build-depends: add dh-systemd

bump version to 2.0-29

prevent overwriting ipsets/sec. groups by renaming

we did not check if the target name of the group/ipset
already existed, so we overwrote them

Signed-off-by: Dominik Csapak <d.csapak@proxmox.com>

fix allowed group name length

the allowed length for an iptable chain is 28 chars

we had a max set of 20 but a format of
GROUP-<name>-IN and
GROUP-<name>-OUT

where <name> is the group name

but GROUP--OUT are 10 chars so we just allow 18 chars max

Signed-off-by: Dominik Csapak <d.csapak@proxmox.com>

make group digest stable

if we had mulitple security groups and wanted to
edit one, we did not have a stable digest,
because perl hashes are not sorted

this patch sorts the keys before hashing

Signed-off-by: Dominik Csapak <d.csapak@proxmox.com>

bump version to 2.0-28

use pve-common's ipv4_mask_hash_localnet

bump version to 2.0-27

fix #972: make PVEFW-FWBR-* rule order stable

by sorting the VM/CT IDs and the VM/CT config keys before
iterating over them.

bump version to 2.0-26

install sysctl file set set rp_filter=2

To avoid that packet gets accepted to early in fwbr. We had the
same setting in package vzctl (Proxmox VE 3.X).

bump version to 2.0-25

fix #945: add uninitialized check in lxc ipset compilation

use pve-doc-generator, bump version to 2.0-24

move option definition to PVE::Firewall

So that we can auto-generate docs.

bump version to 2.0-23

use only the top bit for our accept marks

This way we can let the remaining 31 bits be used by the
user.
Note that the routing decision has already been made when
these tables are being traversed, so the fwmark will not be
usable for routing rules (ip-rule(8)), but the mark can
still be used for other tasks such as traffic control (tc)
which happens on the outgoing interface.

add description to DHCPv6 macro

cleanup descriptions (use single quote instead of backticks)

cleanup descriptions (correctly quote backslash)

add property descriptions to improve docs

bump version to 2.0-22

Use cfs_config_path from PVE::QemuConfig

update after refactoring

LXC refactoring

call cfs_config_path and parse_lxc_network in
PVE::LXC::Config instead of PVE::LXC

bump version to 2.0-21

whitespace cleanup

test: add test for implicitly allowed container IP

ipfilter: include configured container IPs by default

added the 'ipfilter' option

This effectively acts like adding an emtpy 'ipfilter-netX'
ipset for every firewall-enabled interface.

ipv6: fix ip_compress_address_call

This only takes an address and not a CIDR notation. It does
preserve the suffix but ended up compressing
fc00:0000::0000/64 to fc00::0000/64 instead of fc00::/64 and
thus caused the firewall to always show there are pending
changes when ipv6 addresses were available.

use systemctl reload-or-restart on update

dh_installinit's -R option uses 'restart' causing a
stop-start cycle with systemd. We really don't want that.

ipfilter: imiplicitly add the default link local address

When adding an ipset for a device via the 'ipfilter-net$NUM'
name we now implicitly add the default link local address
based on the device's MAC address and a 'nomatch' entry for
the rest of fe80::/10. This is comparable to an ARP/MAC
filter in IPv4 with the main difference that it explicitly
works at IP level.

split compile_ipsets() out of compile_iptables_filter()

compile_iptables_filter() is called twice, once to get the
ipv4 ruleset + ipsets and ones to get the ipv6 ruleset. The
second call still generates ipsets which are discarded so it
makes sense to do this in a separate step.

cleanup after old change

get_ipset_cmdlist() had a delete parameter in one commit,
removed in the one after that (dd7a13fddc) and this call
was not updated accordingly with the second patch.

ndp: use PVEFW-SET-ACCEPT-MARK and move rules further down

On host level: moved NDP to after connection tracking and
switched to RETURN instead of ACCEPT.

