Diff for /loncom/configuration/Firewall.pm between versions 1.8 and 1.27

version 1.8, 2011/02/25 19:41:59 version 1.27, 2024/06/13 17:18:38
Line 35  package LONCAPA::Firewall; Line 35  package LONCAPA::Firewall;
 use strict;  use strict;
 use lib '/home/httpd/perl/lib';  use lib '/home/httpd/perl/lib';
 use LONCAPA::Configuration;  use LONCAPA::Configuration;
   use LONCAPA;
   
   sub uses_firewalld {
       my ($distro) = @_;
       if ($distro eq '') {
           $distro = &get_distro();
       }
       my ($inuse,$checkfirewalld);
       if ($distro =~ /^(suse|sles)([\d\.]+)$/) {
           if (($1 eq 'sles') && ($2 >= 15)) {
               $checkfirewalld = 1;
           }
       } elsif ($distro =~ /^fedora(\d+)$/) {
           if ($1 >= 18) {
               $checkfirewalld = 1;
           }
       } elsif ($distro =~ /^(?:centos|rhes|scientific|oracle|rocky|alma)(\d+)/) {
           if ($1 >= 7) {
               $checkfirewalld = 1;
           }
       }
       if ($checkfirewalld) {
           my ($loaded,$active);
           if (open(PIPE,"systemctl status firewalld 2>&1 |")) {
               while (<PIPE>) {
                   chomp();
                   if (/^\s*Loaded:\s+(\w+)/) {
                       $loaded = $1;
                   }
                   if (/^\s*Active\s+(\w+)/) {
                       $active = $1;
                   }
               }
               close(PIPE);
           }
           if (($loaded eq 'loaded') || ($active eq 'active')) {
               $inuse = 1;
           }
       }
       return $inuse;
   }
   
 sub firewall_open_port {  sub firewall_open_port {
     my ($iptables,$fw_chains,$lond_port,$iphost,$ports) = @_;      my ($iptables,$fw_chains,$lond_port,$iphost,$ports,$firewalld) = @_;
     return 'inactive firewall' if (!&firewall_is_active());      return 'inactive firewall' if (!&firewall_is_active());
     return 'port number unknown' if !$lond_port;      return 'port number unknown' if !$lond_port;
     return 'invalid firewall chain' unless (ref($fw_chains) eq 'ARRAY');      return 'invalid firewall chain' unless (ref($fw_chains) eq 'ARRAY');
     my (@opened,@chains,@badchains,@okchains);      my (@opened,@okchains,$zone);
     foreach my $chain (@{$fw_chains}) {      if ($firewalld) {
         if ($chain =~ /^([\w\-]+)$/) {          $zone = &get_default_zone();
             push(@okchains,$1);          return 'invalid zone' if ($zone eq '');
         } else {      } else {
             push(@badchains,$chain);          my @badchains;
           foreach my $chain (@{$fw_chains}) {
               if ($chain =~ /^([\w\-]+)$/) {
                   push(@okchains,$1);
               } else {
                   push(@badchains,$chain);
               }
           }
           if (!@okchains) {
               return 'None of the chain names has the expected format.'."\n";
         }          }
     }  
     if (!@okchains) {  
         return 'None of the chain names has the expected format'."\n";  
     }      }
     if (ref($ports) ne 'ARRAY') {      if (ref($ports) ne 'ARRAY') {
         return 'List of ports to open needed.';          return 'List of ports to open needed.';
Line 60  sub firewall_open_port { Line 107  sub firewall_open_port {
         if ($portnum =~ /^(\d+)$/) {          if ($portnum =~ /^(\d+)$/) {
             $port = $1;              $port = $1;
         } else {          } else {
             print "Skipped non-numeric port: $portnum\n";              print "Skipped non-numeric port: $portnum.\n";
             next;              next;
         }          }
         print "Opening firewall access on port $port.\n";          print "Opening firewall access on port $port.\n";
Line 72  sub firewall_open_port { Line 119  sub firewall_open_port {
                 @lond_port_curropen);                  @lond_port_curropen);
             if (ref($iphost) eq 'HASH') {              if (ref($iphost) eq 'HASH') {
                 if (keys(%{$iphost}) > 0) {                  if (keys(%{$iphost}) > 0) {
                       my $count = scalar(keys(%{$iphost}));
                       if ($count > 1) {
                           print "Please be patient. Checking $count IPs.\n";
                       }
                     my %curropen;                      my %curropen;
                     foreach my $fw_chain (@okchains) {                      if ($firewalld) {
                         &firewall_close_anywhere($iptables,$fw_chain,$port);                          &firewall_close_anywhere($iptables,$zone,$port,$firewalld);
                         my $current = &firewall_is_port_open($iptables,$fw_chain,$port,$lond_port,$iphost,\%curropen);                          my $current = &firewall_is_port_open($iptables,$zone,$port,
                                                                $lond_port,$iphost,\%curropen,
                                                                $firewalld);
                       } else {
                           foreach my $fw_chain (@okchains) {
                               &firewall_close_anywhere($iptables,$fw_chain,$port);
                               my $current = &firewall_is_port_open($iptables,$fw_chain,$port,
