
89         next if $line =~m/^#/;
90         next if ($line =~m/^\s*$/);
91
92         if ($line =~ m!^(\S+)\s+(\d+)\s+.*$!) {
93             $protocols->{byid}->{$2}->{name} = $1;
94             $protocols->{byname}->{$1} = $protocols->{byid}->{$2};
95         }
96     }
97
98     close($fh);
99
100     $etc_protocols = $protocols;
101
102     return $etc_protocols;
103 }
104
105 sub parse_address_list {
106     my ($str) = @_;
107
108     my $nbaor = 0;
109     foreach my $aor (split(/,/, $str)) {
110         if (!Net::IP->new($aor)) {
111             my $err = Net::IP::Error();
112             die "invalid IP address: $err\n";
113         }else{
114             $nbaor++;
115         }
116     }
117     return $nbaor;
118 }
119
120 sub parse_port_name_number_or_range {
121     my ($str) = @_;
122
123     my $services = PVE::Firewall::get_etc_services();
124     my $nbports = 0;
125     foreach my $item (split(/,/, $str)) {
126         my $portlist = "";
127         foreach my $pon (split(':', $item, 2)) {
128             if ($pon =~ m/^\d+$/){
129                 die "invalid port '$pon'\n" if $pon < 0 && $pon > 65536;
130             }else{
131                 die "invalid port $services->{byname}->{$pon}\n" if !$services->{byname}->{$pon};
132             }
133             $nbports++;
134         }
135     }
136
137     return ($nbports);
138 }
139
140 my $bridge_firewall_enabled = 0;
141
142 sub enable_bridge_firewall {
143
144     return if $bridge_firewall_enabled; # only once
145
146     system("echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables");
147     system("echo 1 > /proc/sys/net/bridge/bridge-nf-call-ip6tables");
148
149     $bridge_firewall_enabled = 1;
150 }
151
152 my $rule_format = "%-15s %-30s %-30s %-15s %-15s %-15s\n";
153
154 sub iptables {
155     my ($cmd) = @_;
156
157     run_command("/sbin/iptables $cmd", outfunc => sub {}, errfunc => sub {});
158 }
159
160 sub iptables_restore_cmdlist {
161     my ($cmdlist) = @_;
162
163     run_command("/sbin/iptables-restore -n", input => $cmdlist);
164 }
165
166 sub iptables_get_chains {
167
168     my $res = {};
169
170     # check what chains we want to track
171     my $is_pvefw_chain = sub {
172         my $name = shift;
173
174         return 1 if $name =~ m/^PVEFW-\S+$/;
175
176         return 1 if $name =~ m/^tap\d+i\d+-(:?IN|OUT)$/;
177         return 1 if $name =~ m/^vmbr\d+-(:?IN|OUT)$/;
178         return 1 if $name =~ m/^GROUP-(:?[^\s\-]+)-(:?IN|OUT)$/;
179
180         return undef;
181     };
182
183     my $table = '';
184
185     my $parser = sub {
186         my $line = shift;
187
188         return if $line =~ m/^#/;
189         return if $line =~ m/^\s*$/;
190
191         if ($line =~ m/^\*(\S+)$/) {
192             $table = $1;
193             return;
194         }
195
196         return if $table ne 'filter';
197
198         if ($line =~ m/^:(\S+)\s/) {
199             my $chain = $1;
200             return if !&$is_pvefw_chain($chain);
201             $res->{$chain} = "unknown";
202         } elsif ($line =~ m/^-A\s+(\S+)\s.*--comment\s+\"PVESIG:(\S+)\"/) {
203             my ($chain, $sig) = ($1, $2);
204             return if !&$is_pvefw_chain($chain);
205             $res->{$chain} = $sig;
206         } else {
207             # simply ignore the rest
208             return;
209         }
210     };
211
212     run_command("/sbin/iptables-save", outfunc => $parser);
213
214     return $res;
215 }
216
217 sub iptables_chain_exist {
218     my ($chain) = @_;
219
220     eval{
221         iptables("-n --list $chain");
222     };
223     return undef if $@;
224
225     return 1;
