use conntrack instead of state

author Dietmar Maurer <dietmar@proxmox.com>

Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)

committer Dietmar Maurer <dietmar@proxmox.com>

Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)
author Dietmar Maurer <dietmar@proxmox.com>
Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)
committer Dietmar Maurer <dietmar@proxmox.com>
Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)
diff --git a/PVE/Firewall.pm b/PVE/Firewall.pm

index f7a87caacd37989e90ee64b508c3381d911546c0..aaba7f930ca38e0d04c487a1d50a03503fd4bcc2 100644 (file)
--- a/PVE/Firewall.pm
+++ b/PVE/Firewall.pm
@@ -638,7 +638,7 @@ sub generate_bridge_chains {
      if (!ruleset_chain_exist($ruleset, "PVEFW-FORWARD")){
         ruleset_create_chain($ruleset, "PVEFW-FORWARD");
  
-       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m state --state RELATED,ESTABLISHED -j ACCEPT");
+       ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m physdev --physdev-is-in --physdev-is-bridged -j PVEFW-BRIDGE-OUT");
         ruleset_addrule($ruleset, "PVEFW-FORWARD", "-m physdev --physdev-is-out --physdev-is-bridged -j PVEFW-BRIDGE-IN");
      }
@@ -664,8 +664,8 @@ sub generate_tap_rules_direction {
  
      ruleset_create_chain($ruleset, $tapchain);
  
-    ruleset_addrule($ruleset, $tapchain, "-m state --state INVALID -j DROP");
-    ruleset_addrule($ruleset, $tapchain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
+    ruleset_addrule($ruleset, $tapchain, "-m conntrack --ctstate INVALID -j DROP");
+    ruleset_addrule($ruleset, $tapchain, "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
  
      if ($direction eq 'OUT' && defined($macaddr)) {
         ruleset_addrule($ruleset, $tapchain, "-m mac ! --mac-source $macaddr -j DROP");
@@ -715,11 +715,11 @@ sub enablehostfw {
      my $chain = "PVEFW-HOST-IN";
      ruleset_create_chain($ruleset, $chain);
  
-    ruleset_addrule($ruleset, $chain, "-m state --state INVALID -j DROP");
-    ruleset_addrule($ruleset, $chain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
+    ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID -j DROP");
+    ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-i lo -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
-    ruleset_addrule($ruleset, $chain, "-p udp -m state --state NEW -m multiport --dports 5404,5405 -j ACCEPT");
+    ruleset_addrule($ruleset, $chain, "-p udp -m conntrack --ctstate NEW -m multiport --dports 5404,5405 -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT");  #corosync
  
      if ($rules->{in}) {
@@ -737,11 +737,11 @@ sub enablehostfw {
      $chain = "PVEFW-HOST-OUT";
      ruleset_create_chain($ruleset, $chain);
  
-    ruleset_addrule($ruleset, $chain, "-m state --state INVALID -j DROP");
-    ruleset_addrule($ruleset, $chain, "-m state --state RELATED,ESTABLISHED -j ACCEPT");
+    ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate INVALID -j DROP");
+    ruleset_addrule($ruleset, $chain, "-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-o lo -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST -j ACCEPT");
-    ruleset_addrule($ruleset, $chain, "-p udp -m state --state NEW -m multiport --dports 5404,5405 -j ACCEPT");
+    ruleset_addrule($ruleset, $chain, "-p udp -m conntrack --ctstate NEW -m multiport --dports 5404,5405 -j ACCEPT");
      ruleset_addrule($ruleset, $chain, "-p udp -m udp --dport 9000 -j ACCEPT"); #corosync
  
      if ($rules->{out}) {
author	Dietmar Maurer <dietmar@proxmox.com>
	Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)
committer	Dietmar Maurer <dietmar@proxmox.com>
	Thu, 20 Feb 2014 12:14:58 +0000 (13:14 +0100)