6707e669e3065c6539b120f928a170c7603d0c5f
[pve-firewall.git] / src / PVE / Firewall.pm
1 package PVE::Firewall;
2
3 use warnings;
4 use strict;
5 use Data::Dumper;
6 use Digest::SHA;
7 use PVE::INotify;
8 use PVE::JSONSchema qw(get_standard_option);
9 use PVE::Cluster;
10 use PVE::ProcFSTools;
11 use PVE::Tools;
12 use File::Basename;
13 use File::Path;
14 use IO::File;
15 use Net::IP;
16 use PVE::Tools qw(run_command lock_file);
17 use Encode;
18
19 my $hostfw_conf_filename = "/etc/pve/local/host.fw";
20 my $clusterfw_conf_filename = "/etc/pve/firewall/cluster.fw";
21
22 # dynamically include PVE::QemuServer and PVE::OpenVZ 
23 # to avoid dependency problems
24 my $have_qemu_server;
25 eval {
26     require PVE::QemuServer;
27     $have_qemu_server = 1;
28 };
29
30 my $have_pve_manager;
31 eval {
32     require PVE::OpenVZ;
33     $have_pve_manager = 1;
34 };
35
36 use Data::Dumper;
37
38 my $nodename = PVE::INotify::nodename();
39
40 my $pve_fw_lock_filename = "/var/lock/pvefw.lck";
41 my $pve_fw_status_filename = "/var/lib/pve-firewall/pvefw.status";
42
43 my $default_log_level = 'info';
44
45 my $log_level_hash = {
46     debug => 7,
47     info => 6,
48     notice => 5,
49     warning => 4,
50     err => 3,
51     crit => 2,
52     alert => 1,
53     emerg => 0,
54 };
55
56 # imported/converted from: /usr/share/shorewall/macro.*
57 my $pve_fw_macros = {
58     'Amanda' => [
59         { action => 'PARAM', proto => 'udp', dport => '10080' },
60         { action => 'PARAM', proto => 'tcp', dport => '10080' },
61     ],
62     'Auth' => [
63         { action => 'PARAM', proto => 'tcp', dport => '113' },
64     ],
65     'BGP' => [
66         { action => 'PARAM', proto => 'tcp', dport => '179' },
67     ],
68     'BitTorrent' => [
69         { action => 'PARAM', proto => 'tcp', dport => '6881:6889' },
70         { action => 'PARAM', proto => 'udp', dport => '6881' },
71     ],
72     'BitTorrent32' => [
73         { action => 'PARAM', proto => 'tcp', dport => '6881:6999' },
74         { action => 'PARAM', proto => 'udp', dport => '6881' },
75     ],
76     'CVS' => [
77         { action => 'PARAM', proto => 'tcp', dport => '2401' },
78     ],
79     'Citrix' => [
80         { action => 'PARAM', proto => 'tcp', dport => '1494' },
81         { action => 'PARAM', proto => 'udp', dport => '1604' },
82         { action => 'PARAM', proto => 'tcp', dport => '2598' },
83     ],
84     'DAAP' => [
85         { action => 'PARAM', proto => 'tcp', dport => '3689' },
86         { action => 'PARAM', proto => 'udp', dport => '3689' },
87     ],
88     'DCC' => [
89         { action => 'PARAM', proto => 'tcp', dport => '6277' },
90     ],
91     'DHCPfwd' => [
92         { action => 'PARAM', proto => 'udp', dport => '67:68', sport => '67:68' },
93         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '67:68', sport => '67:68' },
94     ],
95     'DNS' => [
96         { action => 'PARAM', proto => 'udp', dport => '53' },
97         { action => 'PARAM', proto => 'tcp', dport => '53' },
98     ],
99     'Distcc' => [
100         { action => 'PARAM', proto => 'tcp', dport => '3632' },
101     ],
102     'Edonkey' => [
103         { action => 'PARAM', proto => 'tcp', dport => '4662' },
104         { action => 'PARAM', proto => 'udp', dport => '4665' },
105     ],
106     'FTP' => [
107         { action => 'PARAM', proto => 'tcp', dport => '21' },
108     ],
109     'Finger' => [
110         { action => 'PARAM', proto => 'tcp', dport => '79' },
111     ],
112     'GNUnet' => [
113         { action => 'PARAM', proto => 'tcp', dport => '2086' },
114         { action => 'PARAM', proto => 'udp', dport => '2086' },
115         { action => 'PARAM', proto => 'tcp', dport => '1080' },
116         { action => 'PARAM', proto => 'udp', dport => '1080' },
117     ],
118     'GRE' => [
119         { action => 'PARAM', proto => '47' },
120         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '47' },
121     ],
122     'Git' => [
123         { action => 'PARAM', proto => 'tcp', dport => '9418' },
124     ],
125     'Gnutella' => [
126         { action => 'PARAM', proto => 'tcp', dport => '6346' },
127         { action => 'PARAM', proto => 'udp', dport => '6346' },
128     ],
129     'HKP' => [
130         { action => 'PARAM', proto => 'tcp', dport => '11371' },
131     ],
132     'HTTP' => [
133         { action => 'PARAM', proto => 'tcp', dport => '80' },
134     ],
135     'HTTPS' => [
136         { action => 'PARAM', proto => 'tcp', dport => '443' },
137     ],
138     'ICPV2' => [
139         { action => 'PARAM', proto => 'udp', dport => '3130' },
140     ],
141     'ICQ' => [
142         { action => 'PARAM', proto => 'tcp', dport => '5190' },
143     ],
144     'IMAP' => [
145         { action => 'PARAM', proto => 'tcp', dport => '143' },
146     ],
147     'IMAPS' => [
148         { action => 'PARAM', proto => 'tcp', dport => '993' },
149     ],
150     'IPIP' => [
151         { action => 'PARAM', proto => '94' },
152         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '94' },
153     ],
154     'IPP' => [
155         { action => 'PARAM', proto => 'tcp', dport => '631' },
156     ],
157     'IPPbrd' => [
158         { action => 'PARAM', proto => 'udp', dport => '631' },
159     ],
160     'IPPserver' => [
161         { action => 'PARAM', source => 'SOURCE', dest => 'DEST', proto => 'tcp', dport => '631' },
162         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '631' },
163     ],
164     'IPsec' => [
165         { action => 'PARAM', proto => 'udp', dport => '500', sport => '500' },
166         { action => 'PARAM', proto => '50' },
167         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '500', sport => '500' },
168         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '50' },
169     ],
170     'IPsecah' => [
171         { action => 'PARAM', proto => 'udp', dport => '500', sport => '500' },
172         { action => 'PARAM', proto => '51' },
173         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '500', sport => '500' },
174         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '51' },
175     ],
176     'IPsecnat' => [
177         { action => 'PARAM', proto => 'udp', dport => '500' },
178         { action => 'PARAM', proto => 'udp', dport => '4500' },
179         { action => 'PARAM', proto => '50' },
180         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '500' },
181         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '4500' },
182         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '50' },
183     ],
184     'IRC' => [
185         { action => 'PARAM', proto => 'tcp', dport => '6667' },
186     ],
187     'JabberPlain' => [
188         { action => 'PARAM', proto => 'tcp', dport => '5222' },
189     ],
190     'JabberSecure' => [
191         { action => 'PARAM', proto => 'tcp', dport => '5223' },
192     ],
193     'Jabberd' => [
194         { action => 'PARAM', proto => 'tcp', dport => '5269' },
195     ],
196     'Jetdirect' => [
197         { action => 'PARAM', proto => 'tcp', dport => '9100' },
198     ],
199     'L2TP' => [
200         { action => 'PARAM', proto => 'udp', dport => '1701' },
201         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '1701' },
202     ],
203     'LDAP' => [
204         { action => 'PARAM', proto => 'tcp', dport => '389' },
205     ],
206     'LDAPS' => [
207         { action => 'PARAM', proto => 'tcp', dport => '636' },
208     ],
209     'MSNP' => [
210         { action => 'PARAM', proto => 'tcp', dport => '1863' },
211     ],
212     'MSSQL' => [
213         { action => 'PARAM', proto => 'tcp', dport => '1433' },
214     ],
215     'Mail' => [
216         { action => 'PARAM', proto => 'tcp', dport => '25' },
217         { action => 'PARAM', proto => 'tcp', dport => '465' },
218         { action => 'PARAM', proto => 'tcp', dport => '587' },
219     ],
220     'Munin' => [
221         { action => 'PARAM', proto => 'tcp', dport => '4949' },
222     ],
223     'MySQL' => [
224         { action => 'PARAM', proto => 'tcp', dport => '3306' },
225     ],
226     'NNTP' => [
227         { action => 'PARAM', proto => 'tcp', dport => '119' },
228     ],
229     'NNTPS' => [
230         { action => 'PARAM', proto => 'tcp', dport => '563' },
231     ],
232     'NTP' => [
233         { action => 'PARAM', proto => 'udp', dport => '123' },
234     ],
235     'NTPbi' => [
236         { action => 'PARAM', proto => 'udp', dport => '123' },
237         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '123' },
238     ],
239     'NTPbrd' => [
240         { action => 'PARAM', proto => 'udp', dport => '123' },
241         { action => 'PARAM', proto => 'udp', dport => '1024:65535', sport => '123' },
242     ],
243     'OSPF' => [
244         { action => 'PARAM', proto => '89' },
245     ],
246     'OpenVPN' => [
247         { action => 'PARAM', proto => 'udp', dport => '1194' },
248     ],
249     'PCA' => [
250         { action => 'PARAM', proto => 'udp', dport => '5632' },
251         { action => 'PARAM', proto => 'tcp', dport => '5631' },
252     ],
253     'POP3' => [
254         { action => 'PARAM', proto => 'tcp', dport => '110' },
255     ],
256     'POP3S' => [
257         { action => 'PARAM', proto => 'tcp', dport => '995' },
258     ],
259     'PPtP' => [
260         { action => 'PARAM', proto => '47' },
261         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => '47' },
262         { action => 'PARAM', proto => 'tcp', dport => '1723' },
263     ],
264     'Ping' => [
265         { action => 'PARAM', proto => 'icmp', dport => 'echo-request' },
266     ],
267     'PostgreSQL' => [
268         { action => 'PARAM', proto => 'tcp', dport => '5432' },
269     ],
270     'Printer' => [
271         { action => 'PARAM', proto => 'tcp', dport => '515' },
272     ],
273     'RDP' => [
274         { action => 'PARAM', proto => 'tcp', dport => '3389' },
275     ],
276     'RIPbi' => [
277         { action => 'PARAM', proto => 'udp', dport => '520' },
278         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '520' },
279     ],
280     'RNDC' => [
281         { action => 'PARAM', proto => 'tcp', dport => '953' },
282     ],
283     'Razor' => [
284         { action => 'ACCEPT', proto => 'tcp', dport => '2703' },
285     ],
286     'Rdate' => [
287         { action => 'PARAM', proto => 'tcp', dport => '37' },
288     ],
289     'Rsync' => [
290         { action => 'PARAM', proto => 'tcp', dport => '873' },
291     ],
292     'SANE' => [
293         { action => 'PARAM', proto => 'tcp', dport => '6566' },
294     ],
295     'SMB' => [
296         { action => 'PARAM', proto => 'udp', dport => '135,445' },
297         { action => 'PARAM', proto => 'udp', dport => '137:139' },
298         { action => 'PARAM', proto => 'udp', dport => '1024:65535', sport => '137' },
299         { action => 'PARAM', proto => 'tcp', dport => '135,139,445' },
300     ],
301     'SMBBI' => [
302         { action => 'PARAM', proto => 'udp', dport => '135,445' },
303         { action => 'PARAM', proto => 'udp', dport => '137:139' },
304         { action => 'PARAM', proto => 'udp', dport => '1024:65535', sport => '137' },
305         { action => 'PARAM', proto => 'tcp', dport => '135,139,445' },
306         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '135,445' },
307         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '137:139' },
308         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'udp', dport => '1024:65535', sport => '137' },
309         { action => 'PARAM', source => 'DEST', dest => 'SOURCE', proto => 'tcp', dport => '135,139,445' },
310     ],
