correctly init PVEFW-FORWARD chain
authorDietmar Maurer <dietmar@proxmox.com>
Tue, 4 Mar 2014 11:23:19 +0000 (12:23 +0100)
committerDietmar Maurer <dietmar@proxmox.com>
Tue, 4 Mar 2014 11:23:19 +0000 (12:23 +0100)
We generate that chain by default, so the old code never triggered.

src/PVE/Firewall.pm

index e0e7a67..51eaac6 100644 (file)
@@ -823,11 +823,6 @@ sub ruleset_insertrule {
 sub generate_bridge_chains {
     my ($ruleset, $bridge) = @_;
 
 sub generate_bridge_chains {
     my ($ruleset, $bridge) = @_;
 
-    if (!ruleset_chain_exist($ruleset, "PVEFW-FORWARD")){
-       ruleset_create_chain($ruleset, "PVEFW-FORWARD");
-       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
-    }
-
     if (!ruleset_chain_exist($ruleset, "$bridge-FW")) {
        ruleset_create_chain($ruleset, "$bridge-FW");
        ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -m physdev --physdev-is-bridged -j $bridge-FW");
     if (!ruleset_chain_exist($ruleset, "$bridge-FW")) {
        ruleset_create_chain($ruleset, "$bridge-FW");
        ruleset_addrule($ruleset, "PVEFW-FORWARD", "-o $bridge -m physdev --physdev-is-bridged -j $bridge-FW");
@@ -1517,7 +1512,9 @@ sub compile {
 
     ruleset_create_chain($ruleset, "PVEFW-INPUT");
     ruleset_create_chain($ruleset, "PVEFW-OUTPUT");
 
     ruleset_create_chain($ruleset, "PVEFW-INPUT");
     ruleset_create_chain($ruleset, "PVEFW-OUTPUT");
+
     ruleset_create_chain($ruleset, "PVEFW-FORWARD");
     ruleset_create_chain($ruleset, "PVEFW-FORWARD");
+    ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
 
     my $hostfw_options = {};
     my $hostfw_conf;
 
     my $hostfw_options = {};
     my $hostfw_conf;