Merge pull request #319 from apenney/add-pe

Add PE support.

Add PE support.

Merge pull request #309 from petems/ignore_vagrant_folder

Ignore .vagrant folder

Merge pull request #311 from hunner/fix_nobody

Use iptables-save and parse the output

Use iptables-save and parse the output

`iptables -S` didn't work on older OSs, so the tests have been adapted
for that.

There was one test for the NAT table that I'm not sure what the purpose
was, since it seemed to be testing munge instead. I edited it to get it
to pass.

Ignore .vagrant folder

Merge pull request #308 from hunner/dynamic_gemsource

Allow custom gemsource

Allow custom gemsource

Merge pull request #307 from apenney/100-release

Prepare a 1.0 release.

Prepare a 1.0 release.

Merge pull request #305 from justinstoller/dont_assume_vagrant

remove vagrant specific test assumption

Merge pull request #304 from hunner/release_0.5.0

Release 0.5.0

Release 0.5.0

Summary:
This is a bigger release that brings in "recent" connection limiting (think
"port knocking"), firewall chain purging on a per-chain/per-table basis, and
support for a few other use cases. This release also fixes a major bug which
could cause modifications to the wrong rules when unmanaged rules are present.

New Features:
* Add "recent" limiting via parameters `rdest`, `reap`, `recent`, `rhitcount`,
  `rname`, `rseconds`, `rsource`, and `rttl`
* Add negation support for source and destination
* Add per-chain/table purging support to `firewallchain`
* IPv4 specific
  * Add random port forwarding support
  * Add ipsec policy matching via `ipsec_dir` and `ipsec_policy`
* IPv6 specific
  * Add support for hop limiting via `hop_limit` parameter
  * Add fragmentation matchers via `ishasmorefrags`, `islastfrag`, and `isfirstfrag`
  * Add support for conntrack stateful firewall matching via `ctstate`

Bugfixes:
- Boolean fixups allowing false values
- Better detection of unmanaged rules
- Fix multiport rule detection
- Fix sport/dport rule detection
- Make INPUT, OUTPUT, and FORWARD not autorequired for firewall chain filter
- Allow INPUT with the nat table
- Fix `src_range` & `dst_range` order detection
- Documentation clarifications
- Fixes to spec tests

remove vagrant specific test assumption

Merge pull request #303 from hunner/fix_unmanaged

Fix for #286 for pre-existing rules at the start of a chain

Fix for #286 for pre-existing rules at the start of a chain

In #286 we fixed rule offset detection for existing managed and
unmanaged rules, but in the case where the first rule in a chain was
unmanaged, managed rules were still being inserted under it.

This patch changes it so that if the first rule detected for offset is
unmanaged, then we should insert before that for more consistent
behavior.

Merge pull request #302 from hunner/fix_match_extension

Fix #300 for match extension protocol

Fix #300 for match extension protocol

So... #300 fixed matching `-m (tcp|udp)` at the beginning of `-m
multiport` or `--dport` or `--sport` rules, but broke actual *creation*
of those rules because `-m (tcp|udp)` was used as an iptables argument,
which it is not.

This change removes the problematic argument from `@resource_map` and
instead just substitutes `-m (tcp|udp)` out of any existing rules before
matching. The `-m tcp` match extension arguments are optional anyway,
and not needed for iptables functionality and don't change the semantics
at all.

Merge pull request #300 from hunner/fix_multiport

(MODULES-451) Match extension protocol for multiport

(MODULES-451) Match extension protocol for multiport

The `-m (tcp|udp)` match extension flag before multiport `--sport` and
`--dport` flags is considered optional, but may be present on some
rules. This patches the provides recognition of those rules.

Merge pull request #299 from hunner/negation_support

(MODULES-48) Parse negated rules

(MODULES-48) Parse negated rules

This adds tests mentioned in #141 and MODULES-48 to make sure that they
are covered by #267

Closes #141

Merge pull request #298 from hunner/add_random

Add --random support as per #141 comment

Add --random support as per #141 comment

Merge pull request #297 from hunner/recent_docs

Update the 'recent' module example with a more complete one linked to from the iptables man page

Merge pull request #293 from hunner/range_fix

(MODULES-16) Correct src_range dst_range ordering

Update the 'recent' module example with a more complete one linked to from the iptables man page.

(MODULES-16) Correct src_range dst_range ordering

I wasn't able to reproduce the bug in testing, but several people were
able to and the proposed fix is a correct assumption.

Merge pull request #296 from hunner/ticket/21166-add_support_for_iptables-recent

(MODULES-31) add support for iptables recent

Some documentation fixups and newvalues to make tests pass

Add unit and acceptance tests for the recent iptables module

Make rsource, rdest, reap and rttl known_booleans and remove munging.

(#21166) Add support the the iptables recent module.

Merge pull request #294 from apenney/rolesandprofiles

WIP: Rewrite this to make it clear the roles and profiles pattern would be

Rewrite this to make it clear the roles and profiles pattern would be
the better idea.

Merge pull request #291 from hunner/isfragment_fix

(MODULES-442) Correct boolean properties behavior

(MODULES-442) Correct boolean properties behavior

The boolean properties had a few things incorrect with them.

- Any value passed was considered `true`. This was compounded further by
  the next issue.
- When the read property was false, it was set to 'nil'. This caused
  `<property> => false` to not work after the previous was fixed.

