(GH-1097) Bumping back required puppet version (#1098)

Prior to this commit, due to a mistake, there was a reversion to the
previously implemented bump to minimum required puppet version, which
was part of the CVE update.

This commit aims to address issue 1097 in Github which brings to light
the need for this puppet bump to be restored to 6.24

Merge pull request #1094 from puppetlabs/1093-fix_unresolved_fact_error

(1093) - Fix unresolved fact error

(1093) - Fix unresolved fact error

Prior to this commit, work was carried out on this module to update all instances of the now deprecated Facter::Util::Resolution, and replace all with its newer and supported counterpart Facter::Core::Execution.
However, these do not behave exactly the same. Facter::Util::Resolution initially ran a which to locate the binary before executing, preventing any errors from occuring. The newer Facter::Core::Execution method did not do this, instead it attempted to execut>

This commit aims to introduce an "on_fail:false" flag to each execute statement, so that a failed execute will return false (boolean) as oppose to an error, which can then be used for further logic.

Merge pull request #1085 from kjetilho/fix/iptables-el9

package "iptables" has been replaced by "iptables-nft" on EL9

package "iptables" has been replaced by "iptables-nft" on EL9

There are some pointers given by dnf about "iptables", but these confuse
Puppet into aborting with the error message:

```console
Error: /Stage[main]/Firewall::Linux/Package[iptables]: Could not evaluate: no implicit conversion of Array into Hash
```

Fedora had a similar patch in commit 486e4b5779f5069e which I think
fixed the bug https://tickets.puppetlabs.com/browse/MODULES-11147 but
the same issue rared its head here on AlmaLinux 9.0.

The RPM for iptables-legacy states:

> This package contains the legacy tools which are obsoleted by
> nft-variants in iptables-nft package for backwards compatibility reasons.
> If you need to set up firewalls and/or IP masquerading, you should not install
> this package but either nftables or iptables-nft instead.

Merge pull request #1096 from kjetilho/fix/nflog_size

support --nflog-size as replacement for --nflog-range

--nflog-range was deprecated way back in 2016.

https://git.netfilter.org/iptables/commit/?h=v1.6.1&id=7070b1f3c88a0c3d4e315c00cca61f05b0fbc882

Merge pull request #1092 from puppetlabs/release-prep

Release prep v4.0.0

Release prep v4.0.0

Merge pull request #1059 from cmusik/main

add support for using rpfilter in rules

add support for using multiple rpfilter options in rules

Merge pull request #1090 from puppetlabs/revert-1088-CONT-5-raise_minimum_puppet_required

Revert "(CONT-5) Raising minimum required puppet version"

Revert "(CONT-5) Raising minimum required puppet version"

Merge pull request #1087 from puppetlabs/CONT-5-Codebase_hardening

(CONT-5) Codebase hardening

Merge pull request #1088 from puppetlabs/CONT-5-raise_minimum_puppet_required

(CONT-5) Raising minimum required puppet version

(CONT-5) Raising minimum required puppet version

Prior to this commit, and as part of the codebase hardening project, we
sanitised some commands in the module. However, this sanitisation
method requires that users have at least puppet version 6.24.0 and
onwards to be effective.

This commit aims to resolve that requirement by raising the required
puppet version in the metadata.json file.

(CONT-5) Codebase hardening

Prior to this commit, and after the work perform in CONT-256, there were
a few commands in the module that were not properly sanitised according
to our current standards.

This PR aims to implement some changes that ensure no malformed commands
are passed through to the system. Primarily, the commands targeted were
the ones related to Open3 and exec.

Merge pull request #1084 from puppetlabs/CONT-256-module_cleanup

(CONT-256) Removing outdated code

Addressing comments

Rubocop corrections

Remove/Adjust Spec test cases

(CONT-256) Removing outdated code
Prior to this commit, the firewall modules had multiple instances of
outdated code.

This commit aims to clean-up some of that code to keep the module clean
and readable.

Merge pull request #1079 from puppetlabs/cont-173/main/updating_deprecated_facter

(CONT-173) - Updating deprecated facter instances

(CONT-173) - Updating deprecated facter instances

Prior to this PR, this module contained instances of Facter::Util::Resolution.exec and Facter::Util::Resolution.which, which are deprecated.
This PR aims to replace these exec helpers with their supported Facter::Core::Execution counterparts.