226 }
227
228 sub iptables_rule_exist {
229     my ($rule) = @_;
230
231     eval{
232         iptables("-C $rule");
233     };
234     return undef if $@;
235
236     return 1;
237 }
238
239 sub ruleset_generate_rule {
240     my ($ruleset, $chain, $rule) = @_;
241
242     my $cmd = '';
243
244     $cmd .= " -m iprange --src-range" if $rule->{nbsource} && $rule->{nbsource} > 1;
245     $cmd .= " -s $rule->{source}" if $rule->{source};
246     $cmd .= " -m iprange --dst-range" if $rule->{nbdest} && $rule->{nbdest} > 1;
247     $cmd .= " -d $rule->{dest}" if $rule->{destination};
248     $cmd .= " -p $rule->{proto}" if $rule->{proto};
249     $cmd .= "  --match multiport" if $rule->{nbdport} && $rule->{nbdport} > 1;
250     $cmd .= " --dport $rule->{dport}" if $rule->{dport};
251     $cmd .= "  --match multiport" if $rule->{nbsport} && $rule->{nbsport} > 1;
252     $cmd .= " --sport $rule->{sport}" if $rule->{sport};
253     $cmd .= " -j $rule->{action}" if $rule->{action};
254
255     ruleset_addrule($ruleset, $chain, $cmd) if $cmd;
256 }
257
258 sub ruleset_create_chain {
259     my ($ruleset, $chain) = @_;
260
261     die "Invalid chain name '$chain' (28 char max)\n" if length($chain) > 28;
262
263     die "chain '$chain' already exists\n" if $ruleset->{$chain};
264
265     $ruleset->{$chain} = [];
266 }
267
268 sub ruleset_chain_exist {
269     my ($ruleset, $chain) = @_;
270
271     return $ruleset->{$chain} ? 1 : undef;
272 }
273
274 sub ruleset_addrule {
275    my ($ruleset, $chain, $rule) = @_;
276
277    die "no such chain '$chain'\n" if !$ruleset->{$chain};
278
279    push @{$ruleset->{$chain}}, "-A $chain $rule";
280 }
281
282 sub ruleset_insertrule {
283    my ($ruleset, $chain, $rule) = @_;
284
285    die "no such chain '$chain'\n" if !$ruleset->{$chain};
286
287    unshift @{$ruleset->{$chain}}, "-A $chain $rule";
288 }
289
290 sub generate_bridge_chains {
291     my ($ruleset, $bridge) = @_;
292
293     if (!ruleset_chain_exist($ruleset, "PVEFW-BRIDGE-IN")){
294         ruleset_create_chain($ruleset, "PVEFW-BRIDGE-IN");
295     }
296
297     if (!ruleset_chain_exist($ruleset, "PVEFW-BRIDGE-OUT")){
298         ruleset_create_chain($ruleset, "PVEFW-BRIDGE-OUT");
299     }
300
301     if (!ruleset_chain_exist($ruleset, "PVEFW-FORWARD")){
302         ruleset_create_chain($ruleset, "PVEFW-FORWARD");
303
304         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m state --state RELATED,ESTABLISHED -j ACCEPT");
305         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m physdev --physdev-is-in --physdev-is-bridged -j PVEFW-BRIDGE-OUT");
306         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m physdev --physdev-is-out --physdev-is-bridged -j PVEFW-BRIDGE-IN");
307     }
308
309     if (!ruleset_chain_exist($ruleset, "$bridge-IN")) {
310         ruleset_create_chain($ruleset, "$bridge-IN");
311         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -j DROP");  # disable interbridge routing
312         ruleset_addrule($ruleset, "PVEFW-BRIDGE-IN", "-j $bridge-IN");
313         ruleset_addrule($ruleset, "$bridge-IN", "-j ACCEPT");
314     }
315
316     if (!ruleset_chain_exist($ruleset, "$bridge-OUT")) {
317         ruleset_create_chain($ruleset, "$bridge-OUT");
318         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -j DROP"); # disable interbridge routing
319         ruleset_addrule($ruleset, "PVEFW-BRIDGE-OUT", "-j $bridge-OUT");
320     }
321 }
322
323 sub generate_tap_rules_direction {
324     my ($ruleset, $iface, $netid, $macaddr, $rules, $bridge, $direction) = @_;
325
326     my $tapchain = "$iface-$direction";
327