311     'SMBswat' => [
312         { action => 'PARAM', proto => 'tcp', dport => '901' },
313     ],
314     'SMTP' => [
315         { action => 'PARAM', proto => 'tcp', dport => '25' },
316     ],
317     'SMTPS' => [
318         { action => 'PARAM', proto => 'tcp', dport => '465' },
319     ],
320     'SNMP' => [
321         { action => 'PARAM', proto => 'udp', dport => '161:162' },
322         { action => 'PARAM', proto => 'tcp', dport => '161' },
323     ],
324     'SPAMD' => [
325         { action => 'PARAM', proto => 'tcp', dport => '783' },
326     ],
327     'SSH' => [
328         { action => 'PARAM', proto => 'tcp', dport => '22' },
329     ],
330     'SVN' => [
331         { action => 'PARAM', proto => 'tcp', dport => '3690' },
332     ],
333     'SixXS' => [
334         { action => 'PARAM', proto => 'tcp', dport => '3874' },
335         { action => 'PARAM', proto => 'udp', dport => '3740' },
336         { action => 'PARAM', proto => '41' },
337         { action => 'PARAM', proto => 'udp', dport => '5072,8374' },
338     ],
339     'Squid' => [
340         { action => 'PARAM', proto => 'tcp', dport => '3128' },
341     ],
342     'Submission' => [
343         { action => 'PARAM', proto => 'tcp', dport => '587' },
344     ],
345     'Syslog' => [
346         { action => 'PARAM', proto => 'udp', dport => '514' },
347         { action => 'PARAM', proto => 'tcp', dport => '514' },
348     ],
349     'TFTP' => [
350         { action => 'PARAM', proto => 'udp', dport => '69' },
351     ],
352     'Telnet' => [
353         { action => 'PARAM', proto => 'tcp', dport => '23' },
354     ],
355     'Telnets' => [
356         { action => 'PARAM', proto => 'tcp', dport => '992' },
357     ],
358     'Time' => [
359         { action => 'PARAM', proto => 'tcp', dport => '37' },
360     ],
361     'Trcrt' => [
362         { action => 'PARAM', proto => 'udp', dport => '33434:33524' },
363         { action => 'PARAM', proto => 'icmp', dport => 'echo-request' },
364     ],
365     'VNC' => [
366         { action => 'PARAM', proto => 'tcp', dport => '5900:5909' },
367     ],
368     'VNCL' => [
369         { action => 'PARAM', proto => 'tcp', dport => '5500' },
370     ],
371     'Web' => [
372         { action => 'PARAM', proto => 'tcp', dport => '80' },
373         { action => 'PARAM', proto => 'tcp', dport => '443' },
374     ],
375     'Webcache' => [
376         { action => 'PARAM', proto => 'tcp', dport => '8080' },
377     ],
378     'Webmin' => [
379         { action => 'PARAM', proto => 'tcp', dport => '10000' },
380     ],
381     'Whois' => [
382         { action => 'PARAM', proto => 'tcp', dport => '43' },
383     ],
384 };
385
386 my $pve_fw_parsed_macros;
387 my $pve_fw_preferred_macro_names = {};
388
389 my $pve_std_chains = {
390     'PVEFW-SET-ACCEPT-MARK' => [
391         "-j MARK --set-mark 1",
392     ],
393     'PVEFW-DropBroadcast' => [
394         # same as shorewall 'Broadcast'
395         # simply DROP BROADCAST/MULTICAST/ANYCAST
396         # we can use this to reduce logging
397         { action => 'DROP', dsttype => 'BROADCAST' },
398         { action => 'DROP', dsttype => 'MULTICAST' },
399         { action => 'DROP', dsttype => 'ANYCAST' },
400         { action => 'DROP', dest => '224.0.0.0/4' }, 
401     ],
402     'PVEFW-reject' => [
403         # same as shorewall 'reject'
404         { action => 'DROP', dsttype => 'BROADCAST' },
405         { action => 'DROP', source => '224.0.0.0/4' }, 
406         { action => 'DROP', proto => 'icmp' },
407         "-p tcp -j REJECT --reject-with tcp-reset",
408         "-p udp -j REJECT --reject-with icmp-port-unreachable",
409         "-p icmp -j REJECT --reject-with icmp-host-unreachable",
410         "-j REJECT --reject-with icmp-host-prohibited",
411     ],
412     'PVEFW-Drop' => [
413         # same as shorewall 'Drop', which is equal to DROP, 
414         # but REJECT/DROP some packages to reduce logging,
415         # and ACCEPT critical ICMP types
416         { action => 'PVEFW-reject',  proto => 'tcp', dport => '43' }, # REJECT 'auth'
417         # we are not interested in BROADCAST/MULTICAST/ANYCAST
418         { action => 'PVEFW-DropBroadcast' },
419         # ACCEPT critical ICMP types
420         { action => 'ACCEPT', proto => 'icmp', dport => 'fragmentation-needed' },
421         { action => 'ACCEPT', proto => 'icmp', dport => 'time-exceeded' },
422         # Drop packets with INVALID state
423         "-m conntrack --ctstate INVALID -j DROP",
424         # Drop Microsoft SMB noise
425         { action => 'DROP', proto => 'udp', dport => '135,445', nbdport => 2 },
426         { action => 'DROP', proto => 'udp', dport => '137:139'},
427         { action => 'DROP', proto => 'udp', dport => '1024:65535', sport => 137 },
428         { action => 'DROP', proto => 'tcp', dport => '135,139,445', nbdport => 3 },
429         { action => 'DROP', proto => 'udp', dport => 1900 }, # UPnP
430         # Drop new/NotSyn traffic so that it doesn't get logged
431         "-p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP",
432         # Drop DNS replies
433         { action => 'DROP', proto => 'udp', sport => 53 },
434     ],
435     'PVEFW-Reject' => [
436         # same as shorewall 'Reject', which is equal to Reject, 
437         # but REJECT/DROP some packages to reduce logging,
438         # and ACCEPT critical ICMP types
439         { action => 'PVEFW-reject',  proto => 'tcp', dport => '43' }, # REJECT 'auth'
440         # we are not interested in BROADCAST/MULTICAST/ANYCAST
441         { action => 'PVEFW-DropBroadcast' },
442         # ACCEPT critical ICMP types
443         { action => 'ACCEPT', proto => 'icmp', dport => 'fragmentation-needed' },
444         { action => 'ACCEPT', proto => 'icmp', dport => 'time-exceeded' },
445         # Drop packets with INVALID state
446         "-m conntrack --ctstate INVALID -j DROP",
447         # Drop Microsoft SMB noise
448         { action => 'PVEFW-reject', proto => 'udp', dport => '135,445', nbdport => 2 },
449         { action => 'PVEFW-reject', proto => 'udp', dport => '137:139'},
450         { action => 'PVEFW-reject', proto => 'udp', dport => '1024:65535', sport => 137 },
451         { action => 'PVEFW-reject', proto => 'tcp', dport => '135,139,445', nbdport => 3 },
452         { action => 'DROP', proto => 'udp', dport => 1900 }, # UPnP
453         # Drop new/NotSyn traffic so that it doesn't get logged
454         "-p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP",
455         # Drop DNS replies
456         { action => 'DROP', proto => 'udp', sport => 53 },
457     ],
458     'PVEFW-tcpflags' => [
459         # same as shorewall tcpflags action.
460         # Packets arriving on this interface are checked for som illegal combinations of TCP flags
461         "-p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags",
462         "-p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags",
463         "-p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags",
464         "-p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags",
465         "-p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags",
466     ],
467     'PVEFW-smurfs' => [
468         # same as shorewall smurfs action
469         # Filter packets for smurfs (packets with a broadcast address as the source).
470         "-s 0.0.0.0/32 -j RETURN",
471         "-m addrtype --src-type BROADCAST -g PVEFW-smurflog",
472         "-s 224.0.0.0/4 -g PVEFW-smurflog",
473     ],
474 };
475
476 # iptables -p icmp -h
477 my $icmp_type_names = {
478     any => 1,
479     'echo-reply' => 1,
480     'destination-unreachable' => 1,
481     'network-unreachable' => 1,
482     'host-unreachable' => 1,
483     'protocol-unreachable' => 1,
484     'port-unreachable' => 1,
485     'fragmentation-needed' => 1,
486     'source-route-failed' => 1,
487     'network-unknown' => 1,
488     'host-unknown' => 1,
489     'network-prohibited' => 1,
490     'host-prohibited' => 1,
491     'TOS-network-unreachable' => 1,
492     'TOS-host-unreachable' => 1,
493     'communication-prohibited' => 1,
494     'host-precedence-violation' => 1,
495     'precedence-cutoff' => 1,
496     'source-quench' => 1,
497     'redirect' => 1,
498     'network-redirect' => 1,
499     'host-redirect' => 1,
500     'TOS-network-redirect' => 1,
501     'TOS-host-redirect' => 1,
502     'echo-request' => 1,
503     'router-advertisement' => 1,
504     'router-solicitation' => 1,
505     'time-exceeded' => 1,
506     'ttl-zero-during-transit' => 1,
507     'ttl-zero-during-reassembly' => 1,
508     'parameter-problem' => 1,
509     'ip-header-bad' => 1,
510     'required-option-missing' => 1,
511     'timestamp-request' => 1,
512     'timestamp-reply' => 1,
513     'address-mask-request' => 1,
514     'address-mask-reply' => 1,
515 };
516
517 sub init_firewall_macros {
518
519     $pve_fw_parsed_macros = {};
520
521     foreach my $k (keys %$pve_fw_macros) {
522         my $lc_name = lc($k);
523         my $macro = $pve_fw_macros->{$k};
524         $pve_fw_preferred_macro_names->{$lc_name} = $k;
525         $pve_fw_parsed_macros->{$k} = $macro;
526     }
527 }
528
529 init_firewall_macros();
530
531 my $etc_services;
532
533 sub get_etc_services {
534
535     return $etc_services if $etc_services;
536
537     my $filename = "/etc/services";
538
539     my $fh = IO::File->new($filename, O_RDONLY);
540     if (!$fh) {
541         warn "unable to read '$filename' - $!\n";
542         return {};
543     }
544
545     my $services = {};
546
547     while (my $line = <$fh>) {
548         chomp ($line);
549         next if $line =~m/^#/;
550         next if ($line =~m/^\s*$/);
551
552         if ($line =~ m!^(\S+)\s+(\S+)/(tcp|udp).*$!) {
553             $services->{byid}->{$2}->{name} = $1;
554             $services->{byid}->{$2}->{port} = $2;
555             $services->{byid}->{$2}->{$3} = 1;
556             $services->{byname}->{$1} = $services->{byid}->{$2};
557         }
558     }
559
560     close($fh);
561
562     $etc_services = $services;
563
564
565     return $etc_services;
566 }
567
568 my $etc_protocols;
569
570 sub get_etc_protocols {
571     return $etc_protocols if $etc_protocols;
572
573     my $filename = "/etc/protocols";
574
575     my $fh = IO::File->new($filename, O_RDONLY);
576     if (!$fh) {
577         warn "unable to read '$filename' - $!\n";
578         return {};
579     }
580
581     my $protocols = {};
582
583     while (my $line = <$fh>) {
584         chomp ($line);
585         next if $line =~m/^#/;
586         next if ($line =~m/^\s*$/);
587
588         if ($line =~ m!^(\S+)\s+(\d+)\s+.*$!) {
589             $protocols->{byid}->{$2}->{name} = $1;
590             $protocols->{byname}->{$1} = $protocols->{byid}->{$2};
591         }
592     }
593
594     close($fh);
595
596     $etc_protocols = $protocols;
597
598     return $etc_protocols;
599 }
600
601 sub parse_address_list {
602     my ($str) = @_;
603
604     my $nbaor = 0;
605     foreach my $aor (split(/,/, $str)) {
606         if (!Net::IP->new($aor)) {
607             my $err = Net::IP::Error();
608             die "invalid IP address: $err\n";
609         }else{
610             $nbaor++;
611         }
612     }
613     return $nbaor;
614 }
615
616 sub parse_port_name_number_or_range {
617     my ($str) = @_;
618
619     my $services = PVE::Firewall::get_etc_services();
620     my $nbports = 0;
621     foreach my $item (split(/,/, $str)) {
622         my $portlist = "";
623         my $oldpon = undef;
624         $nbports++;
625         foreach my $pon (split(':', $item, 2)) {