This PR:

Replaced all Facter::Util::Resolution instances with corresponding Facter::Core::Execution exec helpers

Merge pull request #1081 from puppetlabs/revert-1066-match-mark-negate

Revert "Add negate to match_mark"

fix lint

Revert "Add negate to match_mark"

Merge pull request #1066 from Enapter/match-mark-negate

Add negate to match_mark

Merge pull request #1078 from puppetlabs/pdksync_CONT-189/remove_os_support

pdksync - (CONT-189) Remove support for RedHat6 / OracleLinux6 / Scientific6

(CONT-189) Remove support for Scientific6

(CONT-189) Remove support for OracleLinux6

(CONT-189) Remove support for RedHat6

Merge pull request #1077 from puppetlabs/pdksync_pdksync/remove_puppet_module_gems

pdksync - (PDKSync) Removal of puppet_module_gems

Merge pull request #1075 from puppetlabs/pdksync_remove_debian_9

pdksync - (CONT-130) - Dropping Support for Debian 9

(PDKSync) Removal of puppet_module_gems

(CONT-130) Dropping Debian 9 Support

Merge pull request #1023 from kjetilho/fix_string_to_port

fix service port number lookup to use protocol

fix spurious fail, http/udp does not exist in test harness

Switch to "talk" (port 517), since that is an UDP only service in the default Debian and RedHat /etc/services.

fix service port number lookup to use protocol

The existing code passes `:proto`, which `string_to_port` casts to a
string, gets "proto", compares that to the possibilities "udp" or "tcp",
and when neither, falls back to using "tcp".

This patch passes the actual proto value to the function, in case there is
a UDP specific service in your /etc/services (uncommon, but it happens).
It looks like Puppet will evaluate the properties in declared order,
so I had to move `newproperty(:proto)` up so `@resource[:proto]` was
available in the code for `sport`, `dport` and `port`.

Merge pull request #1074 from puppetlabs/release_prep_v3.6.0

Release prep v3.6.0

Release prep v3.6.0

Automated release-prep through pdk-templates from commit c6023a5.
Please verify before merging:

last nightly run is green
Changelog is readable and has no unlabeled pull requests
Ensure the changelog version and metadata version match

Merge pull request #1073 from puppetlabs/revert-1069-add-new-directives

Revert "Add new directives in rules which are currently unparsable by the module"

Revert "Add new directives in rules which are currently unparsable by the module"

Merge pull request #1069 from Enapter/add-new-directives

Add new directives in rules which are currently unparsable by the module

Merge pull request #1058 from david22swan/maint/main/random_fully

(GH-1055) Fix for `--random-fully`

(maint) Fix for negated physdev_is_*

Why confirming that this fix worked as intended it was shown that in fixing the original issue a second one had been uncovered.
This should fix the second one without infringing on the first fix.

(GH-1055) Fix for `--random-fully`

Issues have arisen with the --random-fully value on certain RedHat versions.
It seem's as if the logic put in around `--random` and `--random-fully` are no longer working.
This change should resolve the issue and tighten the logic around the `known_boolean` values.

Add new directives in rules which are currently unparsable by the module

Add ability match_mark to be negated

Merge pull request #1063 from puppetlabs/pdksync_GH-cat-11/main/add_ubuntu_22.04_support

pdksync - (GH-cat-11) Certify Support for Ubuntu 22.04

Update code for ubuntu 22.04

(GH-cat-11) Certify Support for Ubuntu 22.04

Merge pull request #1061 from corporate-gadfly/main

allow persistence of firewall rules for Suse

fix syntax error with end token

allow persistence of firewall rules for Suse

Merge pull request #1057 from david22swan/maint/main/random_fully

(maint) Fix `--random-fully` test to run on RHEL 9

(maint) Fix `--random-fully` test to run on RHEL 9

Merge pull request #1054 from puppetlabs/pdksync_GH-cat-12/main/add_redhat_9_support

pdksync - (GH-cat-12) Add Support for Redhat 9

(GH-cat-12) Fixes for RedHat 9

(GH-cat-12) Add Support for Redhat 9

Merge pull request #1052 from puppetlabs/pdksync_maint/pdk_update_stalebot

pdksync - (MAINT) Stale bot config/msg update

Config update

(MAINT) Stale-bot config/msg update

Merge pull request #1049 from puppetlabs/release-prep

(MAINT) Release prep v3.5.0

(MAINT) Release prep v3.5.0

Merge pull request #1028 from tskirvin/rhel9

CentOS Stream 9 Support (should include RHEL9 when that releases)

