Merge pull request #384 from cmurphy/master

Synchronize .travis.yml

Update Gemfile for .travis.yml defaults

Synchronize .travis.yml

Update .sync.yml to support new .travis.yml configs

Merge pull request #382 from cmurphy/master

Start synchronizing module files

Sync files

Add configuration file for modulesync

https://github.com/puppetlabs/modulesync

Merge branch 'MFredette'

Update README.markdown

Copy edited version.

Format fixes to firewall readme.

Updates to Firewall Readme for review.

Merge pull request #366 from lwh/fix/master/modules-11

(doc) Fix small typos in the README (MODULES-11)

(doc) Fix small typos in the README (MODULES-11)

For https://tickets.puppetlabs.com/browse/MODULES-11

Double "the" fixed and undo a typo fix that reverted this commit:
https://github.com/puppetlabs/puppetlabs-firewall/commit/13457a4ade45f4a46d64ceb4da9d2b9582c39fcd

Merge pull request #363 from hunner/fix_policy_ipsec_options

(MODULES-796) Fix policy ipsec options

Add tests and fix docs/whitespace

fixes MODULES-796
Cheat by adding quotes around policy ipsec and all following options
belonging to ipsec. Otherwise the line cannot be parsed correctly.
The list of options is taken from [1] and the output ordering was
experimentally verified with iptables-v1.4.21 on Ubuntu 14.04.

[1] http://ipset.netfilter.org/iptables-extensions.man.html

Merge pull request #360 from apenney/111-release

Prepare a 1.1.1 release.

Prepare a 1.1.1 release.

Merge pull request #359 from hunner/revert_autorequire

Revert "Merge pull request #342 from mcanevet/feature/autorequire"

Revert "Merge pull request #342 from mcanevet/feature/autorequire"

This reverts commit e5cbfbed5b411484ad04a5413090ad1d475be9fb, reversing
changes made to eb2e51f338516f3b47087543bb7a1ae1394ac4fb.

Conflicts:
README.markdown

Merge pull request #343 from skurylo/update_docs

Update CONTRIBUTING and README

Merge pull request #358 from sylvainkalache/master

Update README.markdown

Update README.markdown

Merge pull request #357 from apenney/110-release

Prepare 1.1.0 release.

Prepare 1.1.0 release.

Merge pull request #342 from mcanevet/feature/autorequire

Apply firewall resources alphabetically

Merge pull request #354 from hunner/fix_helper

Fix access to distmoduledir

Fix access to distmoduledir

Merge pull request #353 from apenney/fix-14.04-tests

Fix 14.04 tests

Fix the tests to account for the changes in Ubuntu 14.04.

Add `mask` as a parameter.

This is only used for the recent module and seems to be relatively
new as it doesn't seem to exist prior to 14.04.

Merge pull request #350 from xbezdick/master

Fix support for Fedora Rawhide

Fix support for Fedora Rawhide

On Fedora facter $::operatingsystemrelease can be integer version of Fedora or string Rawhide.

Update README

Merge pull request #344 from csschwe/add_connection_limit

(MODULES-689) Add support for connlimit and connmark

(MODULES-689) connlimit and connmark acceptance tests

(MODULES-689) Add support for connlimit and connmark

(doc) Update link to JIRA

Issue tracking has been moved from github to JIRA.

(doc) Update links for modules

For modules, the JIRA project is MODULES not PUP.
Link to the module contributing guide, instead of core puppet

(doc) Sync latest CONTRIBUTING.md

This is the latest CONTRIBUTING.md from
https://github.com/puppetlabs/puppet/blob/master/CONTRIBUTING.md

The old version has out of date links.

Apply firewall resources alphabetically

Merge pull request #341 from jeckersb/rhel7-spec-fix

Fix failing persist_iptables test on RHEL7 and Fedora

spec: Use appropriate operatingsystemrelease for RedHat/CentOS/Fedora

Fix failing persist_iptables test on RHEL7 and Fedora

Merge pull request #338 from larsks/master

Treat RHEL 7 and later like Fedora w/r/t iptables

Merge pull request #339 from cure/master

Fix typo in SNAT error message

Merge pull request #340 from simon-martin/master

--reap flag is not added to iptables command

In lib/puppet/provider/firewall/iptables.rb we test on boolean flags when building iptables args:

        # If socket is true then do not add the value as -m socket is standalone
        if known_booleans.include?(res) then
          if resource[res] == :true then
            resource_value = nil
          else
            # If the property is not :true then we don't want to add the value
            # to the args list
            next
          end
        end

This evaluates to false on the reap flag in a definition like this:
    firewall { '001 rate limit ssh attempts':
        port   => [22],
        proto  => tcp,
        tcp_flags => "FIN,SYN,RST,ACK SYN",
        recent => 'rcheck',
        rsource => true,
        rname => 'ssh-syn4',
        rseconds => 30,
        rhitcount => 3,
        reap => true,
        jump => drop,
    }

This is because the value is not defined as a string, so the reap flag is not added to the args. This patch defines reap as a string true or false to match others like rsource.