626             $pon = $services->{byname}->{$pon}->{port} if $services->{byname}->{$pon}->{port};
627             if ($pon =~ m/^\d+$/){
628                 die "invalid port '$pon'\n" if $pon < 0 && $pon > 65535;
629                 die "port '$pon' must be bigger than port '$oldpon' \n" if $oldpon && ($pon < $oldpon);
630                 $oldpon = $pon;
631             }else{
632                 die "invalid port $services->{byname}->{$pon}\n" if !$services->{byname}->{$pon};
633             }
634         }
635     }
636
637     return ($nbports);
638 }
639
640 PVE::JSONSchema::register_format('pve-fw-port-spec', \&pve_fw_verify_port_spec);
641 sub pve_fw_verify_port_spec {
642    my ($portstr) = @_;
643
644     parse_port_name_number_or_range($portstr);
645
646    return $portstr;
647 }
648
649 PVE::JSONSchema::register_format('pve-fw-v4addr-spec', \&pve_fw_verify_v4addr_spec);
650 sub pve_fw_verify_v4addr_spec {
651    my ($list) = @_;
652
653    parse_address_list($list);
654
655    return $list;
656 }
657
658 PVE::JSONSchema::register_format('pve-fw-protocol-spec', \&pve_fw_verify_protocol_spec);
659 sub pve_fw_verify_protocol_spec {
660    my ($proto) = @_;
661
662    my $protocols = get_etc_protocols();
663
664    die "unknown protocol '$proto'\n" if $proto &&
665        !(defined($protocols->{byname}->{$proto}) ||
666          defined($protocols->{byid}->{$proto}));
667
668    return $proto;
669 }
670
671
672 # helper function for API
673
674 my $rule_properties = {
675     pos => {
676         description => "Update rule at position <pos>.",
677         type => 'integer',
678         minimum => 0,
679         optional => 1,
680     },
681     digest => {
682         type => 'string',
683         optional => 1,
684         maxLength => 27,
685         minLength => 27,
686     },
687     type => {
688         type => 'string',
689         optional => 1,
690         enum => ['in', 'out', 'group'],
691     },
692     action => {
693         type => 'string',
694         optional => 1,
695         enum => ['ACCEPT', 'DROP', 'REJECT'],
696     },
697     macro => {
698         type => 'string',
699         optional => 1,
700         maxLength => 128,
701     },
702     iface => get_standard_option('pve-iface', { optional => 1 }),
703     source => {
704         type => 'string', format => 'pve-fw-v4addr-spec',
705         optional => 1,
706     },
707     dest => {
708         type => 'string', format => 'pve-fw-v4addr-spec',
709         optional => 1,
710     },
711     proto => {
712         type => 'string', format => 'pve-fw-protocol-spec',
713         optional => 1,
714     },
715     enable => {
716         type => 'boolean',
717         optional => 1,
718     },
719     sport => {
720         type => 'string', format => 'pve-fw-port-spec',
721         optional => 1,
722     },
723     dport => {
724         type => 'string', format => 'pve-fw-port-spec',
725         optional => 1,
726     },
727     comment => {
728         type => 'string',
729         optional => 1,
730     },
731 };
732
733 sub cleanup_fw_rule {
734     my ($rule, $digest, $pos) = @_;
735
736     my $r = {};
737
738     foreach my $k (keys %$rule) {
739         next if !$rule_properties->{$k};
740         my $v = $rule->{$k};
741         next if !defined($v);
742         $r->{$k} = $v;
743         $r->{digest} = $digest;
744         $r->{pos} = $pos;
745     }
746
747     return $r;
748 }
749
750 sub add_rule_properties {
751     my ($properties) = @_;
752
753     foreach my $k (keys %$rule_properties) {
754         $properties->{$k} = $rule_properties->{$k};
755     }
756     
757     return $properties;
758 }
759
760 sub copy_rule_data {
761     my ($rule, $param) = @_;
762
763     foreach my $k (keys %$rule_properties) {
764         if (defined(my $v = $param->{$k})) {
765             if ($v eq '' || $v eq '-') {
766                 delete $rule->{$k};
767             } else {
768                 $rule->{$k} = $v;
769             }
770         } else {
771             delete $rule->{$k};
772         }
773     }
774     return $rule;
775 }
776
777 # core functions
778 my $bridge_firewall_enabled = 0;
779
780 sub enable_bridge_firewall {
781
782     return if $bridge_firewall_enabled; # only once
783
784     PVE::ProcFSTools::write_proc_entry("/proc/sys/net/bridge/bridge-nf-call-iptables", "1");
785     PVE::ProcFSTools::write_proc_entry("/proc/sys/net/bridge/bridge-nf-call-ip6tables", "1");
786
787     # make sure syncookies are enabled (which is default on newer 3.X kernels anyways)
788     PVE::ProcFSTools::write_proc_entry("/proc/sys/net/ipv4/tcp_syncookies", "1");
789
790     $bridge_firewall_enabled = 1;
791 }
792
793 my $rule_format = "%-15s %-30s %-30s %-15s %-15s %-15s\n";
794
795 sub iptables_restore_cmdlist {
796     my ($cmdlist) = @_;
797
798     run_command("/sbin/iptables-restore -n", input => $cmdlist);
799 }
800
801 sub ipset_restore_cmdlist {
802     my ($cmdlist) = @_;
803
804     run_command("/usr/sbin/ipset restore", input => $cmdlist);
805 }
806
807 sub iptables_get_chains {
808
809     my $res = {};
810
811     # check what chains we want to track
812     my $is_pvefw_chain = sub {
813         my $name = shift;
814
815         return 1 if $name =~ m/^PVEFW-\S+$/;
816
817         return 1 if $name =~ m/^tap\d+i\d+-(:?IN|OUT)$/;
818
819         return 1 if $name =~ m/^veth\d+.\d+-(:?IN|OUT)$/; # fixme: dev name is configurable
820
821         return 1 if $name =~ m/^venet0-\d+-(:?IN|OUT)$/;
822
823         return 1 if $name =~ m/^vmbr\d+-(:?FW|IN|OUT|IPS)$/;
824         return 1 if $name =~ m/^GROUP-(:?[^\s\-]+)-(:?IN|OUT)$/;
825
826         return undef;
827     };
828
829     my $table = '';
830
831     my $hooks = {};
832
833     my $parser = sub {
834         my $line = shift;
835
836         return if $line =~ m/^#/;
837         return if $line =~ m/^\s*$/;
838
839         if ($line =~ m/^\*(\S+)$/) {
840             $table = $1;
841             return;
842         }
843
844         return if $table ne 'filter';
845
846         if ($line =~ m/^:(\S+)\s/) {
847             my $chain = $1;
848             return if !&$is_pvefw_chain($chain);
849             $res->{$chain} = "unknown";
850         } elsif ($line =~ m/^-A\s+(\S+)\s.*--comment\s+\"PVESIG:(\S+)\"/) {
851             my ($chain, $sig) = ($1, $2);
852             return if !&$is_pvefw_chain($chain);
853             $res->{$chain} = $sig;
854         } elsif ($line =~ m/^-A\s+(INPUT|OUTPUT|FORWARD)\s+-j\s+PVEFW-\1$/) {
855             $hooks->{$1} = 1;
856         } else {
857             # simply ignore the rest
858             return;
859         }
860     };
861
862     run_command("/sbin/iptables-save", outfunc => $parser);
863
864     return wantarray ? ($res, $hooks) : $res;
865 }
866
867 sub iptables_chain_digest {
868     my ($rules) = @_;
869     my $digest = Digest::SHA->new('sha1');
870     foreach my $rule (@$rules) { # order is important
871         $digest->add($rule);
872     }
873     return $digest->b64digest;
874 }
875
876 sub ipset_chain_digest {
877     my ($rules) = @_;
878
879     my $digest = Digest::SHA->new('sha1');
880     foreach my $rule (sort @$rules) { # note: sorted
881         $digest->add($rule);
882     }
883     return $digest->b64digest;
884 }
885
886 sub ipset_get_chains {
887
888     my $res = {};
889     my $chains = {};
890
891     my $parser = sub {
892         my $line = shift;
893
894         return if $line =~ m/^#/;
895         return if $line =~ m/^\s*$/;
896         if ($line =~ m/^(?:\S+)\s(\S+)\s(?:\S+).*/) {
897             my $chain = $1;
898             $line =~ s/\s+$//; # delete trailing white space
899             push @{$chains->{$chain}}, $line;
900         } else {
901             # simply ignore the rest
902             return;
903         }
904     };
905
906     run_command("/usr/sbin/ipset save", outfunc => $parser);
907
908     # compute digest for each chain
909     foreach my $chain (keys %$chains) {
910         $res->{$chain} = ipset_chain_digest($chains->{$chain});
911     }
912
913     return $res;
914 }
915
916 sub ruleset_generate_cmdstr {
917     my ($ruleset, $chain, $rule, $actions, $goto) = @_;
918
919     return if defined($rule->{enable}) && !$rule->{enable};
920
921     die "unable to emit macro - internal error" if $rule->{macro}; # should not happen
922
923     my $nbdport = defined($rule->{dport}) ? parse_port_name_number_or_range($rule->{dport}) : 0;
924     my $nbsport = defined($rule->{sport}) ? parse_port_name_number_or_range($rule->{sport}) : 0;
925     my $nbsource = $rule->{source} ? parse_address_list( $rule->{source}) : 0;
926     my $nbdest = $rule->{dest} ? parse_address_list($rule->{dest}) : 0;
927
928     my @cmd = ();
929
930     push @cmd, "-i $rule->{iface_in}" if $rule->{iface_in};
931     push @cmd, "-o $rule->{iface_out}" if $rule->{iface_out};
932
933     push @cmd, "-m iprange --src-range" if $nbsource > 1;
934     push @cmd, "-s $rule->{source}" if $rule->{source};
935     push @cmd, "-m iprange --dst-range" if $nbdest > 1;
936     push @cmd, "-d $rule->{dest}" if $rule->{dest};
937
938     if ($rule->{proto}) {
939         push @cmd, "-p $rule->{proto}";
940
941         my $multiport = 0;
942         $multiport++ if $nbdport > 1;
943         $multiport++ if $nbsport > 1;
944
945         push @cmd, "--match multiport" if $multiport;
946
947         die "multiport: option '--sports' cannot be used together with '--dports'\n" 
948             if ($multiport == 2) && ($rule->{dport} ne $rule->{sport});
949
950         if ($rule->{dport}) {
951             if ($rule->{proto} && $rule->{proto} eq 'icmp') {
952                 # Note: we use dport to store --icmp-type
953                 die "unknown icmp-type '$rule->{dport}'\n" if !defined($icmp_type_names->{$rule->{dport}});
954                 push @cmd, "-m icmp --icmp-type $rule->{dport}";
955             } else {
956                 if ($nbdport > 1) {
957                     if ($multiport == 2) {
958                         push @cmd,  "--ports $rule->{dport}";
959                     } else {
960                         push @cmd, "--dports $rule->{dport}";
961                     }
962                 } else {
963                     push @cmd, "--dport $rule->{dport}";
964                 }
965             }
966         }
967
968         if ($rule->{sport}) {
969             if ($nbsport > 1) {
970                 push @cmd, "--sports $rule->{sport}" if $multiport != 2;
971             } else {
972                 push @cmd, "--sport $rule->{sport}";
973             }
974         }
975     } elsif ($rule->{dport} || $rule->{sport}) {
976         warn "ignoring destination port '$rule->{dport}' - no protocol specified\n" if $rule->{dport};
977         warn "ignoring source port '$rule->{sport}' - no protocol specified\n" if $rule->{sport};
978     }
979
980     push @cmd, "-m addrtype --dst-type $rule->{dsttype}" if $rule->{dsttype};
981
982     if (my $action = $rule->{action}) {
983         $action = $actions->{$action} if defined($actions->{$action}); 
984         $goto = 1 if !defined($goto) && $action eq 'PVEFW-SET-ACCEPT-MARK';
985         push @cmd, $goto ? "-g $action" : "-j $action";
986     }
987
988     return scalar(@cmd) ? join(' ', @cmd) : undef;
989 }
990
991 my $apply_macro = sub {
992     my ($macro_name, $param) = @_;
993
994     my $macro_rules = $pve_fw_parsed_macros->{$macro_name};
995     die "unknown macro '$macro_name'\n" if !$macro_rules; # should not happen
996
997     my $rules = [];
998
999     foreach my $templ (@$macro_rules) {
1000         my $rule = {};
1001         my $param_used = {};
1002         foreach my $k (keys %$templ) {