Random other fixes to tests that were failing or poorly implemented are
also included

Merge pull request #288 from hunner/fail_chains

(MODULES-441) Helpfully fail when modifying chains

Merge pull request #287 from hunner/purge

Add purge support to firewallchain

Merge pull request #286 from hunner/fix_source

(MODULES-439) Work around existing rules

(MODULES-441) Helpfully fail when modifying chains

It is not intended for chains to be modified using the firewall
resource, but it would still try and result in obscure incorrect errors.
This raises a more helpful error

Update specs and make compatible with 1.8.7

`.keep_if` is not in Ruby 1.8.7
The resource was trying to change from chain INPUT to OUTPUT which isn't
supported.

add specs for chain purge

add support for removing unmanaged firewall rules

(MODULES-439) Work around existing rules

The firewall resource is not intended to be used with rules that are not
also managed by puppet; the behavior when doing so was undefined. This
is an attempt to make it more defined.

The behavior is that any rule added by puppet will be inserted in its
given order in relation to the other rules managed by puppet, but ahead
of any rules not managed by puppet.

Merge pull request #285 from ghoneycutt/travis

Travis

Add support for Puppet v3.4.0

Enable fast finish in Travis

http://blog.travis-ci.com/2013-11-27-fast-finishing-builds/

Ensure valid YAML for .travis.yml

Merge pull request #282 from apenney/add-tests

Add acceptance tests

Add additional firewallchain{} tests.

Add additional acceptance tests to cover all parameters.

Merge pull request #280 from jeffb-bt/master

Allow --dport --sport without preceding -m

Merge pull request #276 from ghoneycutt/rspec_puppet_v1

Support rspec-puppet v1.0.0

Allow --dport --sport without preceding -m

Test rule added to spec

Support rspec-puppet v1.0.0

include_class has been replaced with contain_class.
http://bombasticmonkey.com/2013/12/05/rspec-puppet-1.0.0/

Merge pull request #267 from phemmer/negation_support

Negation support

update spec for host_to_mask to override Resolv

Merge pull request #268 from phemmer/ipsec_support

add ipsec policy matching

Merge pull request #271 from phemmer/fix_builtin_chains

fix handling of builtin chains

Merge pull request #270 from phemmer/nat_input

allow input chain in nat table

Merge pull request #273 from apenney/add-beaker-tests

Convert rspec-system tests to beaker-rspec.

Convert rspec-system tests to beaker-rspec.

This work migrates the existing tests to beaker-rspec.

update specs to allow INPUT:nat:IPv4

fix negation handling for complex arguments

Use a more generic way for parsing negated options, not only for destination and source

Added a test case for /older/ alternative negation syntax

Generic generating command line options for negated rules

spec test fixtures should represent real use cases

Fix parsing of rules and generating the command line to set the rule

Fix parsing negated values

Added fixtures to test parsing negated addresses

Add test to see if type takes negative values

Use host_to_mask so we can negate a mask. Also added documentation.

A custom provider should probably be aware that these kind of masks are possible.

Added host_to_mask method and added tests for it

fix handling of builtin chains

allow input chain in nat table

add ipsec policy matching

Conflicts:
lib/puppet/provider/firewall/iptables.rb
lib/puppet/type/firewall.rb

Merge pull request #275 from apenney/fix-rspec

Fix rspec on Puppet 3.4/rspec 2.14.

Handle the change to Puppet::Provider::Config in 3.4.

Update to use modern rspec 2.14 syntax.

This updates from mocha .stubs to allow(x).to receive(x) syntax,
and tweaks the Gemfile/Rakefile too.

Merge pull request #248 from senax/generate-parser-list

Generate parser list

Merge pull request #257 from evaryont/master

Support conntrack stateful firewall matching

Support conntrack stateful firewall matching

Since Linux 3.7+ the "state" module has been removed from the kernel, leaving
only the "conntrack" module. This patch adds support for the conntrack module in
iptables by adding a new parameter to the firewall type, 'ctstate'.

Updates the README to demonstrate using the ctstate parameter instead of state
to nudge people to use it instead. This is safe as far as back to Linux kernel
2.6.18, so long as CONFIG_NF_CONNTRACK is enabled.

Merge pull request #255 from apenney/metadata

FM-103: Add metadata.json to all modules.

FM-103: Add metadata.json to all modules.

Merge pull request #253 from stefanozanella/spec_helper_fix

Remove redundant `include` call in system spec helper.

Merge pull request #252 from stefanozanella/update_gitignore

Add Bundler byproducts to the list of ignored files.

Remove redundant `include` call in system spec helper.

`rspec-system-puppet` helpers are already included few lines above the deleted
line, which by the way would have no effect anyway.

Add Bundler byproducts to the list of ignored files.

I assume this commit is self-explanatory...

added spec tests for iptables-save parser

Merge pull request #240 from doc75/dev_drop_policy

No firewallchain autorequire for INPUT, OUTPUT and FORWARD when table is :filter to enable DROP policy without blocking

Merge pull request #208 from georgkoester/hop_limit2

Add support for IPv6 hop limiting

Merge pull request #247 from edmundcraske/patch-1

Fix pre/post errors

Fix pre/post errors

Merge pull request #242 from apenney/042-release

Prepare 0.4.2 release.

Prepare 0.4.2 release.

Merge pull request #241 from apenney/remove

Add a .fixtures.yml so spec_helper can manage the tests.

Add a .fixtures.yml so spec_helper can manage the tests.

ensure INPUT, OUTPUT and FORWARD firewallchain are not autorequired when table is :filter (to allow default drop policy at the end of rules)