ubus: add support for fetching firewall rules from procd

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

ubus: use blobmsg_parse to validate device attributes and decouple the found device name from the order in which elements appear

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

make fw3_ubus_address take a list_head * argument instead of allocating & returning one

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

use calloc instead of malloc+memset

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

ubus: use blobmsg_parse to validate data from network.interface:dump

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

Add fw3 zone call to list devices in a zone

Signed-off-by: Steven Barth <steven@midlink.org>

Add support for netifd-generated rules

Signed-off-by: Steven Barth <steven@midlink.org>

Add support for device and direction parameters

Signed-off-by: Steven Barth <steven@midlink.org>

snat: add support for connlimiting port-range SNAT

Signed-off-by: Steven Barth <steven@midlink.org>

Fix building with newer toolchains

Signed-off-by: Steven Barth <steven@midlink.org>

snat: ICMP can be port-natted as well

Signed-off-by: Steven Barth <steven@midlink.org>

nat: allow ACCEPT-target to explicitely disable NAT

Signed-off-by: Steven Barth <steven@midlink.org>

Reapply SNAT/MASQUERADE rules on firewall reloads

Signed-off-by: Jo-Philipp Wich <jow@openwrt.org>

Initial support for "config nat" rules - this allows configuring zone-independant SNAT and MASQUERADE rules

utils: define _GNU_SOURCE to get clearenv()

Signed-off-by: Felix Fietkau <nbd@openwrt.org>

Several ipset bugfixes

- Do not consider bitmap storage for IPv6 family sets
- Move ipset family parameter before any additional option
- Only emit family parameter for hash sets
- Do not allow IPv6 iprange for IPv4 sets and vice versa

Signed-off-by: Jo-Philipp Wich <jow@openwrt.org>

Change set_default() to take value as integer, required for tcp_ecn > 1

Treat option tcp_ecn as integer, not bool

Properly check strtol() results when paring values as integers

Clean up dead code

Skip redirects with invalid options

Skip rules with invalid options

Change fw3_parse_options() to indicate whether all options where parsed successfully

Use a global -m conntrack --ctstate DNAT rule to accept all port forwards of a given zone in filter

Improve ubus support

* Use network.interface dump call instead of individual status calls
  to reduce overall netifd lookups and invokes to 1 per fw3 process.

* Allow protocol handlers to assign a firewall zone for an interface
  in the data section to allow for dynamic firewall zone assignment.

Use fw3_ipt_rule_replace() when setting up zone interface rules

This avoids duplicate rules in the final ruleset when multiple interfaces,
subnets or devices in a zone specification resolve to the same values.

Use fw3_ipt_rule_replace() when setting up reflection

This avoids duplicate rules in the final ruleset when the target zone
contains multiple interfaces.

Allow any protocol for reflection rules

Reorganize chain layout for raw/NOTRACK rules to fix support for custom rules with target "NOTRACK"

Use "-j CT --notrack" instead of deprecated "-j NOTRACK"

Revert "Make sure that NOTRACK is linked into firewall3 if it is part of libext*.a"

This reverts commit 95cc95c7fec2d68fa8e27cc8e8e4b8dbacababf8.

Make sure that NOTRACK is linked into firewall3 if it is part of libext*.a

Treat redirects as port redirections if the specified dest_ip belongs to the router itself, this is a compatibility fix to firewall2.

Properly dereference struct ether_addr

Do not rely on ether_ntoa() when formatting mac addresses.

The ether_ntoa() in libc does not include leading zeroes in the formatted
address, this causes the address to not get recognized by iptables 1.4.10
which expects a fixed length for mac strings.

Don't mistreat unknown protocol names as "any protocol"

Fix processing of CIDRs with mask 0

Fix processing of negated options

Properly handle reject target in rules with specific destination

Keep all basic chains on reload and only flush them, this allows user rules to jump to targets like "reject" or "notrack"

Fix endian issue in compare_addr(), solves auto detection of "option dest" for redirects on little endian systems

For ingress rules, only jump into zone_name_src_ACTION chains if the target is not ACCEPT and if logging is enabled in the src zone, this cuts some overhead

Implement limit and limit_burst options for rules.

Use zone_name_src_ACTION chain for input rules with non-wildcard source

Extend ipset option syntax to support specifying directions inplace.

Fix wrong signature of fw3_xt_print_matches()

Add abstract fw3_xt_print_matches() and fw3_xt_print_target() functions since the output of ->save differs between xtables 5 and 10... sigh

Fix wrong chain emitted for zone forward policy, the terminal chain is source, not destination bound.

Decouple handle destroying from committing, add fw3_ipt_close() instead

Do not let libxtables implicitely load extensions, do it directly from fw3 and track the loaded objects for properly closing when destroying the handle.

Make IPv6 support optional

Add abstract fw3_xt_reset() implementation

Dynamically create rules for available libext*.a libraries, clean up rules

Fix compatibility with older libiptc/libip6tc

Only emit different ip family warnings if the ip wasn't automatically resolved

Mark fw3_address objects that got resolved by fw3_parse_network()

Change wording of inferred destination warning for redirects

Replace fw3_free_zone() with the generic implementation

Avoid segfault when freeing rules whose target could not be found

Infer destination zone of DNAT redirects from dest_ip option

Add fw3_resolve_zone_addresses() helper to obtain a list of all subnets covered by a zone

Remove fw3_ubus_address_free() and use fw3_free_list() instead

Add fw3_free_list() helper

Fix output rules with "option dest *"

Allow devices for src_ip, src_dip and dest_ip options

Pass -Wl,--whole-archive and -Wl,--no-whole-archive during linking to avoid duplicate symbol issues with libgcc

Don't leak memory when encountering unknown match or target

Use weak function pointers to call extension init functions, this makes firewall3 independant from the features compiled into iptables

Limit zone names to 14 bytes

Add required ipset declarations for kernels < 3.7

Further fixes for zone reloads

Only perform selective reload if firewall was already running, else do a normal start.

Fix another crash bug if ipsets are supported but none is declared

Fix rules for custom filter chains

Do not print to pipe or close command if nothing was executed

Add missing libip6t_REJECT initialization

Only initialize extensions we actually use

Wait for ipsets to appear before continuing

Restore iptables-save include functionality

Also add comments for unnamed rules

Only process selected family for print

Include iptables command and table name in iptables debug output

Add debug prints for policy setting, don't commit ruleset in print mode

Rename struct fw3_rule_spec to struct fw3_chain_spec and move the declaration to options.h

Remove now unused fw3_pr_rulespec()

Remove now unused fw3_format_*() functions

Drop iptables-restore and create rules through libiptc and libxtables

Use libiptc to clear current ruleset

Force fsync() after writing statefile

Make reload atomic

Family "any" is not applicable to ipsets, default to v4 and disallow "any"

Simplify ipset external checks and optionally initialize ispet name from external value

Check whether ipset exists before referencing it in rules or redirects

Record device-network relation in state file, fix zone hotplug events

Record default policies in state file

Store ipset storage method and matches in state file, keep iprange and ports if set

Send quit comment in fw3_destroy_ipsets() and initialize ipset objects with enabled = true

Don't track family of ipsets

Fix parsing of ipset datatypes

Track ipsets in state file