Merge pull request #291 from hunner/isfragment_fix

(MODULES-442) Correct boolean properties behavior

(MODULES-442) Correct boolean properties behavior

The boolean properties had a few things incorrect with them.

- Any value passed was considered `true`. This was compounded further by
  the next issue.
- When the read property was false, it was set to 'nil'. This caused
  `<property> => false` to not work after the previous was fixed.

Random other fixes to tests that were failing or poorly implemented are
also included

Merge pull request #288 from hunner/fail_chains

(MODULES-441) Helpfully fail when modifying chains

Merge pull request #287 from hunner/purge

Add purge support to firewallchain

Merge pull request #286 from hunner/fix_source

(MODULES-439) Work around existing rules

(MODULES-441) Helpfully fail when modifying chains

It is not intended for chains to be modified using the firewall
resource, but it would still try and result in obscure incorrect errors.
This raises a more helpful error

Update specs and make compatible with 1.8.7

`.keep_if` is not in Ruby 1.8.7
The resource was trying to change from chain INPUT to OUTPUT which isn't
supported.

add specs for chain purge

add support for removing unmanaged firewall rules

(MODULES-439) Work around existing rules

The firewall resource is not intended to be used with rules that are not
also managed by puppet; the behavior when doing so was undefined. This
is an attempt to make it more defined.

The behavior is that any rule added by puppet will be inserted in its
given order in relation to the other rules managed by puppet, but ahead
of any rules not managed by puppet.

Merge pull request #285 from ghoneycutt/travis

Travis

Add support for Puppet v3.4.0

Enable fast finish in Travis

http://blog.travis-ci.com/2013-11-27-fast-finishing-builds/

Ensure valid YAML for .travis.yml

Merge pull request #282 from apenney/add-tests

Add acceptance tests

Add additional firewallchain{} tests.

Add additional acceptance tests to cover all parameters.

Merge pull request #280 from jeffb-bt/master

Allow --dport --sport without preceding -m

Merge pull request #276 from ghoneycutt/rspec_puppet_v1

Support rspec-puppet v1.0.0

Allow --dport --sport without preceding -m

Test rule added to spec

Support rspec-puppet v1.0.0

include_class has been replaced with contain_class.
http://bombasticmonkey.com/2013/12/05/rspec-puppet-1.0.0/

Merge pull request #267 from phemmer/negation_support

Negation support

update spec for host_to_mask to override Resolv

Merge pull request #268 from phemmer/ipsec_support

add ipsec policy matching

Merge pull request #271 from phemmer/fix_builtin_chains

fix handling of builtin chains

Merge pull request #270 from phemmer/nat_input

allow input chain in nat table

Merge pull request #273 from apenney/add-beaker-tests

Convert rspec-system tests to beaker-rspec.

Convert rspec-system tests to beaker-rspec.

This work migrates the existing tests to beaker-rspec.

update specs to allow INPUT:nat:IPv4

fix negation handling for complex arguments

Use a more generic way for parsing negated options, not only for destination and source

Added a test case for /older/ alternative negation syntax

Generic generating command line options for negated rules

spec test fixtures should represent real use cases

Fix parsing of rules and generating the command line to set the rule

Fix parsing negated values

Added fixtures to test parsing negated addresses

Add test to see if type takes negative values

Use host_to_mask so we can negate a mask. Also added documentation.

A custom provider should probably be aware that these kind of masks are possible.

Added host_to_mask method and added tests for it

fix handling of builtin chains

allow input chain in nat table

add ipsec policy matching

Conflicts:
lib/puppet/provider/firewall/iptables.rb
lib/puppet/type/firewall.rb

Merge pull request #275 from apenney/fix-rspec

Fix rspec on Puppet 3.4/rspec 2.14.

Handle the change to Puppet::Provider::Config in 3.4.

Update to use modern rspec 2.14 syntax.

This updates from mocha .stubs to allow(x).to receive(x) syntax,
and tweaks the Gemfile/Rakefile too.

Merge pull request #248 from senax/generate-parser-list

Generate parser list

Merge pull request #257 from evaryont/master

Support conntrack stateful firewall matching

Support conntrack stateful firewall matching

Since Linux 3.7+ the "state" module has been removed from the kernel, leaving
only the "conntrack" module. This patch adds support for the conntrack module in
iptables by adding a new parameter to the firewall type, 'ctstate'.

Updates the README to demonstrate using the ctstate parameter instead of state
to nudge people to use it instead. This is safe as far as back to Linux kernel
2.6.18, so long as CONFIG_NF_CONNTRACK is enabled.

Merge pull request #255 from apenney/metadata

FM-103: Add metadata.json to all modules.

FM-103: Add metadata.json to all modules.

Merge pull request #253 from stefanozanella/spec_helper_fix

Remove redundant `include` call in system spec helper.

