(MODULES-3572) Ip6tables service is not managed in the redhat family. (#641)

* Manage ip6tables service in RHEL. Add parameter to specify service_name for iptables and ip6tables. update README
For the redhat OS family the service for managing ip6tables is called
ip6tables. This service is currently not managed with this module.
This commit fixes this issue by introducing an additional parameter
$service_name_v6 for the ipv6 version of the service.
* remove validate_string, no stdlib

Merge pull request #647 from mwhahaha/iptables-wait

Add --wait to iptables commands

Merge pull request #669 from puppetlabs/modsync

(FM-5972) gettext and spec.opts

gettext and spec.opts

Merge pull request #667 from genebean/ticket/MODULES-1222_containment

[#puppethack] MODULES-1222 - added containment

MODULES-1222 - added containment

Merge pull request #661 from puppetlabs/hunner_msync

(MODULES-3631) msync Gemfile for 1.9 frozen strings

Merge pull request #665 from eputnam/specopts

(FM-5939) removes spec.opts

removes spec.opts

Merge pull request #664 from bmjen/fix-ci

Fixes SELinux compatibility with EL6

Fixes SELinux compatibility with EL6

Merge pull request #663 from bmjen/fix-ci

(MODULES-4173) Fixes selinux issues on centos7

(MODULES-4173) Fixes selinux issues on centos7

Merge pull request #662 from bmjen/fix-ci

Completes re-add of SELinux support for puppet3 on EL7

Completes re-add of SELinux support for puppet3 on EL7

(MODULES-3631) msync Gemfile for 1.9 frozen strings

Merge pull request #660 from bmjen/fix-ci

Re-add RHEL7 SELinux support for puppet3

Fixes unit tests to pass in puppetversion fact.

Re-add RHEL7 SELinux support for puppet3

Since the autobefore fix on the firewall type is not available for puppet 3,
this re-adds the RHEL7 workaround if we're running on puppet 3.

Merge pull request #649 from pimpolderman/patch-1

iptables_version fact doesn't return the version

Merge pull request #658 from DavidS/modules-4093-fix-iptables-sel-permissions-mgmt-on-rhel7

(MODULES-4093) Tighten SELinux permissions on persistent files

(MODULES-4093) Tighten SELinux permissions on persistent files

RHEL7's /usr/libexec/iptables/iptables.init creates the /etc/sysconfig/iptables
file with the wrong selinux parameters, causing spurious changes on the next
run:

    [root@ns57zjx0zb7s0b5 ~]# rm -f /etc/sysconfig/iptables
    [root@ns57zjx0zb7s0b5 ~]# ls -la /etc/sysconfig/iptables
    ls: cannot access /etc/sysconfig/iptables: No such file or directory
    [root@ns57zjx0zb7s0b5 ~]# iptables -A INPUT --source 8.8.8.8 -j REJECT
    [root@ns57zjx0zb7s0b5 ~]# /usr/libexec/iptables/iptables.init save
    iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
    [root@ns57zjx0zb7s0b5 ~]# ls -la /etc/sysconfig/iptables
    -rw-------. 1 root root 259 Nov 19 06:02 /etc/sysconfig/iptables
    [root@ns57zjx0zb7s0b5 ~]# /opt/puppetlabs/bin/puppet apply --verbose selinux.pp
    Notice: Compiled catalog for ns57zjx0zb7s0b5.delivery.puppetlabs.net in environment production in 0.08 seconds
    Info: Applying configuration version '1479564151'
    Notice: /Stage[main]/Main/File[/etc/sysconfig/iptables]/seluser: seluser changed 'unconfined_u' to 'system_u'
    Notice: /Stage[main]/Main/File[/etc/sysconfig/iptables]/seltype: seltype changed 'etc_t' to 'system_conf_t'
    Notice: Applied catalog in 0.03 seconds
    [root@ns57zjx0zb7s0b5 ~]# X Error of failed request:  RenderBadPicture (invalid Picture parameter)

To fix this, this patch changes the order in which puppet checks the resources.
Instead of managing the persistence file before the service, now we manage the
file after all firewall rules. The firewall provider persists the rules to disk
causing the /etc/sysconfig/iptables file to be created. Managing its
permissions afterwards leads to one-run idempotency.

To see why this change is legal, consider the possible initial states for a
moment:

* fresh install: the /etc/sysconfig/iptables file does not exist
  in the previous implementation, puppet would create it empty with the correct
  permissions, only to have it overwritten when persisting the firewall rules
* fixed point: the /etc/sysconfig/iptables file already exists with the correct
  permissions, and nothing has changed. The order of resource application is
  irrelevant
* a firewall rule has changed: the firewall type will persist the rules
  changing the permissions to a invalid state, puppet will fix it in the same
  agent run.
* the /etc/sysconfig/iptables file is in an invalid state: this might be the
  most annoying case. In the original version, puppet would have fixed the file
  before touching the service. Now the service could arguably fail to start if
  the permissions are really bad. Puppet will still fix the issue, and start
  the service on the next run, so I do not consider this to be a big problem.

Merge pull request #657 from puppetlabs/hunner_msync

(MODULES-3704) Update gemfile template to be identical

(MODULES-3704) Update gemfile template to be identical

mocha version update for test hanging issue

Merge pull request #655 from puppetlabs/Paula_modulesync

(MODULES-3983) Update parallel_tests for ruby 2.0.0

(MODULES-3983) Update parallel_tests for ruby 2.0.0

Merge pull request #653 from HAIL9000/issue/master/add_oracle5_node_config_file

(maint) Add node yaml file for oracle5

(maint) Add node yaml file for oracle5

Prior to this commit the firewall module did not have a node file
for oracle5 so it was failing in CI. In order to fix this, add the
appropriate config file so tests can be run on oracle5.

