implement nosmurfs option for hiost firewall
authorDietmar Maurer <dietmar@proxmox.com>
Thu, 20 Mar 2014 06:53:59 +0000 (07:53 +0100)
committerDietmar Maurer <dietmar@proxmox.com>
Thu, 20 Mar 2014 06:57:52 +0000 (07:57 +0100)
example/100.fw
example/host.fw
src/PVE/Firewall.pm

index 94f178d..a917931 100644 (file)
@@ -19,8 +19,8 @@ log_level_in: info
 # disable log for outgoing connections
 log_level_out: nolog
 
-# filter SMURFS
-nosmurfs: 1
+# disable SMURFS filter
+nosmurfs: 0
 
 # filter illegal combinations of TCP flags
 tcpflags: 1
index e38b2a5..663d2d7 100644 (file)
@@ -20,6 +20,9 @@ nf_conntrack_max: 196608
 # you need to enable that explicitly
 allow_bridge_route: 1
 
+# disable SMURFS filter
+nosmurfs: 0
+
 # filter illegal combinations of TCP flags
 tcpflags: 1
 
index a929b54..6d715c2 100644 (file)
@@ -1125,6 +1125,10 @@ sub enable_host_firewall {
 
     my $loglevel = get_option_log_level($options, "log_level_in");
 
+    if (!(defined($options->{nosmurfs}) && $options->{nosmurfs} == 0)) {
+       ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs");
+    }
+
     if ($options->{tcpflags}) {
        ruleset_addrule($ruleset, $chain, "-p tcp -j PVEFW-tcpflags");
     }