add another test case

fix for test case test/test-errors1

add test case to show serious bug

use GET instead of POST for command that do not change state.

add new localnet command

Print information about local network (IP/NETWORK/NODENAME).

rename cluster_network to local_network, introduce local_network alias

So that the user can overwrite it.

add tests for management ipset

Introduce new management ipset

The uses can setup a 'management' IPSet to make sure he has access to the GUI
from those IPs.

do not use ctstate in corosync rule

That is not necessary, because we only reach that rule if ctstate is NEW.

start alias support for VMs

implement config parser/writer and API. iptables functionatity is missing.

improve documentation

do not log simulate warnings to syslog

add simulate command for easy testing

move test code to FirewallSimulator.pm

add tests for corosync multicast addrtype rules

do not enable VM firewall by default

Else we get different behavior with empty vs. non-existinf <VMID>.fw

add tests for default rules

fwtester: set cluster network to 172.16.1.0/24, host_ip to 172.16.1.2

So that we can add test for default rules

allow tests without cluster.fw and host.fw configuration

also allow VNC and SPICE traffic inside cluster_network

do not use -s for outgoing corosync rules

implement setter for cluster_network

So that we can set values for testing.

fix regression test for previous commits

use $accept_action for standard rules

add standard rules after user rules

Ao that the users can overwrite behavior.

fix corosync rules (restrict to cluster network)

remove wrong corosync rules using port 9000

allow API/SSH/SPICE/VNC traffic on local cluster network by default

remove unused options

add init function

do not restart pvefw-logger with debian triggers

That is not necessary.

avoid logs by default

Log files can grow really large, so we want to avoid them by default.

remove unused parameters

birectionnal macros cleanups

remove reverse direction rules

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

change rule format: use named parameters

include manual page

cleanup firewall service implementation

We now run a separate server called 'pve-firewall' (renamed 'pvefw').
So service and management tool use the same name:

 # service pve-firewall start

is the same as

 # pve-firewall start

Also removed the read_pvefw_status/save_pvefw_status code.

bypass PVEFW-VENET-IN|OUT for unfirewalled venet0 ips

we create an ipset PVEFW-venet0 for firewalled venet0 ips,
and only send this matching ips to PVEFW-VENET-IN|OUT

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

do not abort if security groups does not exists

Simply create an empty chain instead.

add ipset regression tests

fwtester: implement ipset testing

fix blacklist example

add tests for unconfigured firewall (empty files)

add group tests for container

fix security groups for VMs

And add resgression tests for those fixes.

add security group tests

fwtester: add ability to run tests on several zones

correctly emit group rules for host

fwtester: improve rule_match

Use Net::IP to test source/dest.

correctly use dest instead of source

allow GROUP rule without iface

fwtester: set firewall=1 for test VM interfaces

only add tap rules for interface with firewall=1

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

fwtester: simplify code with ne bport zone

improve error messages

fwtester: add new zone 'nfwm' to simulate a non-firewalled VM

fwtester: do not count ENTER/LEAVE

add README for fwtester.pl

fix interface in rules for host-in and host-out

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add tests for host interface match

fwtester: support dev regex with -i and -o

fwtester: fix emulation - correctly set phydev_in

fwtester: add counters for debugging

fwtester: do not set packet default values

move blacklist inside ruleset_chain_add_input_filters

make sense to only add it for IN direction and

like this, non-firewalled vms (tap|veth for now, not matching fwln+) will never check the blacklist rule

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

remove optimize option

new model is already optimized, no need to have tricks now

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

fwtester: implement some useful command line option

fwtester: implement new 'outside' zone

To simulate traffic from/to outside world (vmbr0/eth0)

fwtester: improve kernel simulation

delete trailing whitespace cleanup

allow multiple spaces in venet0 ip list

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

rename link+ to fwln+

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

bugfix : allow multiples venet0 ip in 1 container

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

insert PVEFW-IPS after vm rules generation v2

or it never match it

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add Makefile targets for regression tests

Always run tests before assembling a Debian package.

add regression test infrastructure

allow to read config from test directory

I will use that for regression tests.

use PVEFW-VENET-IN/OUT inside PVEFW-INPUT/OUTPUT chains

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

move nosmurfs, tcpflags and conntrack established outside tap chains

These should be done fast,

conntrack established can be done in PVE-FORWARD now

smurf and tcpflags can be done in PVEFW-FWBR-IN and PVEFW-VENET-IN (don't
make sense to test them in OUT direction)

-A PVEFW-FORWARD ! -i fwbr+ -j ACCEPT
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-FORWARD -m physdev --physdev-in link+ -j PVEFW-FWBR-IN
      -A PVEFW-FWBR-IN -p tcp -j PVEFW-tcpflags
      -A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
      -A PVEFW-FWBR-IN -m physdev --physdev-out tap123i0 --physdev-is-bridged -j tap123i0-IN
      -A PVEFW-FWBR-IN -m physdev --physdev-out veth0.0 --physdev-is-bridged -j veth0.0-IN
-A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-out link+ -j PVEFW-FWBR-OUT
      -A PVEFW-FWBR-OUT -m physdev --physdev-in tap123i0 -j tap123i0-OUT
      -A PVEFW-FWBR-OUT -m physdev --physdev-in veth0.0  -j veth0.0-OUT

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

remove dead code

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add PVEFW-VENET-IN && PVEFW-VENET-OUT chains

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

remove bridge chains

-A PVEFW-FORWARD ! -i fwbr+ -j ACCEPT
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-in link+ -j PVEFW-FWBR-IN
      -A PVEFW-FWBR-IN -m physdev --physdev-out tap123i0 --physdev-is-bridged -j tap123i0-IN
      -A PVEFW-FWBR-IN -m physdev --physdev-out veth0.0 --physdev-is-bridged -j veth0.0-IN
-A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-out link+ -j PVEFW-FWBR-OUT
      -A PVEFW-FWBR-OUT -m physdev --physdev-in tap123i0 -j tap123i0-OUT
      -A PVEFW-FWBR-OUT -m physdev --physdev-in veth0.0  -j veth0.0-OUT

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

use hex digest to avoid url encoding problems

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

avoid error about undefined array

Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

set RELEASE to 3.2

remove allow_bridge_route setting

Not needed for new network model with additional bridge.

firewall group API: change 'name' to 'group'

add global ipset blacklist

this is a predefined ipset == blacklist,

which block ips at the begin of PVE-FORWARD.

(usefull in case of ddos attack)

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

generate_ipset: skip undefined ipsets

I introduced that bug when I changed die to warn.

rename save_rules to save_ipset

alias API: implement rename

start API for aliases

Allow comments for aliases.

correctly save aliases

ruleset_generate_vm_rules: use 'warn' instead of 'die'

We want to be able to update our rules, even if somebody defined
a wrong rule for his VM.

ruleset_generate_vm_rule: avoid multiple calls to generate_nfqueue()

generate_nfqueue: code cleanup

ruleset_generate_rule: update all or nothing

And use 'warn' instead of 'die' if alias does not exists.

update update_nf_conntrack_max && nf_conntrack_tcp_timeout_established after modules load

/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
and
/proc/sys/net/nf_conntrack_max

are empty by default, because conntrack module is not loaded, until we have apply iptables rules

So, we just need to update them after iptables commit (which load the conntrack modules)

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

code cleanup

Define $ip_alias_name to make it easier to read the code.

iptables_get_chains : allow bridgevlan vmbrXvY

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>