1003             my $v = $templ->{$k};
1004             if ($v eq 'PARAM') {
1005                 $v = $param->{$k};
1006                 $param_used->{$k} = 1;
1007             } elsif ($v eq 'DEST') {
1008                 $v = $param->{dest};
1009                 $param_used->{dest} = 1;
1010             } elsif ($v eq 'SOURCE') {
1011                 $v = $param->{source};
1012                 $param_used->{source} = 1;
1013             }
1014
1015             die "missing parameter '$k' in macro '$macro_name'\n" if !defined($v);
1016             $rule->{$k} = $v;
1017         }
1018         foreach my $k (keys %$param) {
1019             next if $k eq 'macro';
1020             next if !defined($param->{$k});
1021             next if $param_used->{$k};
1022             if (defined($rule->{$k})) {
1023                 die "parameter '$k' already define in macro (value = '$rule->{$k}')\n"
1024                     if $rule->{$k} ne $param->{$k};
1025             } else {
1026                 $rule->{$k} = $param->{$k};
1027             }
1028         }
1029         push @$rules, $rule;
1030     }
1031
1032     return $rules;
1033 };
1034
1035 sub ruleset_generate_rule {
1036     my ($ruleset, $chain, $rule, $actions, $goto) = @_;
1037
1038     my $rules;
1039
1040     if ($rule->{macro}) {
1041         $rules = &$apply_macro($rule->{macro}, $rule);
1042     } else {
1043         $rules = [ $rule ];
1044     }
1045
1046     foreach my $tmp (@$rules) { 
1047         if (my $cmdstr = ruleset_generate_cmdstr($ruleset, $chain, $tmp, $actions, $goto)) {
1048             ruleset_addrule($ruleset, $chain, $cmdstr);
1049         }
1050     }
1051 }
1052
1053 sub ruleset_generate_rule_insert {
1054     my ($ruleset, $chain, $rule, $actions, $goto) = @_;
1055
1056     die "implement me" if $rule->{macro}; # not implemented, because not needed so far
1057
1058     if (my $cmdstr = ruleset_generate_cmdstr($ruleset, $chain, $rule, $actions, $goto)) {
1059         ruleset_insertrule($ruleset, $chain, $cmdstr);
1060     }
1061 }
1062
1063 sub ruleset_create_chain {
1064     my ($ruleset, $chain) = @_;
1065
1066     die "Invalid chain name '$chain' (28 char max)\n" if length($chain) > 28;
1067     die "chain name may not contain collons\n" if $chain =~ m/:/; # because of log format
1068
1069     die "chain '$chain' already exists\n" if $ruleset->{$chain};
1070
1071     $ruleset->{$chain} = [];
1072 }
1073
1074 sub ruleset_chain_exist {
1075     my ($ruleset, $chain) = @_;
1076
1077     return $ruleset->{$chain} ? 1 : undef;
1078 }
1079
1080 sub ruleset_addrule {
1081    my ($ruleset, $chain, $rule) = @_;
1082
1083    die "no such chain '$chain'\n" if !$ruleset->{$chain};
1084
1085    push @{$ruleset->{$chain}}, "-A $chain $rule";
1086 }
1087
1088 sub ruleset_insertrule {
1089    my ($ruleset, $chain, $rule) = @_;
1090
1091    die "no such chain '$chain'\n" if !$ruleset->{$chain};
1092
1093    unshift @{$ruleset->{$chain}}, "-A $chain $rule";
1094 }
1095
1096 sub get_log_rule_base {
1097     my ($chain, $vmid, $msg, $loglevel) = @_;
1098     
1099     die "internal error - no log level" if !defined($loglevel);
1100
1101     $vmid = 0 if !defined($vmid);
1102
1103     # Note: we use special format for prefix to pass further 
1104     # info to log daemon (VMID, LOGVELEL and CHAIN)
1105
1106     return "-j NFLOG --nflog-prefix \":$vmid:$loglevel:$chain: $msg\"";
1107 }
1108
1109 sub ruleset_addlog {
1110     my ($ruleset, $chain, $vmid, $msg, $loglevel, $rule) = @_;
1111
1112     return if !defined($loglevel);
1113
1114     my $logrule = get_log_rule_base($chain, $vmid, $msg, $loglevel);
1115
1116     $logrule = "$rule $logrule" if defined($rule);
1117
1118     ruleset_addrule($ruleset, $chain, $logrule)
1119 }
1120
1121 sub generate_bridge_chains {
1122     my ($ruleset, $hostfw_conf, $bridge, $routing_table) = @_;
1123
1124     my $options = $hostfw_conf->{options} || {};
1125
1126     die "error: detected direct route to bridge '$bridge'\n"
1127         if !$options->{allow_bridge_route} && $routing_table->{$bridge};
1128
1129     if (!ruleset_chain_exist($ruleset, "$bridge-FW")) {
1130         ruleset_create_chain($ruleset, "$bridge-FW");
1131         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -m physdev --physdev-is-out -j $bridge-FW");
1132         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -m physdev --physdev-is-in -j $bridge-FW");
1133     }
1134
1135     if (!ruleset_chain_exist($ruleset, "$bridge-OUT")) {
1136         ruleset_create_chain($ruleset, "$bridge-OUT");
1137         ruleset_addrule($ruleset, "$bridge-FW", "-m physdev --physdev-is-in -j $bridge-OUT");
1138         ruleset_insertrule($ruleset, "PVEFW-INPUT", "-i $bridge -m physdev --physdev-is-in -j $bridge-OUT");
1139     }
1140
1141     if (!ruleset_chain_exist($ruleset, "$bridge-IN")) {
1142         ruleset_create_chain($ruleset, "$bridge-IN");
1143         ruleset_addrule($ruleset, "$bridge-FW", "-m physdev --physdev-is-out -j $bridge-IN");
1144         ruleset_addrule($ruleset, "$bridge-FW", "-m mark --mark 1 -j ACCEPT");
1145         # accept traffic to unmanaged bridge ports
1146         ruleset_addrule($ruleset, "$bridge-FW", "-m physdev --physdev-is-out -j ACCEPT ");
1147     }
1148 }
1149
1150 sub ruleset_add_chain_policy {
1151     my ($ruleset, $chain, $vmid, $policy, $loglevel, $accept_action) = @_;
1152
1153     if ($policy eq 'ACCEPT') {
1154
1155         ruleset_generate_rule($ruleset, $chain, { action => 'ACCEPT' },
1156                               { ACCEPT =>  $accept_action});
1157
1158     } elsif ($policy eq 'DROP') {
1159
1160         ruleset_addrule($ruleset, $chain, "-j PVEFW-Drop");
1161
1162         ruleset_addlog($ruleset, $chain, $vmid, "policy $policy: ", $loglevel);
1163
1164         ruleset_addrule($ruleset, $chain, "-j DROP");
1165     } elsif ($policy eq 'REJECT') {
1166         ruleset_addrule($ruleset, $chain, "-j PVEFW-Reject");
1167
1168         ruleset_addlog($ruleset, $chain, $vmid, "policy $policy: ", $loglevel);
1169
1170         ruleset_addrule($ruleset, $chain, "-g PVEFW-reject");
1171     } else {
1172         # should not happen
1173         die "internal error: unknown policy '$policy'";
1174     }
1175 }
1176
1177 sub ruleset_create_vm_chain {
1178     my ($ruleset, $chain, $options, $macaddr, $direction) = @_;
1179
1180     ruleset_create_chain($ruleset, $chain);
1181     my $accept = generate_nfqueue($options);
1182
1183     if (!(defined($options->{nosmurfs}) && $options->{nosmurfs} == 0)) {
1184         ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs");
1185     }
1186
1187     if (!(defined($options->{dhcp}) && $options->{dhcp} == 0)) {
1188         if ($direction eq 'OUT') {
1189             ruleset_generate_rule($ruleset, $chain, { action => 'PVEFW-SET-ACCEPT-MARK', 
1190                                                       proto => 'udp', sport => 68, dport => 67 });
1191         } else {
1192             ruleset_generate_rule($ruleset, $chain, { action => 'ACCEPT', 
1193                                                       proto => 'udp', sport => 67, dport => 68 });
1194         }
1195     }
1196
1197     if ($options->{tcpflags}) {
1198         ruleset_addrule($ruleset, $chain, "-p tcp -j PVEFW-tcpflags");
1199     }
1200
1201     ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID -j DROP");
1202     if($direction eq 'OUT'){
1203         ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -g PVEFW-SET-ACCEPT-MARK");
1204
1205     }else{
1206         ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -j $accept");
1207     }
1208     if ($direction eq 'OUT') {
1209         if (defined($macaddr) && !(defined($options->{macfilter}) && $options->{macfilter} == 0)) {
1210             ruleset_addrule($ruleset, $chain, "-m mac ! --mac-source $macaddr -j DROP");
1211         }
1212         ruleset_addrule($ruleset, $chain, "-j MARK --set-mark 0"); # clear mark
1213     }
1214
1215
1216 }
1217
1218 sub ruleset_generate_vm_rules {
1219     my ($ruleset, $rules, $cluster_conf, $chain, $netid, $direction, $options) = @_;
1220
1221     my $lc_direction = lc($direction);
1222
1223     foreach my $rule (@$rules) {
1224         next if $rule->{iface} && $rule->{iface} ne $netid;
1225         next if !$rule->{enable};
1226         if ($rule->{type} eq 'group') {
1227             my $group_chain = "GROUP-$rule->{action}-$direction"; 
1228             if(!ruleset_chain_exist($ruleset, $group_chain)){
1229                 generate_group_rules($ruleset, $cluster_conf, $rule->{action});
1230             }
1231             ruleset_addrule($ruleset, $chain, "-j $group_chain");
1232             if ($direction eq 'OUT'){
1233                 ruleset_addrule($ruleset, $chain, "-m mark --mark 1 -j RETURN");
1234             }else{
1235                 my $accept = generate_nfqueue($options);
1236                 ruleset_addrule($ruleset, $chain, "-m mark --mark 1 -j $accept");
1237             }
1238
1239         } else {
1240             next if $rule->{type} ne $lc_direction;
1241             if ($direction eq 'OUT') {
1242                 ruleset_generate_rule($ruleset, $chain, $rule, 
1243                                       { ACCEPT => "PVEFW-SET-ACCEPT-MARK", REJECT => "PVEFW-reject" });
1244             } else {
1245                 my $accept = generate_nfqueue($options);
1246                 ruleset_generate_rule($ruleset, $chain, $rule, { ACCEPT => $accept , REJECT => "PVEFW-reject" });
1247             }
1248         }
1249     }
1250 }
1251
1252 sub generate_nfqueue {
1253     my ($options) = @_;
1254
1255     my $action = "";
1256     if($options->{ips}){
1257         $action = "NFQUEUE";
1258         if($options->{ips_queues} && $options->{ips_queues} =~ m/^(\d+)(:(\d+))?$/) {
1259             if(defined($3) && defined($1)) {
1260                 $action .= " --queue-balance $1:$3";
1261             }elsif (defined($1)) {
1262                 $action .= " --queue-num $1";
1263             }
1264         }
1265         $action .= " --queue-bypass";
1266     }else{
1267         $action = "ACCEPT";
1268     }
1269
1270     return $action;
1271 }
1272
1273 sub ruleset_generate_vm_ipsrules {
1274     my ($ruleset, $options, $direction, $iface, $bridge) = @_;
1275
1276     if ($options->{ips} && $direction eq 'IN') {
1277         my $nfqueue = generate_nfqueue($options);
1278
1279         if (!ruleset_chain_exist($ruleset, "$bridge-IPS")) {
1280             ruleset_create_chain($ruleset, "PVEFW-IPS");
1281         }
1282
1283         if (!ruleset_chain_exist($ruleset, "$bridge-IPS")) {
1284             ruleset_create_chain($ruleset, "$bridge-IPS");
1285             ruleset_insertrule($ruleset, "PVEFW-IPS", "-o $bridge -m physdev --physdev-is-out -j $bridge-IPS");
1286         }
1287
1288         ruleset_addrule($ruleset, "$bridge-IPS", "-m physdev --physdev-out $iface --physdev-is-bridged -j $nfqueue");
1289     }
1290 }
1291
1292 sub generate_venet_rules_direction {
1293     my ($ruleset, $cluster_conf, $vmfw_conf, $vmid, $ip, $direction) = @_;
1294
1295     parse_address_list($ip); # make sure we have a valid $ip list
1296
1297     my $lc_direction = lc($direction);
1298
1299     my $rules = $vmfw_conf->{rules};
1300
1301     my $options = $vmfw_conf->{options};
1302     my $loglevel = get_option_log_level($options, "log_level_${lc_direction}");
1303
1304     my $chain = "venet0-$vmid-$direction";
1305
1306     ruleset_create_vm_chain($ruleset, $chain, $options, undef, $direction);
1307
1308     ruleset_generate_vm_rules($ruleset, $rules, $cluster_conf, $chain, 'venet', $direction);
1309
1310     # implement policy
