]> git.proxmox.com Git - pve-firewall.git/blobdiff - pvefw
projects / pve-firewall.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
optimize bridge chains
[pve-firewall.git] / pvefw
diff --git a/pvefw b/pvefw
index fdf72468e109e072d1837fa84907bcba4ec48ba8..1c346b555e7e4e6019452593844508b0145cfefd 100755 (executable)
--- a/pvefw
+++ b/pvefw
@@ -3,15 +3,11 @@
 use strict;
 use lib qw(.);
 use PVE::Firewall;
-use File::Path;
-use IO::File;
-use Data::Dumper;
 
 use PVE::SafeSyslog;
 use PVE::Cluster;
 use PVE::INotify;
 use PVE::RPCEnvironment;
-use PVE::QemuServer;
 
 use PVE::JSONSchema qw(get_standard_option);
 
@@ -33,152 +29,64 @@ $rpcenv->init_request();
 $rpcenv->set_language($ENV{LANG});
 $rpcenv->set_user('root@pam');
 
-sub parse_fw_rules {
-    my ($filename, $fh) = @_;
-
-    my $section;
-
-    my $res = { in => [], out => [] };
-
-    while (defined(my $line = <$fh>)) {
-       next if $line =~ m/^#/;
-       next if $line =~ m/^\s*$/;
-
-       if ($line =~ m/^\[(in|out)\]\s*$/i) {
-           $section = lc($1);
-           next;
-       }
-       next if !$section;
-
-       my ($action, $iface, $source, $dest, $proto, $dport, $sport) =
-           split(/\s+/, $line);
-
-       if (!($action && $iface && $source && $dest)) {
-           warn "skip incomplete line\n";
-           next;
-       }
-
-       if ($action !~ m/^(ACCEPT|DROP)$/) {
-           warn "unknown action '$action'\n";
-#          next;
-       }
-
-       if ($iface !~ m/^(all|net0|net1|net2|net3|net4|net5)$/) {
-           warn "unknown interface '$iface'\n";
-           next;
-       }
-
-       if ($proto && $proto !~ m/^(icmp|tcp|udp)$/) {
-           warn "unknown protokol '$proto'\n";
-           next;
-       }
-
-       if ($source !~ m/^(any)$/) {
-           warn "unknown source '$source'\n";
-           next;
-       }
-
-       if ($dest !~ m/^(any)$/) {
-           warn "unknown destination '$dest'\n";
-           next;
-       }
-
-       my $rule = {
-           action => $action,
-           iface => $iface,
-           source => $source,
-           dest => $dest,
-           proto => $proto,
-           dport => $dport,
-           sport => $sport,
-       };
-
-       push @{$res->{$section}}, $rule;
-    }
-
-    return $res;
-}
-
-sub read_local_vm_config {
-
-    my $openvz = {};
-
-    my $qemu = {};
-
-    my $list = PVE::QemuServer::config_list();
-
-    foreach my $vmid (keys %$list) {
-       my $cfspath = PVE::QemuServer::cfs_config_path($vmid);
-       if (my $conf = PVE::Cluster::cfs_read_file($cfspath)) {
-           $qemu->{$vmid} = $conf;
-       }
-    }
-
-    my $vmdata = { openvz => $openvz, qemu => $qemu };
-
-    return $vmdata;
-};
-
-sub read_vm_firewall_rules {
-    my ($vmdata) = @_;
-
-    my $rules = {};
-    foreach my $vmid (keys %{$vmdata->{qemu}}, keys %{$vmdata->{openvz}}) {
-       my $filename = "/etc/pve/$vmid.fw";
-       my $fh = IO::File->new($filename, O_RDONLY);
-       next if !$fh;
-
-       $rules->{$vmid} = parse_fw_rules($filename, $fh);
-    }
-
-    return $rules;
-}
-
 __PACKAGE__->register_method ({
     name => 'compile',
     path => 'compile',
     method => 'POST',
-    description => "Compile firewall rules.",
+    description => "Compile amd print firewall rules. This is only for testing.",
     parameters => {
        additionalProperties => 0,
-       properties => {},
+       properties => {
+           verbose => {
+               description => "Verbose output.",
+               type => "boolean",
+               optional => 1,
+               default => 0,
+           },
+       },
     },
     returns => { type => 'null' },
 
     code => sub {
        my ($param) = @_;
 
