Ignore:
Timestamp:
2011-07-07T00:10:46+02:00 (5 years ago)
Author:
jow
Message:

[package] firewall:

  • solve scoping issues when multiple values are used, thanks Daniel Dickinson
  • ignore src_port/dest_port for proto icmp rules, ignore icmp_type for non-icmp rules
  • properly handle icmp when proto is given in numerical form (1, 58)
  • support negated icmp types
File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/package/firewall/files/lib/core_rule.sh

    r27469 r27500  
    6666        fw_get_negation dest_spec '-d' "${rule_dest_ip:+$rule_dest_ip/$rule_dest_ip_prefixlen}" 
    6767 
    68         local rule_src_port_copy 
    69         local rule_dest_port_copy 
    70  
    7168        [ "$rule_proto" == "tcpudp" ] && rule_proto="tcp udp" 
    72         rule_src_port_copy="$rule_src_port" 
    73         rule_dest_port_copy="$rule_dest_port" 
    74         for rule_proto in $rule_proto; do 
    75                 rule_src_port="$rule_src_port_copy" 
    76                 rule_dest_port="$rule_dest_port_copy" 
    77                 fw_get_negation rule_proto '-p' "$rule_proto" 
    78                 for rule_src_port in ${rule_src_port:-""}; do 
    79                         fw_get_port_range rule_src_port $rule_src_port 
    80                         fw_get_negation rule_src_port '--sport' "$rule_src_port" 
    81                         for rule_dest_port in ${rule_dest_port:-""}; do 
    82                                 fw_get_port_range rule_dest_port $rule_dest_port 
    83                                 fw_get_negation rule_dest_port '--dport' "$rule_dest_port" 
    84                                 for rule_src_mac in ${rule_src_mac:-""}; do 
    85                                         fw_get_negation rule_src_mac '--mac-source' "$rule_src_mac" 
    86                                         for rule_icmp_type in ${rule_icmp_type:-""}; do 
    87                                                 [ "$rule_proto" = "-p icmp" ] || rule_icmp_type="" 
     69        local pr; for pr in $rule_proto; do 
     70                fw_get_negation pr '-p' "$pr" 
     71                local sp; for sp in ${rule_src_port:-""}; do 
     72                        fw_get_port_range sp $sp 
     73                        fw_get_negation sp '--sport' "$sp" 
     74                        local dp; for dp in ${rule_dest_port:-""}; do 
     75                                fw_get_port_range dp $dp 
     76                                fw_get_negation dp '--dport' "$dp" 
     77                                local sm; for sm in ${rule_src_mac:-""}; do 
     78                                        fw_get_negation sm '--mac-source' "$sm" 
     79                                        local it; for it in ${rule_icmp_type:-""}; do 
     80                                                fw_get_negation it '--icmp-type' "$it" 
     81                                                case "$pr" in 
     82                                                        *" icmp"|*" icmpv6"|*" 1"|*" 58") sp=""; dp="" ;; 
     83                                                        *) it="" ;; 
     84                                                esac 
    8885                                                fw add $mode $table $chain $target + \ 
    8986                                                        { $rule_src_ip $rule_dest_ip } { \ 
    90                                                         $src_spec $dest_spec $rule_proto \ 
    91                                                         $rule_src_port $rule_dest_port \ 
    92                                                         ${rule_src_mac:+-m mac $rule_src_mac} \ 
    93                                                         ${rule_icmp_type:+--icmp-type $rule_icmp_type} \ 
     87                                                        $src_spec $dest_spec \ 
     88                                                        $pr $sp $dp $it \ 
     89                                                        ${sm:+-m mac $sm} \ 
    9490                                                        ${rule_limit:+-m limit --limit $rule_limit \ 
    9591                                                                ${rule_limit_burst:+--limit-burst $rule_limit_burst}} \ 
Note: See TracChangeset for help on using the changeset viewer.