328     ruleset_create_chain($ruleset, $tapchain);
329
330     ruleset_addrule($ruleset, $tapchain, "-m state --state INVALID -j DROP");
331     ruleset_addrule($ruleset, $tapchain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
332
333     if ($direction eq 'OUT' && defined($macaddr)) {
334         ruleset_addrule($ruleset, $tapchain, "-m mac ! --mac-source $macaddr -j DROP");
335     }
336
337     if ($rules) {
338         foreach my $rule (@$rules) {
339             next if $rule->{iface} && $rule->{iface} ne $netid;
340             if($rule->{action}  =~ m/^(GROUP-(\S+))$/){
341                 $rule->{action} .= "-$direction";
342                 # generate empty group rule if don't exist
343                 if(!ruleset_chain_exist($ruleset, $rule->{action})){
344                     generate_group_rules($ruleset, $2);
345                 }
346             }
347             # we go to vmbr-IN if accept in out rules
348             $rule->{action} = "$bridge-IN" if $rule->{action} eq 'ACCEPT' && $direction eq 'OUT';
349             ruleset_generate_rule($ruleset, $tapchain, $rule);
350         }
351     }
352
353     ruleset_addrule($ruleset, $tapchain, "-j LOG --log-prefix \"$tapchain-dropped: \" --log-level 4");
354     ruleset_addrule($ruleset, $tapchain, "-j DROP");
355
356     # plug the tap chain to bridge chain
357     my $physdevdirection = $direction eq 'IN' ? "out" : "in";
358     my $rule = "-m physdev --physdev-$physdevdirection $iface --physdev-is-bridged -j $tapchain";
359     ruleset_insertrule($ruleset, "$bridge-$direction", $rule);
360
361     if ($direction eq 'OUT'){
362         # add tap->host rules
363         my $rule = "-m physdev --physdev-$physdevdirection $iface -j $tapchain";
364         ruleset_addrule($ruleset, "PVEFW-INPUT", $rule);
365     }
366 }
367
368 sub enablehostfw {
369     my ($ruleset) = @_;
370
371     my $filename = "/etc/pve/local/host.fw";
372     my $fh = IO::File->new($filename, O_RDONLY);
373     return if !$fh;
374
375     my $rules = parse_fw_rules($filename, $fh);
376
377     # host inbound firewall
378     my $chain = "PVEFW-HOST-IN";
379     ruleset_create_chain($ruleset, $chain);
380
381     ruleset_addrule($ruleset, $chain, "-m state --state INVALID -j DROP");
382     ruleset_addrule($ruleset, $chain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
383     ruleset_addrule($ruleset, $chain, "-i lo -j ACCEPT");
384     ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
385     ruleset_addrule($ruleset, $chain, "-p udp -m state --state NEW -m multiport --dports 5404,5405 -j ACCEPT");
386     ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT");  #corosync
387
388     if ($rules->{in}) {
389         foreach my $rule (@{$rules->{in}}) {
390             # we use RETURN because we need to check also tap rules
391             $rule->{action} = 'RETURN' if $rule->{action} eq 'ACCEPT';
392             ruleset_generate_rule($ruleset, $chain, $rule);
393         }
394     }
395
396     ruleset_addrule($ruleset, $chain, "-j LOG --log-prefix \"kvmhost-IN dropped: \" --log-level 4");
397     ruleset_addrule($ruleset, $chain, "-j DROP");
398
399     # host outbound firewall
400     $chain = "PVEFW-HOST-OUT";
401     ruleset_create_chain($ruleset, $chain);
402
403     ruleset_addrule($ruleset, $chain, "-m state --state INVALID -j DROP");
404     ruleset_addrule($ruleset, $chain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
405     ruleset_addrule($ruleset, $chain, "-o lo -j ACCEPT");
406     ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
407     ruleset_addrule($ruleset, $chain, "-p udp -m state --state NEW -m multiport --dports 5404,5405 -j ACCEPT");
