Module sync 1d81b6a

Merge pull request #734 from puppetlabs/release

1.10.0 Mergeback

Merge pull request #733 from jbondpdx/release

clean up firewall_multi section, minor fixes

clean up firewall_multi section, minor fixes

Merge pull request #732 from david22swan/PreRelease

(FM-6577) PreRelease

PreReleaseFM-6577

Merge pull request #731 from puppetlabs/release

1.9.0 Mergeback

Merge branch 'master' into release

Merge pull request #729 from sathlan/master

[MODULES-5924] Fix unmanaged rule regex when updating a iptable.

Merge pull request #730 from david22swan/2017.3Fix

(QA)Fix to 2017.3 tests

(QA)Fix to 2017.3 tests

[MODULES-5924] Fix unmanaged rule regex when updating a iptable.

We have two kind of unmanaged rules:

- empty comment: those get an md5 hash as a name prefixed with 90XX
- comment not matching “\d[graph,space]+$”

This is defined there[1]

But when we calculate the updated line we take into account only the
first kind of unmanaged rule in the offset[2] which leads to error.

Relaxing the regex solves this.

[1] https://github.com/puppetlabs/puppetlabs-firewall/blob/master/lib/puppet/provider/firewall/iptables.rb#L610..L617
[2] https://github.com/puppetlabs/puppetlabs-firewall/blob/master/lib/puppet/provider/firewall/iptables.rb#L802..L803

Merge pull request #666 from comel/parser-sanity-check-1

(MODULES-4200) Add simple sanity check for the rule to hash parser

Merge pull request #682 from crispygoth/add_gid_lookup

Add gid lookup

Merge pull request #728 from alexharv074/document_firewall_multi

(docs) Add missing hyperlink

(docs) Add missing hyperlink

Left out in previous commit.

Merge pull request #723 from alexharv074/document_firewall_multi

 (docs) Add some notes about firewall_multi

Merge pull request #727 from hunner/deb_9

(MODULES-5692) Match more than a single space

(MODULES-5692) Match more than a single space

Debian 9 outputs multiple spaces.

Merge pull request #724 from HelenCampbell/revert722

Revert of PR 722 to undo the breaking changes introduced

Revert of PR 722 to undo the breaking changes introduced

(docs) Add some notes about firewall_multi

Clean up scattered references to this project so that docs make more
sense.

Merge pull request #721 from kpengboy/resolve-ipv6

(MODULES-5645) Choose correct IP version for hostname resolution

Merge pull request #722 from tphoney/stefanopini-patch-1

Correction of ICMPv6 protocol name

readme update

Correction of ICMPv6 protocol name

Correction of ICMPv6 protocol name from ipv6-icmp to icmpv6

Merge pull request #694 from knackaron/ip6tables-disable

allow ip6tables to be disabled

(MODULES-5645) Choose correct IP version for hostname resolution

Currently hostnames specified in a `source` or `destination` field
in a firewall rule are always resolved as IPv4, even when the
provider is `ip6tables`. Instead, intelligently determine whether
the hostname should be resolved as an IPv4 address or IPv6 address
based on the provider.

Merge pull request #720 from puppetlabs/msync_18sep17_892c4cf

(maint) modulesync 892c4cf

(maint) modulesync 892c4cf

Merge pull request #717 from tphoney/dummy_pr

remove whitespace at the EOL

Merge pull request #719 from HelenCampbell/hashlimitfix

Update for hashlimit tests to not run on RedHat5 or Scientific 5

Update for hashlimit tests to not run on RedHat5 or Scientific 5

Hashlimit doesn't seem to be fully supported on these OS'es so I've put a check to skip the tests.

Merge pull request #718 from HelenCampbell/hashlimitfix

Yet another fix to hashlimit tests, smaller tests replace one large r…

Yet another fix to hashlimit tests, smaller tests replace one large regex for match improvements.

Merge pull request #716 from HelenCampbell/hashlimitfix

Fix to update hashlimit above test

Unit test fix for travis

remove whitespace at the EOL

Fix to update hashlimit above test

Merge pull request #708 from ATIX-AG/master

MODULE-1805 Add hashlimit-module

Merge pull request #715 from pmcmaw/rm_ubuntu

(MODULES-5501) - Remove unsupported Ubuntu

(MODULES-5501) - Remove unsupported Ubuntu

Removing older version of Ubuntu that are not supported by the module.