Merge pull request #252 from stefanozanella/update_gitignore

Add Bundler byproducts to the list of ignored files.

Remove redundant `include` call in system spec helper.

`rspec-system-puppet` helpers are already included few lines above the deleted
line, which by the way would have no effect anyway.

Add Bundler byproducts to the list of ignored files.

I assume this commit is self-explanatory...

added spec tests for iptables-save parser

Merge pull request #240 from doc75/dev_drop_policy

No firewallchain autorequire for INPUT, OUTPUT and FORWARD when table is :filter to enable DROP policy without blocking

Merge pull request #208 from georgkoester/hop_limit2

Add support for IPv6 hop limiting

Merge pull request #247 from edmundcraske/patch-1

Fix pre/post errors

Fix pre/post errors

Merge pull request #242 from apenney/042-release

Prepare 0.4.2 release.

Prepare 0.4.2 release.

Merge pull request #241 from apenney/remove

Add a .fixtures.yml so spec_helper can manage the tests.

Add a .fixtures.yml so spec_helper can manage the tests.

ensure INPUT, OUTPUT and FORWARD firewallchain are not autorequired when table is :filter (to allow default drop policy at the end of rules)

Merge pull request #233 from mediatemple/22112_better_persistence

Only workaround if we're using the old package.

Merge pull request #232 from mediatemple/22090_add_redhat_operatingsystems

22090 - Use list of RedHat OSes from newer facter.

Merge pull request #234 from apenney/041-release

Release a 0.4.1.

Release a 0.4.1.

Only  workaround if we're using the old package.

22090 - Use list of RedHat OSes from newer facter.

fixed minor ruby1.9 incompatibility

Generate of options to parse in the correct order from @resource_map

Merge pull request #222 from hunner/release_0.4.0

Release 0.4.0

Release 0.4.0

Add support for hop limit

Add ipv6 fragmentation matchers and generify known_boolean handling.

Adds tests for ipv6, too.

ip6tables handles fragmentation differently. There's a special
module and a couple of matchers which are all needed to
implement a stateless firewall correctly.

known_boolean handling with etc has been generified.
The known_boolean functionality was partly tailored
to the :socket feature.

Merge pull request #219 from hunner/feature/master/add-support-for-iprange

Feature/master/add support for iprange

Add rspec-system tests for src_range/dst_range

Merge pull request #220 from traylenator/SLC

Add SL and SLC cases for operatingsystem

Merge pull request #217 from hunner/update_provider_specs

Update providers to use expect syntax

Add SL and SLC cases for operatingsystem

Update providers to use expect syntax

The expect syntax is much better than the should syntax and ships with
RSpec 2.14. It caused a few conflicts with the mocha stubbing, so I
updated the docs to use rspec test doubles instead.

Merge pull request #218 from hunner/remove_puppet_2.6

Remove travis testing puppet 2.6

Remove travis testing puppet 2.6

Add specs for dst_range and src_range params

(#215) Add support for IP range

Add support for filtering by source and destination IP range, equivalent to '-m iprange --src-range|--dst-range',
which is only allowing a specified IP range. Excluding an IP range, '! --src-range or ! --dst-range', is not supported.

Add ':src_range' and ':dst_range' to iptables.rb

(#215) Add support for IP range

Add support for filtering by source and destination IP range, equivalent to '-m iprange --src-range|--dst-range',
which is only allowing a specified IP range. Excluding an IP range, '! --src-range or ! --dst-range', is not supported.

Add ':src_range' and ':dst_range' to firewall.rb

Exclude tests for Puppet < 3.2 against ruby-head

ruby-head is currently 2.x, which Puppet only began supporting at version
3.2: http://projects.puppetlabs.com/issues/18494

This should make the "allowed failures" builds green once again.

Test against Puppet 3.2

Released last month.

Merge branch 'pr/213'

Fixes #213

[#213] Run puppet-lint as part of CI

Will prevent lint from being violated again in the future.

[#213] Improve manifest documentation

Bad me. I should have written these the first time round.

Minor fixes to appease puppet-lint

Signed-off-by: Wolf Noble <wolf@wolfspyre.com>

Merge pull request #212 from alphagov/addrtype

Add support for --src-type and --dst-type

Rename {source,destination}_type to {src,dst}_type

As suggested by @dcarley.

Add support for --src-type and --dst-type

Add support for filtering by source and destination address types. Supported by
iptables only, this feature allows filtering packets by the address type (such
as whether the packet came from a local address, a broadcast address, a
multicast address, etc).

Adds the `:address_type` feature to allow a provider to declare support for
filtering on the basis of address type.

Merge pull request #200 from ChrisRut/fixburst

[#200] Add tests for --limit-burst

Both explicit (when a `:burst` parameter or `--limit-burst` argument is
present) and implicit (when neither are specified but `:limit` or `--limit`
are present and the default burst is `5`).

fix for default burst value of 5
fixes #200