Update firewall.rb

SNAT: typo in error message when tosource parameter is missing.

fix errors noted by travis-ci

I like explicitly quoted strings, but apparently Travis doesn't.

correct spelling of "&&" to "and"

Treat RHEL 7 and later like Fedora w/r/t iptables

RHEL 7 replaces legacy init with systemd, and must be treated like
Fedora w/r/t iptables persistence.  This patches checks
operatingsystemrelease in addition to operatingsystem in order
to differentiate between RHEL 7 and earlier releases.

Both RHEL 7 and recent Fedora releases require the iptables-services
package to support the commands in lib/puppet/util/firewall.rb.

This also corrects the path to /usr/libexec/iptables/iptables.init.

Merge branch '1.0.x'

Merge remote-tracking branch 'apenney/102-release' into 1.0.x

Include a metadata bump to 1.0.2 here.

Merge pull request #332 from apenney/102-release

Prepare a 1.0.2 supported release.

Prepare a 1.0.2 supported release.

Merge pull request #331 from apenney/symlink-fix

Replace the symlink with the actual file to resolve a PMT issue.

Replace the symlink with the actual file to resolve a PMT issue.

Merge pull request #330 from apenney/last-minute-metadata-fix

Add missing files back to work around a Puppet bug.

Add missing files back to work around a Puppet bug.

Merge pull request #329 from apenney/supported-101

Prepare supported module 1.0.1 release.

Prepare supported module 1.0.1 release.

Merge pull request #328 from apenney/supported-metadata

Prepare for supported modules.

Merge pull request #326 from hunner/oel_limit

Change OEL limitation description

Prepare for supported modules.

Merge pull request #327 from laurenrother/1.0.x

Add "Release Notes/Known Bugs" to Changelog

Adds "Release Notes/Known Bugs" to Changelog, updates file format to markdown, standardizes the format of previous entries

Per a request to have initial release notes that specifically listed known issues for this PE 3.2 release, and barred by time constraints from automating a pull from open issues in JIRA, this commit adds a Release Note and Known Bug section to the Changelog for the imminent 3.2 release. As it will display on the Forge, updates file type to markdown and standardizes previous entries. Adds template for release notes to be filled in later.

Change OEL limitation description

Merge pull request #325 from apenney/suse-fix

One lousy letter away from working perfectly on SLES.

One lousy letter away from working perfectly on SLES.

Merge pull request #324 from apenney/socket-owner-sles-madness

Socket owner sles madness

Update the tests to not test socket on SLES.

Update the limitations documentation for SLES and Oracle Linux 5.

Merge pull request #315 from petems/80_character_lint_fix

Puppet-lint fix for > 80 character line

Merge pull request #323 from hunner/fix_path

Remove path from tests

Remove path from tests

On sles and potentially other platforms iptables is not in /sbin

Merge pull request #322 from hunner/fix_socket

Fix logic for supported socket platforms

Fix logic for supported socket platforms

Merge branch 'master' into 1.0.x

Merge pull request #321 from hunner/fix_over_9000

Bugfix: Account for rules sorted after unmanaged rules

Bugfix: Account for rules sorted after unmanaged rules

The offset calculation assumed unmanaged rules are numbered 9000+ and
would be sorted to the end and didn't need to be accounted for. This
caused failures when people used9-numbered rules. This should fix that.

Additionally, for rules that are 9-numbered, they should be ordered
*after* unmanaged rules, so this fixes that too.

So when encountering unmanaged rules, the order will be something like
this:

- Managed rules that begin with 0 through 8
- Unmanaged rules (which are assigned 9-numbers)
- Managed rules that begin with 9 (but not numbered lower than the
  unmanaged rules)

Mixing unmanaged rules with managed rules is still not officially
supported, but at least we can try and behave with them.

Add PE support.

Merge pull request #319 from apenney/add-pe

Add PE support.

Add PE support.

Merge pull request #316 from hunner/release_1.0.1

Release 1.0.1

Release 1.0.1

Bugfix: gracefully fail to manage ip6tables on iptables 1.3.x

Merge pull request #314 from hunner/fix_cent5

Fix various differences for rhel5

Fix various differences for rhel5

iptables 1.3.5 ships on rhel 5 and is really old. It doesn't support
`--comment` on ip6tables, doesn't support `-m socket` or `--random`, and
the format of netmasks uses subnet mask format instead of CIDR.

Puppet-lint fix for > 80 character line

Merge pull request #312 from justinstoller/maint/1.0.x/remove_basic_spec

Remove acceptance/basic_spec

Merge pull request #309 from petems/ignore_vagrant_folder

Ignore .vagrant folder

Remove acceptance/basic_spec

This removes the legacy "basic_spec" that was used as an introduction to
module testing.  It assumes the FOSS path for the module dir.  Since the
default module dir changes in PE depending on whether or not the module
is distributed with PE or not, these basic specs have been removed from
other modules.

Merge pull request #311 from hunner/fix_nobody

Use iptables-save and parse the output

Use iptables-save and parse the output

`iptables -S` didn't work on older OSs, so the tests have been adapted
for that.

There was one test for the NAT table that I'm not sure what the purpose
was, since it seemed to be testing munge instead. I edited it to get it
to pass.

Ignore .vagrant folder

Merge pull request #308 from hunner/dynamic_gemsource

Allow custom gemsource

Allow custom gemsource

Merge pull request #307 from apenney/100-release

Prepare a 1.0 release.