408     ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT"); #corosync
409
410     if ($rules->{out}) {
411         foreach my $rule (@{$rules->{out}}) {
412             # we use RETURN because we need to check also tap rules
413             $rule->{action} = 'RETURN' if $rule->{action} eq 'ACCEPT';
414             ruleset_generate_rule($ruleset, $chain, $rule);
415         }
416     }
417
418     ruleset_addrule($ruleset, $chain, "-j LOG --log-prefix \"kvmhost-OUT dropped: \" --log-level 4");
419     ruleset_addrule($ruleset, $chain, "-j DROP");
420     
421     ruleset_addrule($ruleset, "PVEFW-OUTPUT", "-j PVEFW-HOST-OUT");
422     ruleset_addrule($ruleset, "PVEFW-INPUT", "-j PVEFW-HOST-IN");
423 }
424
425 sub generate_group_rules {
426     my ($ruleset, $group) = @_;
427
428     my $filename = "/etc/pve/firewall/groups.fw";
429     my $fh = IO::File->new($filename, O_RDONLY);
430     return if !$fh;
431
432     my $rules = parse_fw_rules($filename, $fh, $group);
433
434     my $chain = "GROUP-${group}-IN";
435
436     ruleset_create_chain($ruleset, $chain);
437
438     if ($rules->{in}) {
439         foreach my $rule (@{$rules->{in}}) {
440             ruleset_generate_rule($ruleset, $chain, $rule);
441         }
442     }
443
444     $chain = "GROUP-${group}-OUT";
445
446     ruleset_create_chain($ruleset, $chain);
447
448     if ($rules->{out}) {
449         foreach my $rule (@{$rules->{out}}) {
450             # we go the PVEFW-BRIDGE-IN because we need to check also other tap rules 
451             # (and group rules can be set on any bridge, so we can't go to VMBRXX-IN)
452             $rule->{action} = 'PVEFW-BRIDGE-IN' if $rule->{action} eq 'ACCEPT';
453             ruleset_generate_rule($rule, $chain, $rule);
454         }
455     }
456 }
457
458 sub parse_fw_rules {
459     my ($filename, $fh, $group) = @_;
460
461     my $section;
462     my $securitygroup;
463     my $securitygroupexist;
464
465     my $res = { in => [], out => [] };
466
467     my $macros = get_firewall_macros();
468     my $protocols = get_etc_protocols();
469     
470     while (defined(my $line = <$fh>)) {
471         next if $line =~ m/^#/;
472         next if $line =~ m/^\s*$/;
473
474         if ($line =~ m/^\[(in|out)(:(\S+))?\]\s*$/i) {
475             $section = lc($1);
476             $securitygroup = lc($3) if $3;
477             $securitygroupexist = 1 if $securitygroup &&  $securitygroup eq $group;
478             next;
479         }
480         next if !$section;
481         next if $group && $securitygroup ne $group;
482
483         my ($action, $iface, $source, $dest, $proto, $dport, $sport) =
484             split(/\s+/, $line);
485
486         if (!$action) {
487             warn "skip incomplete line\n";
488             next;
489         }
490
491         my $service;
492         if ($action =~ m/^(ACCEPT|DROP|REJECT|GROUP-(\S+))$/) {
493             # OK
494         } elsif ($action =~ m/^(\S+)\((ACCEPT|DROP|REJECT)\)$/) {
495             ($service, $action) = ($1, $2);
496             if (!$macros->{$service}) {
497                 warn "unknown service '$service'\n";
498                 next;
499             }
500         } else {
501             warn "unknown action '$action'\n";
502             next;
503         }
504
505         $iface = undef if $iface && $iface eq '-';
506         if ($iface && $iface !~ m/^(net0|net1|net2|net3|net4|net5)$/) {
507             warn "unknown interface '$iface'\n";
508             next;
509         }
510
511         $proto = undef if $proto && $proto eq '-';
512         if ($proto && !(defined($protocols->{byname}->{$proto}) ||