1311     my $policy;
1312
1313     if ($direction eq 'OUT') {
1314         $policy = $options->{policy_out} || 'ACCEPT'; # allow everything by default
1315     } else {
1316         $policy = $options->{policy_in} || 'DROP'; # allow nothing by default
1317     }
1318
1319     my $accept = generate_nfqueue($options);
1320     my $accept_action = $direction eq 'OUT' ? "PVEFW-SET-ACCEPT-MARK" : $accept;
1321     ruleset_add_chain_policy($ruleset, $chain, $vmid, $policy, $loglevel, $accept_action);
1322
1323     # plug into FORWARD, INPUT and OUTPUT chain
1324     if ($direction eq 'OUT') {
1325         ruleset_generate_rule_insert($ruleset, "PVEFW-FORWARD", {
1326             action => $chain,
1327             source => $ip,
1328             iface_in => 'venet0'});
1329
1330         ruleset_generate_rule_insert($ruleset, "PVEFW-INPUT", {
1331             action => $chain,
1332             source => $ip,
1333             iface_in => 'venet0'});
1334     } else {
1335         ruleset_generate_rule($ruleset, "PVEFW-FORWARD", {
1336             action => $chain,
1337             dest => $ip,
1338             iface_out => 'venet0'});
1339
1340         ruleset_generate_rule($ruleset, "PVEFW-OUTPUT", {
1341             action => $chain,
1342             dest => $ip,
1343             iface_out => 'venet0'});
1344     }
1345 }
1346
1347 sub generate_tap_rules_direction {
1348     my ($ruleset, $cluster_conf, $iface, $netid, $macaddr, $vmfw_conf, $vmid, $bridge, $direction) = @_;
1349
1350     my $lc_direction = lc($direction);
1351
1352     my $rules = $vmfw_conf->{rules};
1353
1354     my $options = $vmfw_conf->{options};
1355     my $loglevel = get_option_log_level($options, "log_level_${lc_direction}");
1356
1357     my $tapchain = "$iface-$direction";
1358
1359     ruleset_create_vm_chain($ruleset, $tapchain, $options, $macaddr, $direction);
1360
1361     ruleset_generate_vm_rules($ruleset, $rules, $cluster_conf, $tapchain, $netid, $direction, $options);
1362
1363     ruleset_generate_vm_ipsrules($ruleset, $options, $direction, $iface, $bridge);
1364
1365     # implement policy
1366     my $policy;
1367
1368     if ($direction eq 'OUT') {
1369         $policy = $options->{policy_out} || 'ACCEPT'; # allow everything by default
1370     } else {
1371         $policy = $options->{policy_in} || 'DROP'; # allow nothing by default
1372     }
1373
1374     my $accept = generate_nfqueue($options);
1375     my $accept_action = $direction eq 'OUT' ? "PVEFW-SET-ACCEPT-MARK" : $accept;
1376     ruleset_add_chain_policy($ruleset, $tapchain, $vmid, $policy, $loglevel, $accept_action);
1377
1378     # plug the tap chain to bridge chain
1379     if ($direction eq 'IN') {
1380         ruleset_insertrule($ruleset, "$bridge-IN",
1381                            "-m physdev --physdev-is-bridged --physdev-out $iface -j $tapchain");
1382     } else {
1383         ruleset_insertrule($ruleset, "$bridge-OUT",
1384                            "-m physdev --physdev-in $iface -j $tapchain");
1385     }
1386 }
1387
1388 sub enable_host_firewall {
1389     my ($ruleset, $hostfw_conf, $cluster_conf) = @_;
1390
1391     # fixme: allow security groups
1392
1393     my $options = $hostfw_conf->{options};
1394     my $rules = $hostfw_conf->{rules};
1395
1396     # host inbound firewall
1397     my $chain = "PVEFW-HOST-IN";
1398     ruleset_create_chain($ruleset, $chain);
1399
1400     my $loglevel = get_option_log_level($options, "log_level_in");
1401
1402     if (!(defined($options->{nosmurfs}) && $options->{nosmurfs} == 0)) {
1403         ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs");
1404     }
1405
1406     if ($options->{tcpflags}) {
1407         ruleset_addrule($ruleset, $chain, "-p tcp -j PVEFW-tcpflags");
1408     }
1409
1410     ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID -j DROP");
1411     ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
1412     ruleset_addrule($ruleset, $chain, "-i lo -j ACCEPT");
1413     ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
1414     ruleset_addrule($ruleset, $chain, "-p udp -m conntrack --ctstate NEW --dport 5404:5405 -j ACCEPT");
1415     ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT");  #corosync
1416
1417     # we use RETURN because we need to check also tap rules
1418     my $accept_action = 'RETURN';
1419
1420     foreach my $rule (@$rules) {
1421         next if $rule->{type} ne 'in';
1422         ruleset_generate_rule($ruleset, $chain, $rule, { ACCEPT => $accept_action, REJECT => "PVEFW-reject" });
1423     }
1424
1425     # implement input policy
1426     my $policy = $options->{policy_in} || 'DROP'; # allow nothing by default
1427     ruleset_add_chain_policy($ruleset, $chain, 0, $policy, $loglevel, $accept_action);
1428
1429     # host outbound firewall
1430     $chain = "PVEFW-HOST-OUT";
1431     ruleset_create_chain($ruleset, $chain);
1432
1433     $loglevel = get_option_log_level($options, "log_level_out");
1434
1435     ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID -j DROP");
1436     ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
1437     ruleset_addrule($ruleset, $chain, "-o lo -j ACCEPT");
1438     ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
1439     ruleset_addrule($ruleset, $chain, "-p udp -m conntrack --ctstate NEW --dport 5404:5405 -j ACCEPT");
1440     ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT"); #corosync
1441
1442     # we use RETURN because we may want to check other thigs later
1443     $accept_action = 'RETURN';
1444
1445     foreach my $rule (@$rules) {
1446         next if $rule->{type} ne 'out';
1447         ruleset_generate_rule($ruleset, $chain, $rule, { ACCEPT => $accept_action, REJECT => "PVEFW-reject" });
1448     }
1449
1450     # implement output policy
1451     $policy = $options->{policy_out} || 'ACCEPT'; # allow everything by default
1452     ruleset_add_chain_policy($ruleset, $chain, 0, $policy, $loglevel, $accept_action);
1453
1454     ruleset_addrule($ruleset, "PVEFW-OUTPUT", "-j PVEFW-HOST-OUT");
1455     ruleset_addrule($ruleset, "PVEFW-INPUT", "-j PVEFW-HOST-IN");
1456 }
1457
1458 sub generate_group_rules {
1459     my ($ruleset, $cluster_conf, $group) = @_;
1460     die "no such security group '$group'\n" if !$cluster_conf->{groups}->{$group};
1461
1462     my $rules = $cluster_conf->{groups}->{$group};
1463
1464     my $chain = "GROUP-${group}-IN";
1465
1466     ruleset_create_chain($ruleset, $chain);
1467     ruleset_addrule($ruleset, $chain, "-j MARK --set-mark 0"); # clear mark
1468
1469     foreach my $rule (@$rules) {
1470         next if $rule->{type} ne 'in';
1471         ruleset_generate_rule($ruleset, $chain, $rule, { ACCEPT => "PVEFW-SET-ACCEPT-MARK", REJECT => "PVEFW-reject" });
1472     }
1473
1474     $chain = "GROUP-${group}-OUT";
1475
1476     ruleset_create_chain($ruleset, $chain);
1477     ruleset_addrule($ruleset, $chain, "-j MARK --set-mark 0"); # clear mark
1478
1479     foreach my $rule (@$rules) {
1480         next if $rule->{type} ne 'out';
1481         # we use PVEFW-SET-ACCEPT-MARK (Instead of ACCEPT) because we need to
1482         # check also other tap rules later
1483         ruleset_generate_rule($ruleset, $chain, $rule, 
1484                               { ACCEPT => 'PVEFW-SET-ACCEPT-MARK', REJECT => "PVEFW-reject" });
1485     }
1486 }
1487
1488 my $MAX_NETS = 32;
1489 my $valid_netdev_names = {};
1490 for (my $i = 0; $i < $MAX_NETS; $i++)  {
1491     $valid_netdev_names->{"net$i"} = 1;
1492 }
1493
1494 sub parse_fw_rule {
1495     my ($line, $need_iface, $allow_groups) = @_;
1496
1497     my ($type, $action, $iface, $source, $dest, $proto, $dport, $sport);
1498
1499     # we can add single line comments to the end of the rule
1500     my $comment = decode('utf8', $1) if $line =~ s/#\s*(.*?)\s*$//;
1501
1502     # we can disable a rule when prefixed with '|'
1503     my $enable = 1;
1504
1505     $enable = 0 if $line =~ s/^\|//;
1506
1507     my @data = split(/\s+/, $line);
1508     my $expected_elements = $need_iface ? 8 : 7;
1509
1510     die "wrong number of rule elements\n" if scalar(@data) > $expected_elements;
1511
1512     if ($need_iface) {
1513         ($type, $action, $iface, $source, $dest, $proto, $dport, $sport) = @data
1514     } else {
1515         ($type, $action, $source, $dest, $proto, $dport, $sport) =  @data;
1516     }
1517
1518     die "incomplete rule\n" if ! ($type && $action);
1519
1520     my $macro;
1521
1522     $type = lc($type);
1523
1524     if ($type eq  'in' || $type eq 'out') {
1525         if ($action =~ m/^(ACCEPT|DROP|REJECT)$/) {
1526             # OK
1527         } elsif ($action =~ m/^(\S+)\((ACCEPT|DROP|REJECT)\)$/) {
1528             $action = $2;
1529             my $preferred_name = $pve_fw_preferred_macro_names->{lc($1)};
1530             die "unknown macro '$1'\n" if !$preferred_name;
1531             $macro = $preferred_name;
1532         } else {
1533             die "unknown action '$action'\n";
1534         }
1535     } elsif ($type eq 'group') {
1536         die "wrong number of rule elements\n" if scalar(@data) != 3;
1537         die "groups disabled\n" if !$allow_groups;
1538
1539         die "invalid characters in group name\n" if $action !~ m/^[A-Za-z0-9_\-]+$/;    
1540     } else {
1541         die "unknown rule type '$type'\n";
1542     }
1543
1544     if ($need_iface) {
1545         $iface = undef if $iface && $iface eq '-';
1546     }
1547
1548     $proto = undef if $proto && $proto eq '-';
1549     pve_fw_verify_protocol_spec($proto) if $proto;
1550
1551     $source = undef if $source && $source eq '-';
1552     $dest = undef if $dest && $dest eq '-';
1553
1554     $dport = undef if $dport && $dport eq '-';
1555     $sport = undef if $sport && $sport eq '-';
1556
1557     parse_port_name_number_or_range($dport) if defined($dport);
1558     parse_port_name_number_or_range($sport) if defined($sport);
1559  
1560     parse_address_list($source) if $source;
1561     parse_address_list($dest) if $dest;
1562
1563     return {
1564         type => $type,
1565         enable => $enable,
1566         comment => $comment,
1567         action => $action,
1568         macro => $macro,
1569         iface => $iface,
1570         source => $source,
1571         dest => $dest,
1572         proto => $proto,
1573         dport => $dport,
1574         sport => $sport,
1575     };
1576 }
1577
1578 sub parse_vmfw_option {
1579     my ($line) = @_;
1580
1581     my ($opt, $value);
1582
1583     my $loglevels = "emerg|alert|crit|err|warning|notice|info|debug|nolog";
1584
1585     if ($line =~ m/^(enable|dhcp|macfilter|nosmurfs|tcpflags|ips):\s*(0|1)\s*$/i) {
1586         $opt = lc($1);
1587         $value = int($2);
1588     } elsif ($line =~ m/^(log_level_in|log_level_out):\s*(($loglevels)\s*)?$/i) {
1589         $opt = lc($1);
1590         $value = $2 ? lc($3) : '';
1591     } elsif ($line =~ m/^(policy_(in|out)):\s*(ACCEPT|DROP|REJECT)\s*$/i) {
1592         $opt = lc($1);
1593         $value = uc($3);
1594     } elsif ($line =~ m/^(ips_queues):\s*((\d+)(:(\d+))?)\s*$/i) {
1595         $opt = lc($1);
1596         $value = $2;
1597     } else {
1598         chomp $line;
1599         die "can't parse option '$line'\n"
1600     }
1601
1602     return ($opt, $value);
1603 }
1604
1605 sub parse_hostfw_option {
1606     my ($line) = @_;
1607
1608     my ($opt, $value);
1609
1610     my $loglevels = "emerg|alert|crit|err|warning|notice|info|debug|nolog";
1611
1612     if ($line =~ m/^(enable|dhcp|nosmurfs|tcpflags|allow_bridge_route|optimize):\s*(0|1)\s*$/i) {
1613         $opt = lc($1);
1614         $value = int($2);
