Changeset 27500


Ignore:
Timestamp:
2011-07-07T00:10:46+02:00 (7 years ago)
Author:
jow
Message:

[package] firewall:

  • solve scoping issues when multiple values are used, thanks Daniel Dickinson
  • ignore src_port/dest_port for proto icmp rules, ignore icmp_type for non-icmp rules
  • properly handle icmp when proto is given in numerical form (1, 58)
  • support negated icmp types
Location:
trunk/package/firewall
Files:
4 edited

Legend:

Unmodified
Added
Removed
  • trunk/package/firewall/Makefile

    r27334 r27500  
    1010 
    1111PKG_VERSION:=2 
    12 PKG_RELEASE:=28 
     12PKG_RELEASE:=29 
    1313 
    1414include $(INCLUDE_DIR)/package.mk 
  • trunk/package/firewall/files/lib/core_redirect.sh

    r27318 r27500  
    9292 
    9393        [ "$redirect_proto" == "tcpudp" ] && redirect_proto="tcp udp" 
    94         for redirect_proto in $redirect_proto; do 
    95                 fw_get_negation redirect_proto '-p' "$redirect_proto" 
    96                 for redirect_src_mac in ${redirect_src_mac:-""}; do 
    97                         fw_get_negation redirect_src_mac '--mac-source' "$redirect_src_mac" 
     94        local pr; for pr in $redirect_proto; do 
     95                fw_get_negation pr '-p' "$pr" 
     96                local sm; for sm in ${redirect_src_mac:-""}; do 
     97                        fw_get_negation sm '--mac-source' "$sm" 
    9898                        fw add $mode n $natchain $redirect_target + \ 
    9999                                { $redirect_src_ip $redirect_dest_ip } { \ 
    100100                                $srcaddr $srcdaddr $redirect_proto \ 
    101101                                $srcports $srcdports \ 
    102                                 ${redirect_src_mac:+-m mac $redirect_src_mac} \ 
     102                                ${sm:+-m mac $sm} \ 
    103103                                $natopt $nataddr${natports:+:$natports} \ 
    104104                                $redirect_options \ 
  • trunk/package/firewall/files/lib/core_rule.sh

    r27469 r27500  
    6666        fw_get_negation dest_spec '-d' "${rule_dest_ip:+$rule_dest_ip/$rule_dest_ip_prefixlen}" 
    6767 
    68         local rule_src_port_copy 
    69         local rule_dest_port_copy 
    70  
    7168        [ "$rule_proto" == "tcpudp" ] && rule_proto="tcp udp" 
    72         rule_src_port_copy="$rule_src_port" 
    73         rule_dest_port_copy="$rule_dest_port" 
    74         for rule_proto in $rule_proto; do 
    75                 rule_src_port="$rule_src_port_copy" 
    76                 rule_dest_port="$rule_dest_port_copy" 
    77                 fw_get_negation rule_proto '-p' "$rule_proto" 
    78                 for rule_src_port in ${rule_src_port:-""}; do 
    79                         fw_get_port_range rule_src_port $rule_src_port 
    80                         fw_get_negation rule_src_port '--sport' "$rule_src_port" 
    81                         for rule_dest_port in ${rule_dest_port:-""}; do 
    82                                 fw_get_port_range rule_dest_port $rule_dest_port 
    83                                 fw_get_negation rule_dest_port '--dport' "$rule_dest_port" 
    84                                 for rule_src_mac in ${rule_src_mac:-""}; do 
    85                                         fw_get_negation rule_src_mac '--mac-source' "$rule_src_mac" 
    86                                         for rule_icmp_type in ${rule_icmp_type:-""}; do 
    87                                                 [ "$rule_proto" = "-p icmp" ] || rule_icmp_type="" 
     69        local pr; for pr in $rule_proto; do 
     70                fw_get_negation pr '-p' "$pr" 
     71                local sp; for sp in ${rule_src_port:-""}; do 
     72                        fw_get_port_range sp $sp 
     73                        fw_get_negation sp '--sport' "$sp" 
     74                        local dp; for dp in ${rule_dest_port:-""}; do 
     75                                fw_get_port_range dp $dp 
     76                                fw_get_negation dp '--dport' "$dp" 
     77                                local sm; for sm in ${rule_src_mac:-""}; do 
     78                                        fw_get_negation sm '--mac-source' "$sm" 
     79                                        local it; for it in ${rule_icmp_type:-""}; do 
     80                                                fw_get_negation it '--icmp-type' "$it" 
     81                                                case "$pr" in 
     82                                                        *" icmp"|*" icmpv6"|*" 1"|*" 58") sp=""; dp="" ;; 
     83                                                        *) it="" ;; 
     84                                                esac 
    8885                                                fw add $mode $table $chain $target + \ 
    8986                                                        { $rule_src_ip $rule_dest_ip } { \ 
    90                                                         $src_spec $dest_spec $rule_proto \ 
    91                                                         $rule_src_port $rule_dest_port \ 
    92                                                         ${rule_src_mac:+-m mac $rule_src_mac} \ 
    93                                                         ${rule_icmp_type:+--icmp-type $rule_icmp_type} \ 
     87                                                        $src_spec $dest_spec \ 
     88                                                        $pr $sp $dp $it \ 
     89                                                        ${sm:+-m mac $sm} \ 
    9490                                                        ${rule_limit:+-m limit --limit $rule_limit \ 
    9591                                                                ${rule_limit_burst:+--limit-burst $rule_limit_burst}} \ 
  • trunk/package/firewall/files/lib/fw.sh

    r27317 r27500  
    167167                # special parameter handling 
    168168                case "$1:$2" in 
    169                         -p:icmp*|--protocol:icmp*) 
     169                        -p:icmp*|-p:1|-p:58|--protocol:icmp*|--protocol:1|--protocol:58) 
    170170                                [ "$app" = ip6tables ] && \ 
    171171                                        cmdline="$cmdline -p icmpv6" || \ 
Note: See TracChangeset for help on using the changeset viewer.