add aliases feature

this allow to defined ip et network aliases,

which can be used in vm/group rules and also ipset

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add README and example to debian package

fix README

only allow tcpflafgs and nosmurfs in host.fw

enable cluster wide rules

add remaining options to VM API

add options and log API for VMs

bugfix : ruleset_generate_cmdstr : use -d for destination

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

complete options API for host.fw

add API for firewall log

correctly initialize std chains

Else those chains grow if called from a daemon.

do not set persistent state if firewall is disabled

Else we have to manually restart the service after enable is set.

disable firewall by default

add init script to start firewall

ips : allow --queue-bypass only for kernel 3.10

This don't exist in 2.6.32 kernel

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

stop firewall inside update if firewall is disabled in cluster.fw

And some code cleanups.

implement API for cluster.fw policy_in and policy_out options

move host policy setting to cluster.fw

Because we also have cluster wide rules

remove option dhcp for host.fw

add tunnable nf_conntrack_tcp_timeout_established value

default nf_conntrack_tcp_timeout_established value is 5 days.

This is really huge, in case of a ddos attack for example

from:
https://dev.openwrt.org/ticket/12976

minimum value should be

"7875 seconds (= tcp_keepalive_time + tcp_keepalive_probes * tcp_keepalive_intvl = 7200 + 9 * 75 by default) to give the endpoints sufficient time to send keep-alive probes"

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

copy_xxx_with_digest: do not copy undefined values

improve concurrent update handling

compute digest per section.

correctly encode section comments as utf8

support comments on ipset sections

Also implement concurrenty change prevention for ipset API.

rules API: protect against concurrent updates

security group API: protect against concurrent updates

define standard option pve-config-digest

support comments on group sections

correctly save security group rules

complete security group API

define standard option for security group names

correctly verify ipset name

IPSet: implement rename API

add newline to error message

ipset: implement create/delete API

ipset API: add get/update methods

fix ipset ref test in parse_address_list

improve ipset updates

Remove duplicates, remove stale _swap chains, better cidr parser

ipset: implement delete API, improve parameter verification

start API for IPSet

ipset: only save ip/network once

We do not allow duplicate entries.

correctly save ipset data

allow icmp port names

verify macro parameters when updating a rule using API

fix port parser

And correctly verify rules on updates on API.

add macro descriptions (and API to read them)

implement delete parameter for rule update API

rule type and action are required parameters

simplify check for iprange

We already parsed the address, so we can do a simpler check.

parse_address_list: add check for ipset references.

parse_address_list: only allow one ip range

The previous check did not work if the range is the first entry in the list,
for example:

IN  ACCEPT net0 10.0.0.1-10.0.0.10,10.0.0.12

ipset: check kernel version

And white space cleanups.

rename netgroup to ipset

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

prefix ipset chains with PVEFW-

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

implemented ipset rules in iptables

I'm reusing shorewall syntax,  +mynetgroup

also fixing iprange and iplist

vmid.fw
-------
IN SSH(ACCEPT) net0 192.168.2.192  # only allow SSH from  192.168.2.192
IN SSH(ACCEPT) net0 10.0.0.1-10.0.0.10 #accept SSH for ip in range 10.0.0.1 to 10.0.0.10
IN SSH(ACCEPT) net0 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for 10.0.0.1 or 10.0.0.2 or 10.0.0.3
IN SSH(ACCEPT) net0 +mynetgroup   #accept ssh for netgroup mynetgroup

cluster.fw
----------
IN  ACCEPT 10.0.0.1
IN  ACCEPT 10.0.0.1-10.0.0.10
IN  ACCEPT 10.0.0.1,10.0.0.2,10.0.0.3
IN  ACCEPT +mynetgroup

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

really save options

implement rules API for <vmid>.fw

implement rules API for host.fw

implement generic rule API class

So that we can reuse the code.

implement option API for cluster.fw

start cluster wide firewall API

delete trailing white space from 'ipset save' output.

Also improve verbose output.

avoid multiple calls to ipset_get_chains()

and some white space cleanups.

ipset : use only netgroup

only use hash:net for both ips and network.

allow comments and nomatch

delete ipset chains after iptables restore

also optimize hashsize

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

remove unneccessary iptables code

avoid calls to iptables_rule_exist()

new method iptables_chain_digest() to compute digest

Note: My previous commit introcuded a bug, using ipset_chain_digest()
for the iptables ruleset - this is a fix for that.

s/rulset/ruleset/

avoid calls to iptables_rule_exist

We can return that info with iptables_get_chains().

allow options and rules section in cluster.fw

rename groups.fw to cluster.fw

Because we also want to have cluster wide rules/options.

cleanup ipset code

implement ipset ip/net groups

This implement ipset groups of ips or network in groups.fw.

groups.fw
---------
[ipgroup ipgroup1]

192.168.0.1
192.168.0.2
192.168.0.3

[ipgroup ipgroup2]

192.168.0.3
192.168.0.4

[netgroup netgroup1]

192.168.0.0/24
10.0.0.0/8

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

cleanup ips detection

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

ignor eadditional arguments when moveto is set

improve parameter verification

cleanup_fw_rule: only copy defined rule properties

do not expand macros on load

Else we save expanded macros!

improve API

add ips optimizations

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add optimize flag

this flag enble optimizations on rules processing

host.fw
-------
optimize:1

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add ips feature v7

This add ips (like suricata) support through nfqueues.

The main idea is to replace -j ACCEPT with -J NFQUEUE , to pass packets to ips

it's using --queue-bypass (only available in 3.10 kernel), so it's suricata daemon is down,
packets are not dropped.

tap-out chain,
-------------
we goto PVEFW-SET-ACCEPT-MARK is always use when connection is already established
 -m conntrack --ctstate RELATED,ESTABLISHED -g PVEFW-SET-ACCEPT-MARK

tap-in chain
---------------
I replace -j ACCEPT by -j NFQUEUE when ips is enabled
and
-m conntrack --ctstate RELATED,ESTABLISHED -j NFQUEUE

group-in rules now use also mark
---------------------------------
-A tap110i0-IN -j GROUP-group1-IN
   -A GROUP-group1-IN -j MARK --set-xmark 0x0/0xffffffff
   -A GROUP-group1-IN -p icmp -g PVEFW-SET-ACCEPT-MARK
-A tap110i0-IN -m mark --mark 0x1 -j ACCEPT|NFQUEUE

vmid.fw
-------
ips: 1

ips_queues: 0:3

1 or more queues can be defined (if we want cpu loadbalancing, or dedicated queue for a specific vm).
If not defined, default queue 0 is used.

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

code cleanup: use ruleset_generate_rule to generate dhcp rules

assume rule is enabled if {enable} is not defined

dhcp out rule : use goto instead jump

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

use enable instead of disable

This make it easier to write the GUI.

implement nosmurfs option for hiost firewall

add tcpflags to host.fw example

implement option tcpflags for host firewall

But we only add the check for incoming packets, assuming that the
host itself never generates invalid tcp flags.

generate_group_rules : fix check of security group

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

fix dhcp rule

As suggested by Alexandre.

allow to use utf8 encoded comments

switch back to gnu99 std

So that we can compile with gcc 4.4

remove optimization which accepts unrelated traffic

Removing this alsmo make ips filter easier.

start VM firewall API

start host API

improve security group API

start API

new method load_security_groups()

remove obsolete comment