                                                                    $lond_port,$iphost,\%curropen);
                           }
                     }                      }
                       my $countok = 0;
                     foreach my $key (keys(%{$iphost})) {                      foreach my $key (keys(%{$iphost})) {
                         my $ip = '';                          my $ip = '';
                         if ($key =~ /^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/) {                          if ($key =~ /^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/) {
                             if (($1<=255) && ($2<=255) && ($3<=255) && ($4<=255)) {                              if (($1<=255) && ($2<=255) && ($3<=255) && ($4<=255)) {
                                 $ip = "$1.$2.$3.$4";                                  $ip = "$1.$2.$3.$4";
                             } else {                              } else {
                                   print "IP address: $key does not have expected format.\n";
                                 next;                                  next;
                             }                              }
                         } else {                          } else {
                               print "IP address: $key does not have expected format.\n";
                             next;                              next;
                         }                          }
                         if ($curropen{$ip}) {                          if ($curropen{$ip}) {
                             push(@lond_port_curropen,$ip);                              push(@lond_port_curropen,$ip);
                         } else {                          } else {
                             foreach my $fw_chain (@okchains) {                              if ($firewalld) {
                                 my $firewall_command =                                  my $cmd = 'firewall-cmd --zone='.$zone.' --add-rich-rule \'rule family="ipv4" source address="'.$ip.'/32" port port="'.$port.'" protocol="tcp" accept\'';
                                     "$iptables -I $fw_chain -p tcp -s $ip -d 0/0 --dport $port -j ACCEPT";                                  if (open(PIPE,"$cmd |")) {
                                 system($firewall_command);                                      my $result = <PIPE>;
                                 my $return_status = $?>>8;                                      chomp($result);
                                 if ($return_status == 1) {                                      close(PIPE);
                                     unless(grep(/^\Q$ip\E$/,@port_error)) {                                      if ($result eq 'success') {
                                         push (@port_error,$ip);                                          push(@lond_port_open,$ip);
                                       } else {
                                           push(@port_error,$ip);
                                       }
    }  
                               } else {
                                   foreach my $fw_chain (@okchains) {
                                       my $firewall_command =
                                           "$iptables -I $fw_chain -p tcp -s $ip -d 0/0 --dport $port -j ACCEPT";
                                       system($firewall_command);
                                       my $return_status = $?>>8;
                                       if ($return_status == 1) {
                                           unless(grep(/^\Q$ip\E$/,@port_error)) {
                                               push(@port_error,$ip);
                                           }
                                       } elsif ($return_status == 2) {
                                           push(@{$command_error{$fw_chain}},$ip);
                                       } elsif ($return_status == 0) {
                                           push(@lond_port_open,$ip);
                                           last;
                                     }                                      }
                                 } elsif ($return_status == 2) {  
                                     push(@{$command_error{$fw_chain}},$ip);  
                                 } elsif ($return_status == 0) {  
                                     push(@lond_port_open,$ip);  
                                     last;  
                                 }                                  }
                             }                              }
                         }                          }
                           if ($count > 1) {
                               $countok ++;
                               print '.';
                               if ($countok%40 == 0) {
                                   print "\n";
                               }
                           }
                       }
                       if ($count > 1) {
                           if ($countok%40) { 
                               print "\n"; 
                           }
                     }                      }
                   } else {
                       print "no key found in \$iphost hash ref.\n".