Merge pull request #713 from nbarrientos/sets

(MODULES-5340) Understand negated match sets

(MODULES-5340) Understand negated match sets

This patch allows the provider to understand rules that contain negated
match sets when parsing the ruleset.

Merge pull request #714 from puppetlabs/maint-modsync-915cde70e20

(maint) modulesync 915cde70e20

(maint) modulesync 915cde70e20

Merge pull request #712 from puppetlabs/msync_modules5187

(MODULES-5187) mysnc puppet 5 and ruby 2.4

(MODULES-5187) mysnc puppet 5 and ruby 2.4

Merge pull request #711 from tphoney/MODULES-5177

(MODULES-5177) fixing tests for certain oses

(MODULES-5177) fixing tests for certain oses

Merge pull request #710 from tphoney/MODULES-5173

(MODULES-5173) fix regex and test on el6

(MODULES-5173) fix regex and test on el6

Merge pull request #709 from hunner/bump_metadata

(MODULES-5144) Prep for puppet 5

Merge pull request #696 from traylenator/style

Puppet Lint Fixes

(MODULES-5144) Prep for puppet 5

updated README for hashlimit-module

added hashlimit-module for iptables & ip6tables with simple acceptance test

Merge pull request #707 from spynappels/MODULES-5111-support_untracked_state

(MODULES-5111) Support UNTRACKED in state and ctstate rules

(MODULES-5111) Support UNTRACKED in state and ctstate rules

Type updated to permit UNTRACKED to be passed as a valid state
README updated to document above change
Spec tests updated to verify UNTRACKED is accepted for both state and ctstate, and additionally to verify alphabetic ordering still works as expected.

All tests relating to these changes have passed.

Merge pull request #698 from Kotty666/master

fix MODULES-1988

Merge pull request #706 from alexharv074/fix_readme

commit 95f56586a6506ce4c0460106483a7982fbaf4e05
Author: Alex Harvey <Alex_Harvey@amp.com.au>
Date:   Sun Jun 11 22:47:18 2017 +1000

    Add test for README

    This adds an Rspec test to fail the build if someone adds incorrectly
    formatted heading markers again.

commit b7b62ec28f9999ca499440838d26733aab530eb8
Author: Alex Harvey <Alex_Harvey@amp.com.au>
Date:   Sun Jun 11 22:31:33 2017 +1000

    (doc) Fix formatting in README.markdown

    Without this patch applied, a large chunk of the README is not
    displaying properly on Github.

Add test for README

This adds an Rspec test to fail the build if someone adds incorrectly
formatted heading markers again.

(doc) Fix formatting in README.markdown

Without this patch applied, a large chunk of the README is not
displaying properly on Github.

Merge pull request #705 from spynappels/MODULES-1141-Error_on_ICMP_array

(Modules-1141) No longer accepts an array for icmp types #puppethack

(MODULES-1141) Update Unit test to fix failing rspec test

Merge pull request #704 from neilbinney/MODULES-4828

MODULES-4828 version_requirement updated

MODULES-4828 version_requirement updated

(MODULES-1141) Fail on sending array of ICMP types

Merge pull request #703 from eputnam/maint/1.9.0additionaldocs

(maint) additional docs fixes for 1.9.0

(maint) additional docs fixes for 1.9.0

Merge pull request #702 from eputnam/release

(MODULES-4891) release prep for 1.9.0

(maint) README fixes for release

(MODULES-4891) release prep for 1.9.0

Merge pull request #701 from eputnam/maint/nflog_osversion

(maint) do not test nflog on older versions of iptables ( < 1.3.7)

(maint) update nflog feature and tests
NFLOG is not available as a jump target until iptables version 1.3.7.
This adds an error to the provider when the version is lower than 1.3.7
and the user tries to use NFLOG options. This also updates the tests to
check and make sure the error is thrown on appropriate versions

Merge pull request #700 from eputnam/maint/spec_space

(maint) modify to account for spaces in iptables-save output

(maint) modify to account for spaces in iptables-save output

for nflog_spec we check iptables-save output and for --nflog-prefix, there can be varying amounts of space, so this accounts for that

Merge pull request #697 from eputnam/FM-4896

(FM-4896) add NFLOG support

Merge pull request #684 from hunner/check-ebtables

Allow managing ebtables

(FM-4896) add NFLOG support

This adds four new features to the firewall type: nflog_groups, _range, _prefix, and _threshold. Unit tests and acceptance tests were also added.

