cleanup - avoid warning about undefined value

[pve-firewall.git] / src / PVE / Firewall.pm
diff --git a/src/PVE/Firewall.pm b/src/PVE/Firewall.pm

index e0e7a67da806e9fc88023874882bf3ec03f4bc00..0e59a09444ff6ab8ead2db41f2c8f3387ca3f3bc 100644 (file)
--- a/src/PVE/Firewall.pm
+++ b/src/PVE/Firewall.pm
@@ -821,19 +821,24 @@ sub ruleset_insertrule {
  }
  
  sub generate_bridge_chains {
-    my ($ruleset, $bridge) = @_;
+    my ($ruleset, $hostfw_conf, $bridge) = @_;
  
-    if (!ruleset_chain_exist($ruleset, "PVEFW-FORWARD")){
-       ruleset_create_chain($ruleset, "PVEFW-FORWARD");
-       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
-    }
+    my $options = $hostfw_conf->{options} || {};
+    
+    # fixme: what log level should we use here?
+    my $loglevel = get_option_log_level($options, "log_level_out");
  
      if (!ruleset_chain_exist($ruleset, "$bridge-FW")) {
         ruleset_create_chain($ruleset, "$bridge-FW");
         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -m physdev --physdev-is-bridged -j $bridge-FW");
         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -m physdev --physdev-is-bridged -j $bridge-FW");
-       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -j DROP");  # disable interbridge routing
-       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -j DROP"); # disable interbridge routing
+       # disable interbridge routing
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -j PVEFW-Drop"); 
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -j PVEFW-Drop");
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -j LOG --log-prefix \"PVEFW-FORWARD-dropped \" --log-level $loglevel");  
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -j LOG --log-prefix \"PVEFW-FORWARD-dropped \" --log-level $loglevel");  
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -j DROP");  
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-i $bridge -j DROP");
      }
  
      if (!ruleset_chain_exist($ruleset, "$bridge-OUT")) {
@@ -1408,18 +1413,18 @@ sub read_local_vm_config {
      return $vmdata;
  };
  
-sub read_vm_firewall_rules {
+sub read_vm_firewall_configs {
      my ($vmdata) = @_;
-    my $rules = {};
+    my $vmfw_configs = {};
      foreach my $vmid (keys %{$vmdata->{qemu}}, keys %{$vmdata->{openvz}}) {
         my $filename = "/etc/pve/firewall/$vmid.fw";
         my $fh = IO::File->new($filename, O_RDONLY);
         next if !$fh;
  
-       $rules->{$vmid} = parse_vm_fw_rules($filename, $fh);
+       $vmfw_configs->{$vmid} = parse_vm_fw_rules($filename, $fh);
      }
  
-    return $rules;
+    return $vmfw_configs;
  }
  
  sub get_option_log_level {
@@ -1447,7 +1452,7 @@ sub generate_std_chains {
      # same as shorewall smurflog.
      if (defined($loglevel)) {
         $pve_std_chains-> {'PVEFW-smurflog'} = [
-           "-j LOG --log-prefix \"smurfs-dropped\" --log-level $loglevel",
+           "-j LOG --log-prefix \"smurfs-dropped: \" --log-level $loglevel",
             "-j DROP",
             ];
      } else {
@@ -1458,7 +1463,7 @@ sub generate_std_chains {
      $loglevel = get_option_log_level($options, 'tcp_flags_log_level');
      if (defined($loglevel)) {
         $pve_std_chains-> {'PVEFW-logflags'} = [
-           "-j LOG --log-prefix \"logflags-dropped:\" --log-level $loglevel --log-ip-options",
+           "-j LOG --log-prefix \"logflags-dropped: \" --log-level $loglevel --log-ip-options",
             "-j DROP",
             ];
      } else {
@@ -1503,7 +1508,7 @@ sub read_pvefw_status {
  
  sub compile {
      my $vmdata = read_local_vm_config();
-    my $rules = read_vm_firewall_rules($vmdata);
+    my $vmfw_configs = read_vm_firewall_configs($vmdata);
  
      my $groups_conf = {};
      my $filename = "/etc/pve/firewall/groups.fw";
@@ -1517,10 +1522,12 @@ sub compile {
  
      ruleset_create_chain($ruleset, "PVEFW-INPUT");
      ruleset_create_chain($ruleset, "PVEFW-OUTPUT");
+
      ruleset_create_chain($ruleset, "PVEFW-FORWARD");
+    ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
  
      my $hostfw_options = {};
-    my $hostfw_conf;
+    my $hostfw_conf = {};
  
      $filename = "/etc/pve/local/host.fw";
      if (my $fh = IO::File->new($filename, O_RDONLY)) {
@@ -1530,15 +1537,14 @@ sub compile {
  
      generate_std_chains($ruleset, $hostfw_options);
  
-    my $hostfw_enable = $hostfw_conf && 
-       !(defined($hostfw_options->{enable}) && ($hostfw_options->{enable} == 0));
+    my $hostfw_enable = !(defined($hostfw_options->{enable}) && ($hostfw_options->{enable} == 0));
  
      enable_host_firewall($ruleset, $hostfw_conf, $groups_conf) if $hostfw_enable;
  
      # generate firewall rules for QEMU VMs
      foreach my $vmid (keys %{$vmdata->{qemu}}) {
         my $conf = $vmdata->{qemu}->{$vmid};
-       my $vmfw_conf = $rules->{$vmid};
+       my $vmfw_conf = $vmfw_configs->{$vmid};
         next if !$vmfw_conf;
         next if defined($vmfw_conf->{options}->{enable}) && ($vmfw_conf->{options}->{enable} == 0);
  
@@ -1553,7 +1559,7 @@ sub compile {
  
             $bridge .= "v$net->{tag}" if $net->{tag};
  
-           generate_bridge_chains($ruleset, $bridge);
+           generate_bridge_chains($ruleset, $hostfw_conf, $bridge);
  
             my $macaddr = $net->{macaddr};
             generate_tap_rules_direction($ruleset, $groups_conf, $iface, $netid, $macaddr, $vmfw_conf, $bridge, 'IN');