513                         defined($protocols->{byid}->{$proto}))) {
514             warn "unknown protokol '$proto'\n";
515             next;
516         }
517
518         $source = undef if $source && $source eq '-';
519         $dest = undef if $dest && $dest eq '-';
520
521         $dport = undef if $dport && $dport eq '-';
522         $sport = undef if $sport && $sport eq '-';
523         my $nbdport = undef;
524         my $nbsport = undef;
525         my $nbsource = undef;
526         my $nbdest = undef;
527
528         eval {
529             $nbsource = parse_address_list($source) if $source;
530             $nbdest = parse_address_list($dest) if $dest;
531             $nbdport = parse_port_name_number_or_range($dport) if $dport;
532             $nbsport = parse_port_name_number_or_range($sport) if $sport;
533         };
534         if (my $err = $@) {
535             warn $err;
536             next;
537
538         }
539
540
541         my $rule = {
542             action => $action,
543             service => $service,
544             iface => $iface,
545             source => $source,
546             dest => $dest,
547             nbsource => $nbsource,
548             nbdest => $nbdest,
549             proto => $proto,
550             dport => $dport,
551             sport => $sport,
552             nbdport => $nbdport,
553             nbsport => $nbsport,
554
555         };
556
557         push @{$res->{$section}}, $rule;
558     }
559
560     die "security group $group don't exist" if $group && !$securitygroupexist;
561     return $res;
562 }
563
564 sub run_locked {
565     my ($code, @param) = @_;
566
567     my $timeout = 10;
568
569     my $res = lock_file($pve_fw_lock_filename, $timeout, $code, @param);
570
571     die $@ if $@;
572
573     return $res;
574 }
575
576 sub read_local_vm_config {
577
578     my $openvz = {};
579
580     my $qemu = {};
581
582     my $list = PVE::QemuServer::config_list();
583
584     foreach my $vmid (keys %$list) {
585         my $cfspath = PVE::QemuServer::cfs_config_path($vmid);
586         if (my $conf = PVE::Cluster::cfs_read_file($cfspath)) {
587             $qemu->{$vmid} = $conf;
588         }
589     }
590
591     my $vmdata = { openvz => $openvz, qemu => $qemu };
592
593     return $vmdata;
594 };
595
596 sub read_vm_firewall_rules {
597     my ($vmdata) = @_;
598     my $rules = {};
599     foreach my $vmid (keys %{$vmdata->{qemu}}, keys %{$vmdata->{openvz}}) {
600         my $filename = "/etc/pve/firewall/$vmid.fw";
601         my $fh = IO::File->new($filename, O_RDONLY);
602         next if !$fh;
603
604         $rules->{$vmid} = parse_fw_rules($filename, $fh);
605     }
606
607     return $rules;
608 }
609
610 sub compile {
611     my $vmdata = read_local_vm_config();
612     my $rules = read_vm_firewall_rules($vmdata);
613
614     #print Dumper($rules);
615
616     my $ruleset = {};
617
618     # setup host firewall rules
619     ruleset_create_chain($ruleset, "PVEFW-INPUT");
620     ruleset_create_chain($ruleset, "PVEFW-OUTPUT");
621
622     enablehostfw($ruleset);
623
624     # generate firewall rules for QEMU VMs 
625     foreach my $vmid (keys %{$vmdata->{qemu}}) {
626         my $conf = $vmdata->{qemu}->{$vmid};
627         next if !$rules->{$vmid};
628
629         foreach my $netid (keys %$conf) {
630             next if $netid !~ m/^net(\d+)$/;
631             my $net = PVE::QemuServer::parse_net($conf->{$netid});
632             next if !$net;
633             my $iface = "tap${vmid}i$1";
634
635             my $bridge = $net->{bridge};
636             next if !$bridge; # fixme: ?