On VM level:
The output direction now uses the accept-mark like the dhcp
option does, too.
Also moved NDP rules below the macfilter & ipset rules.

only allow icmp names in the destination port field

We generate ICMP rules from the destination port field,
so allowing them in the source port field only confuses
people.

bump version to 2.0-20

fix 901: encode unicode characters in sha digest

if we do not do this, Digest::SHA->add croaks when it detects
wide symbols

Signed-off-by: Dominik Csapak <d.csapak@proxmox.com>

bump version to 2.0-19

Add radv option to VM options.

By default firewalled VMs should not be allowed to send
router advertisement packets.

bump version to 2.0-18

Add router-solicitation to NeighborDiscovery macro

to be more consistent with the host-wide NDP option.
This macro is now mostly useful to disable NDP on VMs.

Add ndp option to host and VM firewall options

It's is enabled by default.

bump version to 2.0-17

Don't leave empty FW config files behind

Unlink FW config files instead of setting their content
to nothing.

pvefw-logger.c: remove unused var

bump version to 2.0-16

logger: basic ipv6 support

Support for:
 * IPv6 main header
 * ICMPv6:
   - echo request/reply
   - NDP
   - redirects
 * destination unreachable message
 * packet too big message
 * time exceeded message
 * parameter problem messages:
   - erroneous header
   - bad next-header
   - bad ipv6 option
 * extension headers:
   - routing
   - fragmentation
   - skipping over: hopopts, destopts and mobile home

factor out IPPROTO switch for reuse

add DHCPv6 macro

add dhcpv6 support to the dhcp option

make LEPRINT* macros safe to use with if/else pairs

set RELEASE=4.1

bump version to 2.0-15

use $security_group_name_pattern in iptables_get_chains

Fixes #859

fix some regular expressions mixups

Replacing some (:?...) with (?:...) which makes more sense
here.

bump version to 2.0-14

pve-firewall.service: WantedBy=multi-user.target

Instead of network-online.target, which is a very special systemd target
which is not always pulled.

fix typo: s/stemd-modules-load.service/systemd-modules-load.service/

bump version to 2.0-13

allow numeric icmp types

make clean fix

bump version to 2.0-12

use service class to generate pod and bash-completion files

convert pve-firewall into a PVE::Service class

add better inline documentation

bump version to 2.0-11

iptables_get_chains: fix veth device name

bump version to 2.0-10

subroutine for cloning vm's firewall config file

bump version to 2.0-9

firewall remove config file subroutine added

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-8

adopt regresion tests for lxc containers

Removed OpenVZ venet code.

removed firewall code for openVZ

[PATCH 2/2] changed to [PATCH] with the following fix:

Subroutine verify_rule (re)fixed to correctly check only for "net\d+" interface device names

bump version to 2.0-7

added firewall code for lxc

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-6

firewall ipversion comparison fix

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

local_network: ipv6 support + correctness

Net::IP->overlaps returns more than just true or false, as
it tests both directions, we need IP_B_IN_A_OVERLAP in our
test.
Removed return on mask eq '0.0.0.0' as this doesn't exist in
the $ipv4_mask_hash_localnet.

fix ipv6 address normalization

inet_ntop only takes an addres, not a CIDR notation. Since
the normalized address should just be a compressed
lower-case address, Net::IP::ip_compress_address should be
sufficient.

inet_ntop didn't succeed before, the result of which was
that ipsets weren't generated at all for ipv6 address ranges.

bump version to 2.0-5

ipv6 neighbor discovery and solicitation macros

Add ipv6 macros to the macro list

Additionally there's now a way to specify ipv6-only or
ipv4-only macros.

ip6tables accepts both spellings of the word neighbor

firewall - Ceph macro added

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

fix path for DOCDIR

bump version to 2.0-4

correctly install manual pages

fix lintian warning command-with-path-in-maintainer-script

firewall instant API call apply

firewall_module_duplicate

removed duplicated line of Data::Dumper use

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

firewall autodisable

firewall enable parameter type changed from boolean to integer so it can store
the timestamp of the firewall enable call to avoid an admin remote lockout

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-3

use noawait trigers for pve-api-updates

bump version to 2.0-2

trigger pve-api-updates event

allow admins to delete security groups

always use local_network alias if specified by user

correctly emit ipv6 rules for host firewall