                             "Domain Name Service (DNS) may not be available.\n".
                             "If this LON-CAPA node is standalone, then you can fix this issue by modifying /etc/hosts.\n".
                             "Use a text editor to add: IPaddress Hostname\n";
                 }                  }
               } else {
                   print "\$iphost is not a reference to a hash\n";
             }              }
             if (@lond_port_curropen) {              if (@lond_port_curropen) {
                 unless (grep(/^\Q$port\E$/,@opened)) {                  unless (grep(/^\Q$port\E$/,@opened)) {
                     push(@opened,$port);                      push(@opened,$port);
                 }                  }
                 print "Port already open for ".scalar(@lond_port_curropen)." IP addresses\n";                  print "Port already open for ".scalar(@lond_port_curropen)." IP addresses.\n";
             }              }
             if (@lond_port_open) {              if (@lond_port_open) {
                 unless (grep(/^\Q$port\E$/,@opened)) {                     unless (grep(/^\Q$port\E$/,@opened)) {   
                     push(@opened,$port);                      push(@opened,$port);
                 }                  }
                 print "Port opened for ".scalar(@lond_port_open)." IP addresses\n";                  print "Port opened for ".scalar(@lond_port_open)." IP addresses.\n";
             }              }
             if (@port_error) {              if (@port_error) {
                 print "Error opening port for following IP addresses: ".join(', ',@port_error)."\n";                  print "Error opening port for following IP addresses: ".join(', ',@port_error)."\n";
Line 138  sub firewall_open_port { Line 233  sub firewall_open_port {
                 }                  }
             }              }
         } else {          } else {
             my (@port_errors,%command_errors);              if ($firewalld) {
             foreach my $fw_chain (@okchains) {                  my ($port_error);
                 my $firewall_command =                  my $cmd = 'firewall-cmd --zone='.$zone.' --add-rich-rule \'rule family="ipv4" port port="'.$port.'" protocol="tcp" accept\'';
                     "$iptables -I $fw_chain -p tcp -d 0/0 --dport $port -j ACCEPT";                  if (open(PIPE,"$cmd |")) {
                 system($firewall_command);                      my $result = <PIPE>;
                 my $return_status = $?>>8;                      chomp($result);
                 if ($return_status == 1) {                      close(PIPE);
                     push(@port_errors,$fw_chain);                      if ($result eq 'success') {
                 } elsif ($return_status == 2) {                          push(@opened,$port);
                     $command_errors{$fw_chain} = $firewall_command;                      } else {
                 } elsif ($return_status == 0) {                          $port_error = $port;
                     push(@opened,$port);                      }
                     last;                  } else {
                       $port_error = $port;
                 }                  }
             }                  if ($port_error) {
             unless (grep(/^\Q$port\E$/,@opened)) {                      print "Error opening port: $port\n";
                 if (@port_errors) {                  }
                     print "Error opening port for chains: ".              } else {
                           join(', ',@port_errors).".\n";                  my (@port_errors,%command_errors);
                 }                  foreach my $fw_chain (@okchains) {
                 if (keys(%command_errors)) {                      my $firewall_command =
                     foreach my $fw_chain (sort(keys(%command_errors))) {                          "$iptables -I $fw_chain -p tcp -d 0/0 --dport $port -j ACCEPT";
                         print "Bad command error opening port for chain: $fw_chain.  Command was\n".                      system($firewall_command);
                           "  ".$command_errors{$fw_chain}."\n";                      my $return_status = $?>>8;
                       if ($return_status == 1) {
                           push(@port_errors,$fw_chain);
                       } elsif ($return_status == 2) {
                           $command_errors{$fw_chain} = $firewall_command;
                       } elsif ($return_status == 0) {
                           push(@opened,$port);
                           last;
                       }
                   }
                   unless (grep(/^\Q$port\E$/,@opened)) {
                       if (@port_errors) {
                           print "Error opening port for chains: ".
