get_ipset_cmdlist: avoid restore problems due to wrong order

improve error messages

do not emit smurfs chain for ipv6

ipv6 addrtype does not work with kernel 2.6.32, use -d ff00::/8 instead

add ipv6 examples

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

ip6tables : remove_pvefw_chains

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

apply ipv6 ruleset

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

compile ipv6 ruleset

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add ip6tables standard chains

- icmp types in reject are different than ipv4
- broadcast not exist in ipv6
- I don't think that smurf attack exist (no broadcast)

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

add icmpv6 support

skip icmpv6 rule for iptables rules
skip icmp rule for ip6tables rules

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>
Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>

add ipv6 ipset support

big change here,
we create now a ipset which include 2 others ipsets for ipv4 and ipv6

PVEFW-0-blacklist list:set
    PVEFW-0-blacklist-v4 hash:net family inet4
    PVEFW-0-blacklist-v6 hash:net family inet6

v4 and v6, are only created if ip address are defined in the set
in iptables rules, we use the main set.

Benchmark show no performance impact

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>
Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>

ipset_match: implement simulation of list type ipsets

resolve_alias: use better regex to detect alias

code cleanup

check ipversion of aliases

also add support for ipv6

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

skip group rules generation if rule ipversion don't match iptables version

we skip ipv6 rules for iptables
we skip ipv4 rules for ip6tables

if rule ipversion is undef, we apply to both iptables and ip6tables

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

use integer compare for $ipversion

enable hostfw for ipv4 only

currently pveproxy don't works with ipv6,
so let's generate host fw ipv4 only for the moment

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

fix venet rule generation: venet can have ipv4 and ipv6 address

$ipversion is interger, so use '!=' instead of string 'ne'

skip vms rules generation if rule ipversion don't match iptables version

we skip ipv6 rules for iptables
we skip ipv4 rules for ip6tables

if rule ipversion is undef, we apply to both iptables and ip6tables

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

verify_rule: detected mixed ipv4/ipv6 addresses

parse_address_list: improve type detection

parse_address_list: make sure we only have one type of addresses (ipv4 or ipv6)

fix error message

rename pve-fw-v4addr-spec to pve-fw-addr-spec

Because we allow ipv4 and ipv6 addresses now.

parse_rules src && dst ipversion

check the ipversion of src and dst in rules

(fixme : parse ip in range)

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

cleanup generate_std_chains: don't overwrite global variable $pve_std_chains

Instead, pass $ipversion and use local var $std_chains.

move $pve_std_chains to $pve_std_chains->{$ipversion}

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

split compile to compile_iptables_filter

compile just read configs file and will call compile_iptables_filter for iptables and ip6tables

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

bump version to 1.0-9

fix max ipset name lenght

make dependency to cman/clvm optional

do not start daemons during installation

bump version to 1.0-8

Firewall/IPSet: implement permission

Facor out common code into PVE/Firewall.

Firewall/Rules: add permissions

Firewall/Groups: add permissions

Firewall/VM: add permissions

Firewall/Host: add permissions

Firewall/Cluster: add permissions

generate MAC and IP filter rules if firewall is enabled on NIC

Only omit rules if firewall is disabled. Also remove ipfilter for
venet, because that is not required (kernel does that job for us).

bump version to 1.0-7

proxy host rule API calls to correct node

bump version to 1.0-6

add example for ipfilter ipset

add regression tests for ipfilter

fwtester: add more network (net1, net2) to vm100 to test ipfilter

implement negative ipset match

To simulate ipfilter.

use separate ipfilter ipset on each interface

add support for ipfilter ipset

generate /etc/pve/firewall directory automatically

avoid errors about undefined values

bump version to 1.0-5

remove ipsets when firewall disabled

And improve status output

return empty ruleset if firewall disabled in cluster.fw

bump version to 1.0-4

depend on iptables and ipset

change dh_installinit order

improve error message

generate warnings when we read the configuration file

pass ipset errors to GUI

skip non-existent aliases inside ipset configuration

remove dead code from previous commit

code cleanup - introcduce new method resolve_alias

another regression test

cleanup: try to use more consistent method naming

API: add ability to restrict ref list to specified type

API fix: allow aliases in IPSets

parser: verify group and ipset names

implement API to get list of possible refs (aliases + ipsets)

introduce ipset_name_pattern to avoid confusion

limit alias/ipset name length to 64 characters

add test for long ipset names

fix ipset match - s/src/dst/

implement VM ipsets, allow long ipset names

If names are to long, We simply use the FNV digest instead of the name.

always pass cluster_conf to load_vmfw_conf

implement ipsets for VM/CT

do not print trace when debug is not set

white space cleanup

implement aliases at VM level

add test for aliases inside vm firewall configuration

fwtester.pl: add warnings to trace

optimize blacklist : create a PVEFW-blacklist chain

currently we check the ipset blacklist twice (1 for log and 1 for drop)

It's better to check ipset once, and go to a PVEFW-blacklist chain
where we do the log, and then the drop

Signed-off-by: Alexandre Derumier <aderumier@odiso.com>

fix comment

skip diabled rules and rules with errors early

ruleset_generate_vm_rules: skip rules with errors

improve rule verification

Also verify ipset/aliases.

pass $rule_env (cluster/host/vm/ct) to rule parser.

So that we can correctly verify 'iface' parameter.

Also add new API classes for CTs (because we need to pass $rule_env).

improve error handling

We now show syntax errors from firewall files with:

 # pve-firewall status

But we do not log such errors to syslog, because that would result
in same warning on each update (10 seconds).

allow to read rule with errors

And return error messages inside $rule->{errors}. The GUI can display
those errors so that the user can correct them.

close inotify handle before restart

improve rules API

Do not use JSON schema 'requires' property, because that forbids to
use '' to delete properties.

It is now possible to update/delete individual rule properties like:

  pvesh set nodes/lola/openvz/104/firewall/rules/0 -proto udp
  pvesh set nodes/lola/openvz/104/firewall/rules/1 -delete dport

fix API: property sport/dport requires protocol

fix test/test-errors3 - protect rule generation with eval

add new test case to show serious bug

allow igmp traffic

add another test case

fix for test case test/test-errors1

add test case to show serious bug