fix 901: encode unicode characters in sha digest

if we do not do this, Digest::SHA->add croaks when it detects
wide symbols

Signed-off-by: Dominik Csapak <d.csapak@proxmox.com>

bump version to 2.0-19

Add radv option to VM options.

By default firewalled VMs should not be allowed to send
router advertisement packets.

bump version to 2.0-18

Add router-solicitation to NeighborDiscovery macro

to be more consistent with the host-wide NDP option.
This macro is now mostly useful to disable NDP on VMs.

Add ndp option to host and VM firewall options

It's is enabled by default.

bump version to 2.0-17

Don't leave empty FW config files behind

Unlink FW config files instead of setting their content
to nothing.

pvefw-logger.c: remove unused var

bump version to 2.0-16

logger: basic ipv6 support

Support for:
 * IPv6 main header
 * ICMPv6:
   - echo request/reply
   - NDP
   - redirects
 * destination unreachable message
 * packet too big message
 * time exceeded message
 * parameter problem messages:
   - erroneous header
   - bad next-header
   - bad ipv6 option
 * extension headers:
   - routing
   - fragmentation
   - skipping over: hopopts, destopts and mobile home

factor out IPPROTO switch for reuse

add DHCPv6 macro

add dhcpv6 support to the dhcp option

make LEPRINT* macros safe to use with if/else pairs

set RELEASE=4.1

bump version to 2.0-15

use $security_group_name_pattern in iptables_get_chains

Fixes #859

fix some regular expressions mixups

Replacing some (:?...) with (?:...) which makes more sense
here.

bump version to 2.0-14

pve-firewall.service: WantedBy=multi-user.target

Instead of network-online.target, which is a very special systemd target
which is not always pulled.

fix typo: s/stemd-modules-load.service/systemd-modules-load.service/

bump version to 2.0-13

allow numeric icmp types

make clean fix

bump version to 2.0-12

use service class to generate pod and bash-completion files

convert pve-firewall into a PVE::Service class

add better inline documentation

bump version to 2.0-11

iptables_get_chains: fix veth device name

bump version to 2.0-10

subroutine for cloning vm's firewall config file

bump version to 2.0-9

firewall remove config file subroutine added

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-8

adopt regresion tests for lxc containers

Removed OpenVZ venet code.

removed firewall code for openVZ

[PATCH 2/2] changed to [PATCH] with the following fix:

Subroutine verify_rule (re)fixed to correctly check only for "net\d+" interface device names

bump version to 2.0-7

added firewall code for lxc

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-6

firewall ipversion comparison fix

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

local_network: ipv6 support + correctness

Net::IP->overlaps returns more than just true or false, as
it tests both directions, we need IP_B_IN_A_OVERLAP in our
test.
Removed return on mask eq '0.0.0.0' as this doesn't exist in
the $ipv4_mask_hash_localnet.

fix ipv6 address normalization

inet_ntop only takes an addres, not a CIDR notation. Since
the normalized address should just be a compressed
lower-case address, Net::IP::ip_compress_address should be
sufficient.

inet_ntop didn't succeed before, the result of which was
that ipsets weren't generated at all for ipv6 address ranges.

bump version to 2.0-5

ipv6 neighbor discovery and solicitation macros

Add ipv6 macros to the macro list

Additionally there's now a way to specify ipv6-only or
ipv4-only macros.

ip6tables accepts both spellings of the word neighbor

firewall - Ceph macro added

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

fix path for DOCDIR

bump version to 2.0-4

correctly install manual pages

fix lintian warning command-with-path-in-maintainer-script

firewall instant API call apply

firewall_module_duplicate

removed duplicated line of Data::Dumper use

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

firewall autodisable

firewall enable parameter type changed from boolean to integer so it can store
the timestamp of the firewall enable call to avoid an admin remote lockout

Signed-off-by: Alen Grizonic <a.grizonic@proxmox.com>

bump version to 2.0-3

use noawait trigers for pve-api-updates

bump version to 2.0-2

trigger pve-api-updates event

allow admins to delete security groups

always use local_network alias if specified by user

correctly emit ipv6 rules for host firewall

add PIDFile option for systemd services

install systemd service files

implement permission for Alias class.

do not use triggers

This make problem on jessie, complaining about cyclic dependency loop.

fix path to ipset binary

remove cman dependency

depending on pve-cluster should be enough.

recompile for debian jessie, bump version to 2.0-1

bump version to 1.0-18

fix alias lookup

bump version to 1.0-17

add preinst script

Older versions of the pve-firewall daemon do not restart
with HUP, so we need to do a stop/start.

fix call to register_restart_command (set $use_hup to true)

remove class paramenter from register_XXX_command

simplify code (error log is done inside Daemon.pm)

improve logging

fix arguments for register_restart_command

bump version to 1.0-16

use Daemon class from pve-common

bump version to 1.0-15

firewall update : load cluster conf for host rules

Currently we can't use ipsets defined in cluster in host rules

host.fw
----------
[OPTIONS]

log_level_in: debug
enable: 1
tcp_flags_log_level: debug
log_level_out: debug
tcpflags: 1
smurf_log_level: debug

[RULES]

IN ACCEPT -source +whitelist

in sub update {
my $hostfw_conf = load_hostfw_conf();
}

$VAR1 = {
          'options' => {
                         'enable' => 1,
                         'log_level_in' => 'debug',
                         'tcp_flags_log_level' => 'debug',
                         'log_level_out' => 'debug',
                         'tcpflags' => 1,
                         'smurf_log_level' => 'debug'
                       },
          'ipset' => {},
          'rules' => [
                       {
                         'source' => '+whitelist',
                         'enable' => 1,
                         'errors' => {
                                       'source' => 'no such ipset \'whitelist\''
                                     },
                         'action' => 'ACCEPT',
                         'type' => 'in'
                       }
                     ]
        };

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

bump version to 1.0-14

do not use ipset list chains

Instead, we directly use -v4 and -v6 names inside iptables rules.

So we can safely remove the preinst script.

bump version to 1.0-13

fix ipset remove order

add debian/dirs file to install /var/lib/pve-firewall

bump version to 1.0-12

add preinst script

We need to clear ipset from older installation, because sets cannot be
swapped if there type does not match.

bump version to 1.0-11

verify_rule: correctly set ipversion for aliases

save restore commands into files (debug help)

To make it easier to debug restore errors.

bump version to 1.0-10

pve-firewall compile: improve output format

API2::Firewall::IPSet: fix alias check for ipv6 addresses

get_ipset_cmdlist: avoid restore problems due to wrong order

improve error messages

do not emit smurfs chain for ipv6

ipv6 addrtype does not work with kernel 2.6.32, use -d ff00::/8 instead