1615     } elsif ($line =~ m/^(log_level_in|log_level_out|tcp_flags_log_level|smurf_log_level):\s*(($loglevels)\s*)?$/i) {
1616         $opt = lc($1);
1617         $value = $2 ? lc($3) : '';
1618     } elsif ($line =~ m/^(policy_(in|out)):\s*(ACCEPT|DROP|REJECT)\s*$/i) {
1619         $opt = lc($1);
1620         $value = uc($3);
1621     } elsif ($line =~ m/^(nf_conntrack_max):\s*(\d+)\s*$/i) {
1622         $opt = lc($1);
1623         $value = int($2);
1624     } else {
1625         chomp $line;
1626         die "can't parse option '$line'\n"
1627     }
1628
1629     return ($opt, $value);
1630 }
1631
1632 sub parse_clusterfw_option {
1633     my ($line) = @_;
1634
1635     my ($opt, $value);
1636
1637     if ($line =~ m/^(enable):\s*(0|1)\s*$/i) {
1638         $opt = lc($1);
1639         $value = int($2);
1640     } else {
1641         chomp $line;
1642         die "can't parse option '$line'\n"
1643     }
1644
1645     return ($opt, $value);
1646 }
1647
1648 sub parse_vm_fw_rules {
1649     my ($filename, $fh) = @_;
1650
1651     my $res = { rules => [], options => {}};
1652
1653     my $section;
1654
1655     my $digest = Digest::SHA->new('sha1');
1656
1657     while (defined(my $line = <$fh>)) {
1658         $digest->add($line);
1659
1660         next if $line =~ m/^#/;
1661         next if $line =~ m/^\s*$/;
1662
1663         my $linenr = $fh->input_line_number();
1664         my $prefix = "$filename (line $linenr)";
1665
1666         if ($line =~ m/^\[(\S+)\]\s*$/i) {
1667             $section = lc($1);
1668             warn "$prefix: ignore unknown section '$section'\n" if !$res->{$section};
1669             next;
1670         }
1671         if (!$section) {
1672             warn "$prefix: skip line - no section";
1673             next;
1674         }
1675
1676         next if !$res->{$section}; # skip undefined section
1677
1678         if ($section eq 'options') {
1679             eval {
1680                 my ($opt, $value) = parse_vmfw_option($line);
1681                 $res->{options}->{$opt} = $value;
1682             };
1683             warn "$prefix: $@" if $@;
1684             next;
1685         }
1686
1687         my $rule;
1688         eval { $rule = parse_fw_rule($line, 1, 1); };
1689         if (my $err = $@) {
1690             warn "$prefix: $err";
1691             next;
1692         }
1693
1694         push @{$res->{$section}}, $rule;
1695     }
1696
1697     $res->{digest} = $digest->b64digest;
1698
1699     return $res;
1700 }
1701
1702 sub parse_host_fw_rules {
1703     my ($filename, $fh) = @_;
1704
1705     my $res = { rules => [], options => {}};
1706
1707     my $section;
1708
1709     my $digest = Digest::SHA->new('sha1');
1710
1711     while (defined(my $line = <$fh>)) {
1712         $digest->add($line);
1713
1714         next if $line =~ m/^#/;
1715         next if $line =~ m/^\s*$/;
1716
1717         my $linenr = $fh->input_line_number();
1718         my $prefix = "$filename (line $linenr)";
1719
1720         if ($line =~ m/^\[(\S+)\]\s*$/i) {
1721             $section = lc($1);
1722             warn "$prefix: ignore unknown section '$section'\n" if !$res->{$section};
1723             next;
1724         }
1725         if (!$section) {
1726             warn "$prefix: skip line - no section";
1727             next;
1728         }
1729
1730         next if !$res->{$section}; # skip undefined section
1731
1732         if ($section eq 'options') {
1733             eval {
1734                 my ($opt, $value) = parse_hostfw_option($line);
1735                 $res->{options}->{$opt} = $value;
1736             };
1737             warn "$prefix: $@" if $@;
1738             next;
1739         }
1740
1741         my $rule;
1742         eval { $rule = parse_fw_rule($line, 1, 1); };
1743         if (my $err = $@) {
1744             warn "$prefix: $err";
1745             next;
1746         }
1747         
1748         push @{$res->{$section}}, $rule;
1749     }
1750
1751     $res->{digest} = $digest->b64digest;
1752
1753     return $res;
1754 }
1755
1756 sub parse_cluster_fw_rules {
1757     my ($filename, $fh) = @_;
1758
1759     my $section;
1760     my $group;
1761
1762     my $res = { rules => [], options => {}, groups => {}, ipset => {} };
1763
1764     my $digest = Digest::SHA->new('sha1');
1765
1766     while (defined(my $line = <$fh>)) {
1767         $digest->add($line);
1768
1769         next if $line =~ m/^#/;
1770         next if $line =~ m/^\s*$/;
1771
1772         my $linenr = $fh->input_line_number();
1773         my $prefix = "$filename (line $linenr)";
1774
1775         if ($line =~ m/^\[options\]$/i) {
1776             $section = 'options';
1777             next;
1778         }
1779
1780         if ($line =~ m/^\[group\s+(\S+)\]\s*$/i) {
1781             $section = 'groups';
1782             $group = lc($1);
1783             next;
1784         }
1785
1786         if ($line =~ m/^\[rules\]$/i) {
1787             $section = 'rules';
1788             next;
1789         }
1790     
1791         if ($line =~ m/^\[netgroup\s+(\S+)\]\s*$/i) {
1792             $section = 'ipset';
1793             $group = lc($1);
1794             next;
1795         }
1796
1797         if (!$section) {
1798             warn "$prefix: skip line - no section";
1799             next;
1800         }
1801
1802         if ($section eq 'options') {
1803             eval {
1804                 my ($opt, $value) = parse_clusterfw_option($line);
1805                 $res->{options}->{$opt} = $value;
1806             };
1807             warn "$prefix: $@" if $@;
1808         } elsif ($section eq 'rules') {
1809             my $rule;
1810             eval { $rule = parse_fw_rule($line, 1, 1); };
1811             if (my $err = $@) {
1812                 warn "$prefix: $err";
1813                 next;
1814             }
1815             push @{$res->{$section}}, $rule;
1816         } elsif ($section eq 'groups') {
1817             my $rule;
1818             eval { $rule = parse_fw_rule($line, 0, 0); };
1819             if (my $err = $@) {
1820                 warn "$prefix: $err";
1821                 next;
1822             }
1823             push @{$res->{$section}->{$group}}, $rule;
1824         } elsif ($section eq 'ipset') {
1825             chomp $line;
1826             $line =~ m/^(\!)?(\s)?((\d+)\.(\d+)\.(\d+)\.(\d+)(\/(\d+))?)/;
1827             my $nomatch = $1;
1828             my $ip = $3;
1829
1830             if(!$ip){
1831                 warn "$prefix: $line is not an valid ip address";
1832                 next;
1833             }
1834             if (!Net::IP->new($ip)) {
1835                 warn "$prefix: $line is not an valid ip address";
1836                 next;
1837             }
1838             $ip .= " nomatch" if $nomatch;
1839
1840             push @{$res->{$section}->{$group}}, $ip;
1841         }
1842     }
1843
1844     $res->{digest} = $digest->b64digest;
1845     return $res;
1846 }
1847
1848 sub run_locked {
1849     my ($code, @param) = @_;
1850
1851     my $timeout = 10;
1852
1853     my $res = lock_file($pve_fw_lock_filename, $timeout, $code, @param);
1854
1855     die $@ if $@;
1856
1857     return $res;
1858 }
1859
1860 sub read_local_vm_config {
1861
1862     my $openvz = {};
1863     my $qemu = {};
1864
1865     my $vmdata = { openvz => $openvz, qemu => $qemu };
1866
1867     my $vmlist = PVE::Cluster::get_vmlist();
1868     return $vmdata if !$vmlist || !$vmlist->{ids};
1869     my $ids = $vmlist->{ids};
1870
1871     foreach my $vmid (keys %$ids) {
1872         next if !$vmid; # skip VE0
1873         my $d = $ids->{$vmid};
1874         next if !$d->{node} || $d->{node} ne $nodename;
1875         next if !$d->{type};
1876         if ($d->{type} eq 'openvz') {
1877             if ($have_pve_manager) {
1878                 my $cfspath = PVE::OpenVZ::cfs_config_path($vmid);
1879                 if (my $conf = PVE::Cluster::cfs_read_file($cfspath)) {
1880                     $openvz->{$vmid} = $conf;
1881                 }
1882             }
1883         } elsif ($d->{type} eq 'qemu') {
1884             if ($have_qemu_server) {
1885                 my $cfspath = PVE::QemuServer::cfs_config_path($vmid);
1886                 if (my $conf = PVE::Cluster::cfs_read_file($cfspath)) {
1887                     $qemu->{$vmid} = $conf;
1888                 }
1889             }
1890         }
1891     }
1892
1893     return $vmdata;
1894 };
1895
1896 sub load_vmfw_conf {
1897     my ($vmid) = @_;
1898
1899     my $vmfw_conf = {};
1900
1901     my $filename = "/etc/pve/firewall/$vmid.fw";
1902     if (my $fh = IO::File->new($filename, O_RDONLY)) {
1903         $vmfw_conf = parse_vm_fw_rules($filename, $fh);
1904     }
1905
1906     return $vmfw_conf;
1907 }
1908
1909 my $format_rules = sub {
1910     my ($rules, $need_iface) = @_;
1911
1912     my $raw = '';
1913
1914     foreach my $rule (@$rules) {
1915         if ($rule->{type} eq  'in' || $rule->{type} eq 'out') {
1916             $raw .= '|' if defined($rule->{enable}) && !$rule->{enable};
1917             $raw .= uc($rule->{type});
1918             $raw .= " " . $rule->{action};
1919             $raw .= " " . ($rule->{iface} || '-') if $need_iface;
1920             $raw .= " " . ($rule->{source} || '-');
1921             $raw .= " " . ($rule->{dest} || '-');
1922             $raw .= " " . ($rule->{proto} || '-');
1923             $raw .= " " . ($rule->{dport} || '-');
1924             $raw .= " " . ($rule->{sport} || '-');
1925             $raw .= " # " . encode('utf8', $rule->{comment}) 
1926                 if $rule->{comment} && $rule->{comment} !~ m/^\s*$/;
1927             $raw .= "\n";
1928         } else {
1929             die "implement me '$rule->{type}'";
1930         }
1931     }
1932
1933     return $raw;
1934 };
1935
1936 my $format_options = sub {
1937     my ($options) = @_;
1938
1939     my $raw = '';
1940
1941     $raw .= "[OPTIONS]\n\n";
1942     foreach my $opt (keys %$options) {
1943         $raw .= "$opt: $options->{$opt}\n";
1944     }
1945     $raw .= "\n";
1946
1947     return $raw;
1948 };
1949
1950 sub save_vmfw_conf {
1951     my ($vmid, $vmfw_conf) = @_;
1952
1953     my $raw = '';
1954
1955     my $options = $vmfw_conf->{options};
1956     $raw .= &$format_options($options) if scalar(keys %$options);
1957     
1958     my $rules = $vmfw_conf->{rules};
1959     if (scalar(@$rules)) {
1960         $raw .= "[RULES]\n\n";
1961         $raw .= &$format_rules($rules, 1);
1962         $raw .= "\n";
1963     }
1964
1965     my $filename = "/etc/pve/firewall/$vmid.fw";
1966     PVE::Tools::file_set_contents($filename, $raw);
1967 }
1968
1969 sub read_vm_firewall_configs {
1970     my ($vmdata) = @_;
1971     my $vmfw_configs = {};
1972
1973     foreach my $vmid (keys %{$vmdata->{qemu}}, keys %{$vmdata->{openvz}}) {
1974         my $vmfw_conf = load_vmfw_conf($vmid);
1975         next if !$vmfw_conf->{options}; # skip if file does not exists
1976         $vmfw_configs->{$vmid} = $vmfw_conf;
1977     }
1978
1979     return $vmfw_configs;
1980 }
1981
1982 sub get_option_log_level {
1983     my ($options, $k) = @_;
1984
1985     my $v = $options->{$k};
1986     $v = $default_log_level if !defined($v);
1987
1988     return undef if $v eq '' || $v eq 'nolog';
1989
1990     $v = $log_level_hash->{$v} if defined($log_level_hash->{$v});
1991
1992     return $v if ($v >= 0) && ($v <= 7);
1993
1994     warn "unknown log level ($k = '$v')\n";
1995
1996     return undef;
1997 }
1998
1999 sub generate_std_chains {
2000     my ($ruleset, $options) = @_;
2001     
2002     my $loglevel = get_option_log_level($options, 'smurf_log_level');
2003
2004     # same as shorewall smurflog.