Merge pull request #651 from puppetlabs/modulesync

Update modulesync_config [51f469d]

Update modulesync_config [51f469d]

iptables_version fact doesn't return the version

When running 'facter iptables_version' it doesn't return a value. The bug seems to in the confine not matching the right kernel value.

Merge pull request #648 from puppetlabs/modulesync

Update modulesync_config [a3fe424]

Update modulesync_config [a3fe424]

Add --wait to iptables commands

This change adds the --wait flag to the insert/update/delete iptables
actions to prevent failures from occuring when iptables is running
outside of puppet. Previously if a script or a user is running iptables
commands while puppet is running, there may be failures in the firewall
provider if iptables cannot get a lock. By default, iptables will just
fail with an error so using --wait will make it wait until a lock can be
established. The --wait is only added for iptables >= 1.4.20.

Merge pull request #645 from puppetlabs/update-modulesync

(MAINT) Update for modulesync_config 72d19f184

(MAINT) Update for modulesync_config 72d19f184

Merge pull request #644 from ianand0204/master

Implemented paramters for NFQUEUE jump target

Implemented paramters for NFQUEUE jump target

Merge pull request #643 from DavidS/modulesync

(MODULES-3581) modulesync [067d08a]

(MODULES-3581) modulesync [067d08a]

Merge pull request #642 from puppetlabs/modulesync

{maint} modulesync 0794b2c

{maint} modulesync 0794b2c

Merge pull request #638 from bmjen/add-xenial

(QENG-3973) Adds Xenial nodesets for aio and pe

(QENG-3973) Adds Xenial nodesets for aio and pe

Merge pull request #636 from puppetlabs/1.8.x

1.8.x Mergeback

Merge pull request #615 from nabam/multiple-ipset

support for multiple ipsets in a rule

Merge pull request #635 from hunner/prep_1.8.1

Prep 1.8.1

(maint) Remove nat flush

The man page says it's not implemented for ip6tables

Merge pull request #633 from hunner/prep_1.8.1

(maint) re-add the local nodesets

(maint) re-add the local nodesets

These nodesets are required for internal CI; to set the ssh timeout.

Merge pull request #632 from hunner/prep_1.8.1

Prep 1.8.1

Prep 1.8.1

Cherry pick PRs #622 and #627

Update to newest modulesync_configs [9ca280f]

(maint) remove UNSUPPORTED_PLATFORMS filter and improve spec description

(maint) fix specs to run under STRICT_VARIABLES

Merge pull request #631 from hunner/prep_1.8.1

Prep 1.8.1

Prep 1.8.1

DOC-2683: adding known issue

Merge pull request #627 from jbondpdx/master

DOC-2683: adding known issue

Merge pull request #630 from shumbert/modules-3329

(Modules 3329) Add support for iptables length and string extensions

update README.markdown and add tests in spec/fixtures/iptables/conversion_hash.rb

adding iptables string matching extension

update handling of length property

adding iptables length extension

DOC-2683: adding known issue

Merge pull request #624 from broadinstitute/freebsd

allow FreeBSD when dependencies require this class

Merge pull request #625 from hunner/fix_flush

(maint) Remove nat flush

(maint) Remove nat flush

The man page says it's not implemented for ip6tables

allow FreeBSD when dependencies require this class

Merge pull request #623 from DavidS/restore-local-nodesets

(maint) re-add the local nodesets

(maint) re-add the local nodesets

These nodesets are required for internal CI; to set the ssh timeout.

Merge pull request #622 from puppetlabs/update-msync

Update to newest modulesync_configs [9ca280f]

Update to newest modulesync_configs [9ca280f]

(maint) remove UNSUPPORTED_PLATFORMS filter and improve spec description

(maint) fix specs to run under STRICT_VARIABLES

Merge pull request #621 from mmckinst/align_text

align text properly

align text properly

Merge pull request #619 from alexharv074/fix_up_rspec_deprecation_warnings

Fix up rspec deprecation warnings

Fix up all rspec deprecation warnings.

Merge pull request #620 from jonnytpuppet/rspec_puppet_pin

Pinned rspec_puppet to 2.3.2

Pinned rspec_puppet to 2.3.2

Add a test.

Demonstrate some surprising behaviour to make it clearer that it's
nevertheless working as designed.

Merge pull request #617 from jpnc/master

Add VirtuozzoLinux to the RedHat family

Add VirtuozzoLinux to the RedHat family

Merge pull request #616 from mmckinst/align_more_arrows

align arrows

support for multiple ipsets in a rule

Support for multiple ipsets in a single rule. This feature is very handy
if you need to match source and destination from different ipsets.
Iptables arguments are a bit wierd, but it works, details are in
https://utcc.utoronto.ca/~cks/space/blog/linux/IptablesIpsetsMultipleMatches

align arrows

Merge pull request #614 from mmckinst/align_arrow

align arrows

align arrows

Merge pull request #612 from pulecp/master

match rules with -m ttl

match rules with -m ttl

Merge pull request #611 from puppetlabs/1.8.x

Mergeback 1.8.x to master

Merge pull request #610 from UNINETT/master

Add 'ip' and 'pim' to proto

Add ip protocol to puppetlabs-firewall

Add pim protocol to puppetlabs-firewall

Merge pull request #609 from bmjen/fix-ver

Fixes version in metadata

Fixes version in metadata

Merge pull request #607 from DavidS/fm-4046-update-msync

(FM-4046) Update to current msync configs [006831f]

(FM-4046) Update to current msync configs [006831f]

This moves all copyright statements to the NOTICE file in accordance with the ASFs guidelines on applying the Apache-2.0 license.