637
638             $bridge .= "v$net->{tag}" if $net->{tag};
639
640             generate_bridge_chains($ruleset, $bridge);
641
642             my $macaddr = $net->{macaddr};
643             generate_tap_rules_direction($ruleset, $iface, $netid, $macaddr, $rules->{$vmid}->{in}, $bridge, 'IN');
644             generate_tap_rules_direction($ruleset, $iface, $netid, $macaddr, $rules->{$vmid}->{out}, $bridge, 'OUT');
645         }
646     }
647     return $ruleset;
648 }
649
650 sub get_ruleset_status {
651     my ($ruleset, $verbose) = @_;
652
653     my $active_chains = iptables_get_chains();
654
655     my $statushash = {};
656
657     foreach my $chain (sort keys %$ruleset) {
658         my $digest = Digest::SHA->new('sha1');
659         foreach my $cmd (@{$ruleset->{$chain}}) {
660              $digest->add("$cmd\n");
661         }
662         my $sig = $digest->b64digest;
663         $statushash->{$chain}->{sig} = $sig;
664
665         my $oldsig = $active_chains->{$chain};
666         if (!defined($oldsig)) {
667             $statushash->{$chain}->{action} = 'create';
668         } else {
669             if ($oldsig eq $sig) {
670                 $statushash->{$chain}->{action} = 'exists';
671             } else {
672                 $statushash->{$chain}->{action} = 'update';
673             }
674         }
675         print "$statushash->{$chain}->{action} $chain ($sig)\n" if $verbose;
676         foreach my $cmd (@{$ruleset->{$chain}}) {
677             print "\t$cmd\n" if $verbose;
678         }
679     }
680
681     foreach my $chain (sort keys %$active_chains) {
682         if (!defined($ruleset->{$chain})) {
683             my $sig = $active_chains->{$chain};
684             $statushash->{$chain}->{action} = 'delete';
685             $statushash->{$chain}->{sig} = $sig;
686             print "delete $chain ($sig)\n" if $verbose;
687         }
688     }    
689
690     return $statushash;
691 }
692
693 sub print_ruleset {
694     my ($ruleset) = @_;
695
696     get_ruleset_status($ruleset, 1);
697 }
698
699 sub print_sig_rule {
700     my ($chain, $sig) = @_;
701
702     # We just use this to store a SHA1 checksum used to detect changes
703     return "-A $chain -m comment --comment \"PVESIG:$sig\"\n";
704 }
705
706 sub apply_ruleset {
707     my ($ruleset, $verbose) = @_;
708
709     enable_bridge_firewall();
710
711     my $cmdlist = "*filter\n"; # we pass this to iptables-restore;
712
713     my $statushash = get_ruleset_status($ruleset, $verbose);
714
715     # create missing chains first
716     foreach my $chain (sort keys %$ruleset) {
717         my $stat = $statushash->{$chain};
718         die "internal error" if !$stat;
719         next if $stat->{action} ne 'create';
720
721         $cmdlist .= ":$chain - [0:0]\n";
722     }
723
724     my $rule = "INPUT -j PVEFW-INPUT";
725     if (!PVE::Firewall::iptables_rule_exist($rule)) {
726         $cmdlist .= "-A $rule\n";
727     }
728     $rule = "OUTPUT -j PVEFW-OUTPUT";
729     if (!PVE::Firewall::iptables_rule_exist($rule)) {
730         $cmdlist .= "-A $rule\n";
731     }
732
733     $rule = "FORWARD -j PVEFW-FORWARD";
734     if (!PVE::Firewall::iptables_rule_exist($rule)) {
735         $cmdlist .= "-A $rule\n";
736     }
737
738     foreach my $chain (sort keys %$ruleset) {
739         my $stat = $statushash->{$chain};
740         die "internal error" if !$stat;
741
742         if ($stat->{action} eq 'update' || $stat->{action} eq 'create') {
743             $cmdlist .= "-F $chain\n";
744             foreach my $cmd (@{$ruleset->{$chain}}) {
745                 $cmdlist .= "$cmd\n";
746             }
747             $cmdlist .= print_sig_rule($chain, $stat->{sig});
748         } elsif ($stat->{action} eq 'delete') {
749             $cmdlist .= "-F $chain\n";
750             $cmdlist .= "-X $chain\n";
751         } elsif ($stat->{action} eq 'exists') {
752             # do nothing
753         } else {
754             die "internal error - unknown status '$stat->{action}'";
755         }
756     }
757
758     $cmdlist .= "COMMIT\n";
759
760     print $cmdlist if $verbose;
761
762     iptables_restore_cmdlist($cmdlist);
763
764     # test: re-read status and check if everything is up to date 
765     $statushash = get_ruleset_status($ruleset);
766
767     my $errors;
768     foreach my $chain (sort keys %$ruleset) {
769         my $stat = $statushash->{$chain};
770         if ($stat->{action} ne 'exists') {
771             warn "unable to update chain '$chain'\n";
772             $errors = 1;
773         }
774     }
775
776     die "unable to apply firewall changes\n" if $errors;
777 }
778
779 1;