-       my $vmdata = read_local_vm_config();
-       my $rules = read_vm_firewall_rules();
-
-       # print Dumper($vmdata);
-
-       my $swdir = '/etc/shorewall';
-       mkdir $swdir;
-
-       PVE::Firewall::compile($swdir, $vmdata, $rules);
+       my $code = sub {
+           my $ruleset = PVE::Firewall::compile();
+           PVE::Firewall::get_ruleset_status($ruleset, 1) if $param->{verbose};
+       };
 
-       PVE::Tools::run_command(['shorewall', 'compile']);
+       PVE::Firewall::run_locked($code);
 
        return undef;
-
     }});
 
 __PACKAGE__->register_method ({
     name => 'start',
     path => 'start',
     method => 'POST',
-    description => "Start firewall.",
+    description => "Start (or restart if already active) firewall.",
     parameters => {
        additionalProperties => 0,
-       properties => {},
+       properties => {
+           verbose => {
+               description => "Verbose output.",
+               type => "boolean",
+               optional => 1,
+               default => 0,
+           },
+       },
     },
     returns => { type => 'null' },
 
     code => sub {
        my ($param) = @_;
 
-       PVE::Tools::run_command(['shorewall', 'start']);
+       my $code = sub {
+           my $ruleset = PVE::Firewall::compile();
+           PVE::Firewall::apply_ruleset($ruleset, $param->{verbose});
+       };
+
+       PVE::Firewall::run_locked($code);
 
        return undef;
     }});
@@ -187,7 +95,7 @@ __PACKAGE__->register_method ({
     name => 'stop',
     path => 'stop',
     method => 'POST',
-    description => "Stop firewall.",
+    description => "Stop firewall. This will remove all rules installed by this script. The host is then unprotected.",
     parameters => {
        additionalProperties => 0,
        properties => {},
@@ -197,26 +105,35 @@ __PACKAGE__->register_method ({
     code => sub {
        my ($param) = @_;
 
-       PVE::Tools::run_command(['shorewall', 'stop']);
-
-       return undef;
-    }});
-
-__PACKAGE__->register_method ({
-    name => 'clear',
-    path => 'clear',
-    method => 'POST',
-    description => "Clear will remove all rules installed by this script. The host is then unprotected.",
-    parameters => {
-       additionalProperties => 0,
-       properties => {},
-    },
-    returns => { type => 'null' },
-
-    code => sub {
-       my ($param) = @_;
+       my $code = sub {
+           my $chash = PVE::Firewall::iptables_get_chains();
+           my $cmdlist = "*filter\n";
+           my $rule = "INPUT -j PVEFW-INPUT";
+           if (PVE::Firewall::iptables_rule_exist($rule)) {
+               $cmdlist .= "-D $rule\n";
+           }
+           $rule = "OUTPUT -j PVEFW-OUTPUT";
+           if (PVE::Firewall::iptables_rule_exist($rule)) {
+               $cmdlist .= "-D $rule\n";
+           }
+
+           $rule = "FORWARD -j PVEFW-FORWARD";
+           if (PVE::Firewall::iptables_rule_exist($rule)) {
+               $cmdlist .= "-D $rule\n";
+           }
+
+           foreach my $chain (keys %$chash) {
+               $cmdlist .= "-F $chain\n";
+           }
+           foreach my $chain (keys %$chash) {
+               $cmdlist .= "-X $chain\n";
+           }
+           $cmdlist .= "COMMIT\n";
+
+           PVE::Firewall::iptables_restore_cmdlist($cmdlist);
+       };
 
-       PVE::Tools::run_command(['shorewall', 'clear']);
+       PVE::Firewall::run_locked($code);
 
        return undef;
     }});
@@ -227,7 +144,6 @@ my $cmddef = {
     compile => [ __PACKAGE__, 'compile', []],
     start => [ __PACKAGE__, 'start', []],
     stop => [ __PACKAGE__, 'stop', []],
-    clear => [ __PACKAGE__, 'clear', []],
 };
 
 my $cmd = shift;
Firewall test scripts