2005     my $chain = 'PVEFW-smurflog';
2006
2007     push @{$pve_std_chains->{$chain}}, get_log_rule_base($chain, 0, "DROP: ", $loglevel) if $loglevel;
2008     push @{$pve_std_chains->{$chain}}, "-j DROP";
2009
2010     # same as shorewall logflags action.
2011     $loglevel = get_option_log_level($options, 'tcp_flags_log_level');
2012     $chain = 'PVEFW-logflags';
2013     # fixme: is this correctly logged by pvewf-logger? (ther is no --log-ip-options for NFLOG)
2014     push @{$pve_std_chains->{$chain}}, get_log_rule_base($chain, 0, "DROP: ", $loglevel) if $loglevel;
2015     push @{$pve_std_chains->{$chain}}, "-j DROP";
2016
2017     foreach my $chain (keys %$pve_std_chains) {
2018         ruleset_create_chain($ruleset, $chain);
2019         foreach my $rule (@{$pve_std_chains->{$chain}}) {
2020             if (ref($rule)) {
2021                 ruleset_generate_rule($ruleset, $chain, $rule);
2022             } else {
2023                 ruleset_addrule($ruleset, $chain, $rule);
2024             }
2025         }
2026     }
2027 }
2028
2029 sub generate_ipset_chains {
2030     my ($ipset_ruleset, $fw_conf) = @_;
2031
2032     foreach my $ipset (keys %{$fw_conf->{ipset}}) {
2033         generate_ipset($ipset_ruleset, $ipset, $fw_conf->{ipset}->{$ipset});
2034     }
2035 }
2036
2037 sub generate_ipset {
2038     my ($ipset_ruleset, $name, $options) = @_;
2039
2040     my $hashsize = scalar(@$options);
2041     if ($hashsize <= 64) {
2042         $hashsize = 64;
2043     } else {
2044         $hashsize = round_powerof2($hashsize);
2045     }
2046
2047     push @{$ipset_ruleset->{$name}}, "create $name hash:net family inet hashsize $hashsize maxelem $hashsize";
2048
2049     foreach my $ip (@$options) {
2050         push @{$ipset_ruleset->{$name}}, "add $name $ip";
2051     }
2052 }
2053
2054 sub round_powerof2 {
2055     my ($int) = @_;
2056
2057     $int--;
2058     $int |= $int >> $_ foreach (1,2,4,8,16);
2059     return ++$int;
2060 }
2061
2062 sub save_pvefw_status {
2063     my ($status) = @_;
2064
2065     die "unknown status '$status' - internal error"
2066         if $status !~ m/^(stopped|active)$/;
2067
2068     mkdir dirname($pve_fw_status_filename);
2069     PVE::Tools::file_set_contents($pve_fw_status_filename, $status);
2070 }
2071
2072 sub read_pvefw_status {
2073
2074     my $status = 'unknown';
2075
2076     return 'stopped' if ! -f $pve_fw_status_filename;
2077
2078     eval {
2079         $status = PVE::Tools::file_get_contents($pve_fw_status_filename);
2080     };
2081     warn $@ if $@;
2082
2083     return $status;
2084 }
2085
2086 # fixme: move to pve-common PVE::ProcFSTools
2087 sub read_proc_net_route {
2088     my $filename = "/proc/net/route";
2089
2090     my $res = {};
2091
2092     my $fh = IO::File->new ($filename, "r");
2093     return $res if !$fh;
2094
2095     my $int_to_quad = sub {
2096         return join '.' => map { ($_[0] >> 8*(3-$_)) % 256 } (3, 2, 1, 0);
2097     };
2098
2099     while (defined(my $line = <$fh>)) {
2100         next if $line =~/^Iface\s+Destination/; # skip head
2101         my ($iface, $dest, $gateway, $metric, $mask, $mtu) = (split(/\s+/, $line))[0,1,2,6,7,8];
2102         push @{$res->{$iface}}, {
2103             dest => &$int_to_quad(hex($dest)),
2104             gateway => &$int_to_quad(hex($gateway)),
2105             mask => &$int_to_quad(hex($mask)),
2106             metric => $metric,
2107             mtu => $mtu,
2108         };
2109     }
2110
2111     return $res;
2112 }
2113
2114 sub load_clusterfw_conf {
2115
2116     my $cluster_conf = {};
2117      if (my $fh = IO::File->new($clusterfw_conf_filename, O_RDONLY)) {
2118         $cluster_conf = parse_cluster_fw_rules($clusterfw_conf_filename, $fh);
2119     }
2120
2121     return $cluster_conf;
2122 }
2123
2124 sub save_clusterfw_conf {
2125     my ($cluster_conf) = @_;
2126
2127     my $raw = '';
2128
2129     my $options = $cluster_conf->{options};
2130     $raw .= &$format_options($options) if scalar(keys %$options);
2131
2132     # fixme: save ipset
2133
2134     my $rules = $cluster_conf->{rules};
2135     if (scalar(@$rules)) {
2136         $raw .= "[RULES]\n\n";
2137         $raw .= &$format_rules($rules, 1);
2138         $raw .= "\n";
2139     }
2140
2141     foreach my $group (sort keys %{$cluster_conf->{groups}}) {
2142         my $rules = $cluster_conf->{groups}->{$group};
2143         $raw .= "[group $group]\n\n";
2144         $raw .= &$format_rules($rules, 0);
2145         $raw .= "\n";
2146     }
2147
2148     PVE::Tools::file_set_contents($clusterfw_conf_filename, $raw);
2149 }
2150
2151 sub load_hostfw_conf {
2152
2153     my $hostfw_conf = {};
2154     if (my $fh = IO::File->new($hostfw_conf_filename, O_RDONLY)) {
2155         $hostfw_conf = parse_host_fw_rules($hostfw_conf_filename, $fh);
2156     }
2157     return $hostfw_conf;
2158 }
2159
2160 sub save_hostfw_conf {
2161     my ($hostfw_conf) = @_;
2162
2163     my $raw = '';
2164
2165     my $options = $hostfw_conf->{options};
2166     $raw .= &$format_options($options) if scalar(keys %$options);
2167     
2168     my $rules = $hostfw_conf->{rules};
2169     if (scalar(@$rules)) {
2170         $raw .= "[RULES]\n\n";
2171         $raw .= &$format_rules($rules, 1);
2172         $raw .= "\n";
2173     }
2174
2175     PVE::Tools::file_set_contents($hostfw_conf_filename, $raw);
2176 }
2177
2178 sub compile {
2179     my $vmdata = read_local_vm_config();
2180     my $vmfw_configs = read_vm_firewall_configs($vmdata);
2181
2182     my $routing_table = read_proc_net_route();
2183
2184     my $cluster_conf = load_clusterfw_conf();
2185
2186     my $ipset_ruleset = {};
2187     generate_ipset_chains($ipset_ruleset, $cluster_conf);
2188
2189     my $ruleset = {};
2190
2191     ruleset_create_chain($ruleset, "PVEFW-INPUT");
2192     ruleset_create_chain($ruleset, "PVEFW-OUTPUT");
2193
2194     ruleset_create_chain($ruleset, "PVEFW-FORWARD");
2195
2196     my $hostfw_conf = load_hostfw_conf();
2197     my $hostfw_options = $hostfw_conf->{options} || {};
2198
2199     generate_std_chains($ruleset, $hostfw_options);
2200
2201     my $hostfw_enable = !(defined($hostfw_options->{enable}) && ($hostfw_options->{enable} == 0));
2202
2203     enable_host_firewall($ruleset, $hostfw_conf, $cluster_conf) if $hostfw_enable;
2204
2205     # generate firewall rules for QEMU VMs
2206     foreach my $vmid (keys %{$vmdata->{qemu}}) {
2207         my $conf = $vmdata->{qemu}->{$vmid};
2208         my $vmfw_conf = $vmfw_configs->{$vmid};
2209         next if !$vmfw_conf;
2210         next if defined($vmfw_conf->{options}->{enable}) && ($vmfw_conf->{options}->{enable} == 0);
2211
2212         foreach my $netid (keys %$conf) {
2213             next if $netid !~ m/^net(\d+)$/;
2214             my $net = PVE::QemuServer::parse_net($conf->{$netid});
2215             next if !$net;
2216             my $iface = "tap${vmid}i$1";
2217
2218             my $bridge = $net->{bridge};
2219             next if !$bridge; # fixme: ?
2220
2221             $bridge .= "v$net->{tag}" if $net->{tag};
2222
2223             generate_bridge_chains($ruleset, $hostfw_conf, $bridge, $routing_table);
2224
2225             my $macaddr = $net->{macaddr};
2226             generate_tap_rules_direction($ruleset, $cluster_conf, $iface, $netid, $macaddr, 
2227                                          $vmfw_conf, $vmid, $bridge, 'IN');
2228             generate_tap_rules_direction($ruleset, $cluster_conf, $iface, $netid, $macaddr, 
2229                                          $vmfw_conf, $vmid, $bridge, 'OUT');
2230         }
2231     }
2232
2233     # generate firewall rules for OpenVZ containers
2234     foreach my $vmid (keys %{$vmdata->{openvz}}) {
2235         my $conf = $vmdata->{openvz}->{$vmid};
2236
2237         my $vmfw_conf = $vmfw_configs->{$vmid};
2238         next if !$vmfw_conf;
2239         next if defined($vmfw_conf->{options}->{enable}) && ($vmfw_conf->{options}->{enable} == 0);
2240
2241         if ($conf->{ip_address} && $conf->{ip_address}->{value}) {
2242             my $ip = $conf->{ip_address}->{value};
2243             generate_venet_rules_direction($ruleset, $cluster_conf, $vmfw_conf, $vmid, $ip, 'IN');
2244             generate_venet_rules_direction($ruleset, $cluster_conf, $vmfw_conf, $vmid, $ip, 'OUT');
2245         }
2246
2247         if ($conf->{netif} && $conf->{netif}->{value}) {
2248             my $netif = PVE::OpenVZ::parse_netif($conf->{netif}->{value});
2249             foreach my $netid (keys %$netif) {
2250                 my $d = $netif->{$netid};
2251                 my $bridge = $d->{bridge};
2252                 if (!$bridge) {
2253                     warn "no bridge device for CT $vmid iface '$netid'\n";
2254                     next; # fixme?