Puppet Lint Fixes

Merge pull request #695 from blackknight36/firewalld_fix

Change - Ensure that firewalld is stopped before iptables starts

Change - Ensure that firewalld is stopped before iptables starts

firewalld must be stopped and disabled before the iptables service
will start properly.

only reload systemd on package changes

it has been observed on systems that
the "systemctl is-active" check can
return non-zero status when checking
the status of iptables and ip6tables
at the same time.  this causes idempotent
issues when ip6tables is disabled.

systemd should not be blindly reloaded if
there are units not active.  it should only
be reloaded if the unit files on disk change.
this only occurs at package installation time,
so the Exec resource should only be refreshed
if the package changes.

there are no other resources in this module
that manipulate the unit files other than the
Package resource.

allow ip6tables to be disabled

many hardened systems have IPv6 disabled, which
does not allow ip6tables to be running.  allow
ip6tables to be selectively disabled in these cases.

errors when IPv6 is disabled:

Error: Could not start Service[ip6tables]: Execution of '/usr/bin/systemctl start ip6tables' returned 1: Job for ip6tables.service failed because the control process exited with error code. See "systemctl status ip6tables.service" and "journalctl -xe" for details.
Error: /Stage[main]/Firewall::Linux::Redhat/Service[ip6tables]/ensure: change from stopped to running failed: Could not start Service[ip6tables]: Execution of '/usr/bin/systemctl start ip6tables' returned 1: Job for ip6tables.service failed because the control process exited with error code. See "systemctl status ip6tables.service" and "journalctl -xe" for details.

● ip6tables.service - IPv6 firewall with ip6tables
   Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; disabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Fri 2017-04-07 01:36:45 UTC; 25min ago
  Process: 10257 ExecStart=/usr/libexec/iptables/ip6tables.init start (code=exited, status=1/FAILURE)
 Main PID: 10257 (code=exited, status=1/FAILURE)

Apr 07 01:36:45 el7-1.example.com systemd[1]: Starting IPv6 firewall with ip6tables...
Apr 07 01:36:45 el7-1.example.com ip6tables.init[10257]: ip6tables: Applying firewall rules: ip6tab...r'
Apr 07 01:36:45 el7-1.example.com ip6tables.init[10257]: Error occurred at line: 4
Apr 07 01:36:45 el7-1.example.com ip6tables.init[10257]: Try `ip6tables-restore -h' or 'ip6tables-r...n.
Apr 07 01:36:45 el7-1.example.com ip6tables.init[10257]: [FAILED]
Apr 07 01:36:45 el7-1.example.com systemd[1]: ip6tables.service: main process exited, code=exited,...URE
Apr 07 01:36:45 el7-1.example.com systemd[1]: Failed to start IPv6 firewall with ip6tables.
Apr 07 01:36:45 el7-1.example.com systemd[1]: Unit ip6tables.service entered failed state.
Apr 07 01:36:45 el7-1.example.com systemd[1]: ip6tables.service failed.
Hint: Some lines were ellipsized, use -l to show in full.

Merge pull request #693 from vshn/mhu/fix_negated_physdev

Properly handle negated `--physdev-is-...` rules

Properly handle negated `--physdev-is-...` rules

Merge pull request #691 from puppetlabs/modules-4528

modulesync e25ca9 - Add locales folder and config.yaml, f4160bf replace version comparisons unnafected by MODULES-4528 to use versioncmp

[maint] modulesync e25ca9 - Add locales folder and config.yaml, f4160bf replace version comparisons unnafected by MODULES-4528 to use versioncmp

Fix typo in spec tests

Merge pull request #690 from jg-development/master

MODULES-4279 use complete option for geoip

Merge pull request #689 from puppetlabs/MODULES-4528

[MODULES-4528] Replace Puppet.version.to_f with Puppet::Util::Package.versioncmp

MODULES-4279 use complete option for geoip

(maint) Replace version comparisons unnafected by MODULES-4528 to use versioncmp

For sake of consistency

[MODULES-4528] Replace Puppet.version.to_f with Puppet::Util::Package.versioncmp

Add docs and tests

Merge pull request #686 from blackknight36/selinux_fix

Change - Ensure that the iptables configuration file has proper context

Merge pull request #688 from wilson208/ci_fix

[MODULES-4234] Move physdev_is_in and physdev_is_out tests

[MODULES-4234] Move physdev_is_in and physdev_is_out tests

To block of 'ip6tables physdev tests' which do not run on EL5 or SLES 10.