Merge pull request #1013 from drivenet/feature/fix-rpfilter

Fix rpfilter parameter

Merge branch 'main' into rhel9

Merge pull request #1047 from puppetlabs/pdksync_maint/pdk_update_20-04

pdksync - (Maint) PDK Update

(maint) Rubocop exclusions added

(GH-cat-9) syntax:hiera:yaml exclusions added

(GH-cat-9) syntax:hiera:yaml fixes

(maint) PDK Update

Merge pull request #1044 from puppetlabs/pdksync_pdksync-use_pull_request_target

pdksync - PDKSYNC Update labeller trigger

"This commit changes the workflow trigger for pull requests to pull_request_target"

Merge pull request #1035 from david22swan/GH1031/main/test_fixes

(GH-1031) Oracle/Scientific Linux 6 Fix

(GH-1031) Oracle/Scientific Linux 6 Fix

Merge pull request #1040 from david22swan/GH-C&T-7/main/remove_compatible_code

(GH-C&T-7) Remove code specific to unsupported OSs

(GH-C&T-7) Remove code specific to unsupported OSs

Merge pull request #1036 from puppetlabs/pdksync_pdksync_heads/main-0-gf3911d3

pdksync - pdksync_heads/main-0-gf3911d3

(GH-C&T-9) Temporarily disable syntax checks

Merge pull request #1039 from puppetlabs/pdksync_pdksync_add_workflows

pdksync - Add labeller and stale GHA workflows

(MAINT) Fixes no new line at EOF

(MAINT) Add labeller and stale GHA workflows

Merge pull request #1038 from puppetlabs/pdksync_GH-iac-334/main/remove_ubuntu_16.04_support

pdksync - (GH-iac-334) Remove Support for Ubuntu 14.04/16.04

(maint) Remove support for Ubuntu 14.04

(GH-iac-334) Remove Support for Ubuntu 16.04

pdksync_heads/main-0-gf3911d3

Merge pull request #1034 from david22swan/GH1031/main/test_fixes

(GH-1031) Fix for CentOS 8

(GH-1031) Fix for CentOS 8

Merge pull request #1032 from puppetlabs/maint/main/prerelease

Release prep v3.4.0

Release prep v3.4.0

Merge pull request #1030 from puppetlabs/SEC-944-handle_duplicate_rule_comments_v2

(SEC-944) Handle duplicate system rules

(SEC-944) Add test cases

Prior to this commit there we no test cases to validate our
changes to the module.

This commit adds test cases for each of the configurations for
onduplicaterulebehaviour.

Adding PR Commit Suggestions

Co-authored-by: Michael T Lombardi (He/Him) <michael.lombardi@puppet.com>

(SEC-994) Add section on duplicate rules

This commit adds a new section to inform users about how the module will behave when it encounters duplicate rules.

It also inclues a small bit of house keeping.

(SEC-944) Configurable duplicate behaviour

Here we add a new parameter that determines how the puppet run will
behave if a duplicate system rule is encountered. The default is to
warn and continue.

(SEC-944) Identify duplicate system rules

In certain situations it is possible for an unmanaged rule to exist on
the target system that has the same comment as the rule specified in
the manifest.

When this condition is true puppet will ignore the the unmanaged rule
and continue to apply the rule in the manifest. This is because the
firewall module uses the comment field in IPT as it's namevar and
therefore expects it to be a unique identifier. In the case of IPT this
is not true given that you can have multiple rules with the same
comment.

This commit adds a check that will identify system rules that have their
comment field set to the same value as a rule in the manifest. If we
enter a situation where any of the duplicate counts are greater than 1
then we will respond with a configurable action. The behaviour of this
can be configured via the onduplicaterulebehaviour parameter.

CentOS Stream 9 Support (should include RHEL9 when that releases)

Merge pull request #1027 from puppetlabs/pdksync_IAC-1787/main/remove_centos_6_support

pdksync - (IAC-1787) Remove Support for CentOS 6