2255                 }
2256                 
2257                 generate_bridge_chains($ruleset, $hostfw_conf, $bridge, $routing_table);
2258
2259                 my $macaddr = $d->{mac};
2260                 my $iface = $d->{host_ifname};
2261                 generate_tap_rules_direction($ruleset, $cluster_conf, $iface, $netid, $macaddr, 
2262                                              $vmfw_conf, $vmid, $bridge, 'IN');
2263                 generate_tap_rules_direction($ruleset, $cluster_conf, $iface, $netid, $macaddr, 
2264                                              $vmfw_conf, $vmid, $bridge, 'OUT');
2265             }
2266         }
2267     }
2268
2269     if($hostfw_options->{optimize}){
2270
2271         my $accept = ruleset_chain_exist($ruleset, "PVEFW-IPS") ? "PVEFW-IPS" : "ACCEPT";
2272         ruleset_insertrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j $accept");
2273         ruleset_insertrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate INVALID -j DROP");
2274     }
2275
2276     # fixme: what log level should we use here?
2277     my $loglevel = get_option_log_level($hostfw_options, "log_level_out");
2278
2279     # fixme: should we really block inter-bridge traffic?
2280
2281     # always allow traffic from containers?
2282     ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i venet0 -j RETURN");
2283
2284     # disable interbridge routing
2285     ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o vmbr+ -j PVEFW-Drop"); 
2286     ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i vmbr+ -j PVEFW-Drop");
2287     ruleset_addlog($ruleset, "PVEFW-FORWARD", 0, "DROP: ", $loglevel, "-o vmbr+");  
2288     ruleset_addlog($ruleset, "PVEFW-FORWARD", 0, "DROP: ", $loglevel, "-i vmbr+");  
2289     ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o vmbr+ -j DROP");  
2290     ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i vmbr+ -j DROP");
2291
2292     return wantarray ? ($ruleset, $hostfw_conf, $ipset_ruleset) : $ruleset;
2293 }
2294
2295 sub get_ruleset_status {
2296     my ($ruleset, $active_chains, $digest_fn, $verbose) = @_;
2297
2298     my $statushash = {};
2299
2300     foreach my $chain (sort keys %$ruleset) {
2301         my $sig = &$digest_fn($ruleset->{$chain});
2302
2303         $statushash->{$chain}->{sig} = $sig;
2304
2305         my $oldsig = $active_chains->{$chain};
2306         if (!defined($oldsig)) {
2307             $statushash->{$chain}->{action} = 'create';
2308         } else {
2309             if ($oldsig eq $sig) {
2310                 $statushash->{$chain}->{action} = 'exists';
2311             } else {
2312                 $statushash->{$chain}->{action} = 'update';
2313             }
2314         }
2315         print "$statushash->{$chain}->{action} $chain ($sig)\n" if $verbose;
2316         foreach my $cmd (@{$ruleset->{$chain}}) {
2317             print "\t$cmd\n" if $verbose;
2318         }
2319     }
2320
2321     foreach my $chain (sort keys %$active_chains) {
2322         if (!defined($ruleset->{$chain})) {
2323             my $sig = $active_chains->{$chain};
2324             $statushash->{$chain}->{action} = 'delete';
2325             $statushash->{$chain}->{sig} = $sig;
2326             print "delete $chain ($sig)\n" if $verbose;
2327         }
2328     }
2329
2330     return $statushash;
2331 }
2332
2333 sub print_sig_rule {
2334     my ($chain, $sig) = @_;
2335
2336     # We just use this to store a SHA1 checksum used to detect changes
2337     return "-A $chain -m comment --comment \"PVESIG:$sig\"\n";
2338 }
2339
2340 sub get_ruleset_cmdlist {
2341     my ($ruleset, $verbose) = @_;
2342
2343     my $cmdlist = "*filter\n"; # we pass this to iptables-restore;
2344  
2345     my ($active_chains, $hooks) = iptables_get_chains();
2346     my $statushash = get_ruleset_status($ruleset, $active_chains, \&iptables_chain_digest, $verbose);
2347
2348     # create missing chains first
2349     foreach my $chain (sort keys %$ruleset) {
2350         my $stat = $statushash->{$chain};
2351         die "internal error" if !$stat;
2352         next if $stat->{action} ne 'create';
2353
2354         $cmdlist .= ":$chain - [0:0]\n";
2355     }
2356
2357     foreach my $h (qw(INPUT OUTPUT FORWARD)) {
2358         if (!$hooks->{$h}) {
2359             $cmdlist .= "-A $h -j PVEFW-$h\n";
2360         }
2361     }
2362
2363     foreach my $chain (sort keys %$ruleset) {
2364         my $stat = $statushash->{$chain};
2365         die "internal error" if !$stat;
2366
2367         if ($stat->{action} eq 'update' || $stat->{action} eq 'create') {
2368             $cmdlist .= "-F $chain\n";
2369             foreach my $cmd (@{$ruleset->{$chain}}) {
2370                 $cmdlist .= "$cmd\n";
2371             }
2372             $cmdlist .= print_sig_rule($chain, $stat->{sig});
2373         } elsif ($stat->{action} eq 'delete') {
2374             die "internal error"; # this should not happen
2375         } elsif ($stat->{action} eq 'exists') {
2376             # do nothing
2377         } else {
2378             die "internal error - unknown status '$stat->{action}'";
2379         }
2380     }
2381
2382     foreach my $chain (keys %$statushash) {
2383         next if $statushash->{$chain}->{action} ne 'delete';
2384         $cmdlist .= "-F $chain\n";
2385     }
2386     foreach my $chain (keys %$statushash) {
2387         next if $statushash->{$chain}->{action} ne 'delete';
2388         next if $chain eq 'PVEFW-INPUT';
2389         next if $chain eq 'PVEFW-OUTPUT';
2390         next if $chain eq 'PVEFW-FORWARD';
2391         $cmdlist .= "-X $chain\n";
2392     }
2393
2394     my $changes = $cmdlist ne "*filter\n" ? 1 : 0;
2395
2396     $cmdlist .= "COMMIT\n";
2397
2398     return wantarray ? ($cmdlist, $changes) : $cmdlist;
2399 }
2400
2401 sub get_ipset_cmdlist {
2402     my ($ruleset, $verbose) = @_;
2403
2404     my $cmdlist = "";
2405
2406     my $delete_cmdlist = "";
2407
2408     my $active_chains = ipset_get_chains();
2409     my $statushash = get_ruleset_status($ruleset, $active_chains, \&ipset_chain_digest, $verbose);
2410
2411     foreach my $chain (sort keys %$ruleset) {
2412         my $stat = $statushash->{$chain};
2413         die "internal error" if !$stat;
2414
2415         if ($stat->{action} eq 'create') {
2416             foreach my $cmd (@{$ruleset->{$chain}}) {
2417                 $cmdlist .= "$cmd\n";
2418             }
2419         }
2420
2421         if ($stat->{action} eq 'update') {
2422             my $chain_swap = $chain."_swap";
2423             
2424             foreach my $cmd (@{$ruleset->{$chain}}) {
2425                 $cmd =~ s/$chain/$chain_swap/;
2426                 $cmdlist .= "$cmd\n";
2427             }
2428             $cmdlist .= "swap $chain_swap $chain\n";
2429             $cmdlist .= "flush $chain_swap\n";
2430             $cmdlist .= "destroy $chain_swap\n";
2431         }
2432
2433     }
2434
2435     foreach my $chain (keys %$statushash) {
2436         next if $statushash->{$chain}->{action} ne 'delete';
2437
2438         $delete_cmdlist .= "flush $chain\n";
2439         $delete_cmdlist .= "destroy $chain\n";
2440     }
2441
2442     my $changes = ($cmdlist || $delete_cmdlist) ? 1 : 0;
2443     
2444     return ($cmdlist, $delete_cmdlist, $changes);
2445 }
2446
2447 sub apply_ruleset {
2448     my ($ruleset, $hostfw_conf, $ipset_ruleset, $verbose) = @_;
2449
2450     enable_bridge_firewall();
2451
2452     update_nf_conntrack_max($hostfw_conf);
2453
2454     my ($ipset_create_cmdlist, $ipset_delete_cmdlist, $ipset_changes) = 
2455         get_ipset_cmdlist($ipset_ruleset, undef, $verbose);
2456
2457     my ($cmdlist, $changes) = get_ruleset_cmdlist($ruleset, $verbose);
2458
2459     if ($verbose) {
2460         if ($ipset_changes) {
2461             print "ipset changes:\n";
2462             print $ipset_create_cmdlist if $ipset_create_cmdlist;
2463             print $ipset_delete_cmdlist if $ipset_delete_cmdlist;
2464         }
2465
2466         if ($changes) {
2467             print "iptables changes:\n";
2468             print $cmdlist;
2469         }
2470     }
2471
2472     ipset_restore_cmdlist($ipset_create_cmdlist);
2473
2474     iptables_restore_cmdlist($cmdlist);
2475
2476     ipset_restore_cmdlist($ipset_delete_cmdlist) if $ipset_delete_cmdlist;
2477
2478     # test: re-read status and check if everything is up to date
2479     my $active_chains = iptables_get_chains();
2480     my $statushash = get_ruleset_status($ruleset, $active_chains, \&iptables_chain_digest, 0);
2481
2482     my $errors;
2483     foreach my $chain (sort keys %$ruleset) {
2484         my $stat = $statushash->{$chain};
2485         if ($stat->{action} ne 'exists') {
2486             warn "unable to update chain '$chain'\n";
2487             $errors = 1;
2488         }
2489     }
2490
2491     die "unable to apply firewall changes\n" if $errors;
2492 }
2493
2494 sub update_nf_conntrack_max {
2495     my ($hostfw_conf) = @_;
2496
2497     my $max = 65536; # reasonable default
2498
2499     my $options = $hostfw_conf->{options} || {};
2500
2501     if (defined($options->{nf_conntrack_max}) && ($options->{nf_conntrack_max} > $max)) {
2502         $max = $options->{nf_conntrack_max};
2503         $max = int(($max+ 8191)/8192)*8192; # round to multiples of 8192
2504     }
2505
2506     my $filename_nf_conntrack_max = "/proc/sys/net/nf_conntrack_max";
2507     my $filename_hashsize = "/sys/module/nf_conntrack/parameters/hashsize";
2508
2509     my $current = int(PVE::Tools::file_read_firstline($filename_nf_conntrack_max) || $max);
2510
2511     if ($current != $max) {
2512         my $hashsize = int($max/4);
2513         PVE::ProcFSTools::write_proc_entry($filename_hashsize, $hashsize);
2514         PVE::ProcFSTools::write_proc_entry($filename_nf_conntrack_max, $max);
2515     }
2516 }
2517
2518 sub remove_pvefw_chains {
2519
2520     my ($chash, $hooks) = iptables_get_chains();
2521     my $cmdlist = "*filter\n";
2522
2523     foreach my $h (qw(INPUT OUTPUT FORWARD)) {
2524         if ($hooks->{$h}) {
2525             $cmdlist .= "-D $h -j PVEFW-$h\n";
2526         }
2527     }
2528  
2529     foreach my $chain (keys %$chash) {
2530         $cmdlist .= "-F $chain\n";
2531     }
2532
2533     foreach my $chain (keys %$chash) {
2534         $cmdlist .= "-X $chain\n";
2535     }
2536     $cmdlist .= "COMMIT\n";
2537
2538     iptables_restore_cmdlist($cmdlist);
2539 }
2540
2541 sub update {
2542     my ($start, $verbose) = @_;
2543
2544     my $code = sub {
2545         my $status = read_pvefw_status();
2546
2547         my ($ruleset, $hostfw_conf, $ipset_ruleset) = compile();
2548
2549         if ($start || $status eq 'active') {
2550
2551             save_pvefw_status('active') if ($status ne 'active');
2552
2553             apply_ruleset($ruleset, $hostfw_conf, $ipset_ruleset, $verbose);
2554         } else {
2555             print "Firewall not active (status = $status)\n" if $verbose;
2556         }
2557     };
2558
2559     run_locked($code);
2560 }
2561
2562
2563 1;