                                 join(', ',@port_errors).".\n";
                       }
                       if (keys(%command_errors)) {
                           foreach my $fw_chain (sort(keys(%command_errors))) {
                               print "Bad command error opening port for chain: $fw_chain.  Command was\n".
                                     "  ".$command_errors{$fw_chain}."\n";
                           }
                     }                      }
                 }                  }
             }              }
Line 176  sub firewall_open_port { Line 291  sub firewall_open_port {
 }  }
   
 sub firewall_is_port_open {  sub firewall_is_port_open {
     my ($iptables,$fw_chain,$port,$lond_port,$iphost,$curropen) = @_;      my ($iptables,$fw_chain,$port,$lond_port,$iphost,$curropen,$firewalld) = @_;
     # for lond port returns number of source IPs for which firewall port is open      # for lond port returns number of source IPs for which firewall port is open
     # for other ports returns 1 if the firewall port is open, 0 if not.      # for other ports returns 1 if the firewall port is open, 0 if not.
     #      # if firewalld is in use, checks for rich rules only.
     # check if firewall is active or installed  
     return if (! &firewall_is_active());  
     my $count = 0;      my $count = 0;
     if (open(PIPE,"$iptables -L $fw_chain -n |")) {      # check if firewall is active or installed
       return $count if (! &firewall_is_active());
       if ($firewalld) {
           my $zone = &get_default_zone();
           return $count if ($zone eq ''); 
           if ($port eq $lond_port) {
               if (open(PIPE,"firewall-cmd --zone=$zone --list-rich-rules |")) {
                   while(<PIPE>) {
                       chomp();
                       if (/\Qrule family="ipv4" source address="\E([\d.]+)\Q\/32" port port="$port" protocol="tcp" accept\E/) {
                           my $ip = $1;
                           if ($iphost->{$ip}) {
                               $count ++;
                               if (ref($curropen) eq 'HASH') {
                                   $curropen->{$ip} ++;
                               }
                           }
                       }
                   }
                   close(PIPE);
               }
           } else {
               if (open(PIPE,"firewall-cmd --zone=$zone --list-rich-rules |")) {
                   while(<PIPE>) {
                       if (/\Qrule family="ipv4" port port="$port" protocol="tcp" accept\E/) {
                           $count ++;
                           last;
                       }
                   }
                   close(PIPE);
               }
           }
       } elsif (($fw_chain =~ /^[\w-]+$/) && (open(PIPE,"$iptables -L $fw_chain -n |"))) {
         while(<PIPE>) {          while(<PIPE>) {
             if ($port eq $lond_port) {              if ($port eq $lond_port) {
                 if (ref($iphost) eq 'HASH') {                  if (ref($iphost) eq 'HASH') {
                     if (/^ACCEPT\s+tcp\s+\-{2}\s+(\S+)\s+\S+\s+tcp\s+dpt\:\Q$port\E/) {                      if (/^ACCEPT\s+(?:tcp|6)\s+\-{2}\s+(\S+)\s+\S+\s+tcp\s+dpt\:\Q$port\E/) {
                         my $ip = $1;                          my $ip = $1;
                         if ($iphost->{$ip}) {                          if ($iphost->{$ip}) {
                             $count ++;                              $count ++;
Line 197  sub firewall_is_port_open { Line 342  sub firewall_is_port_open {
                         }                          }
                     }                      }
                 }                  }
             } else {              } elsif (/tcp dpt\:\Q$port\E/) {
                 if (/tcp dpt\:\Q$port\E/) {                  $count ++;
                     $count ++;                  last;
                     last;  
                 }  
             }              }
         }          }
         close(PIPE);          close(PIPE);
Line 210  sub firewall_is_port_open { Line 353  sub firewall_is_port_open {
 }  }
   
 sub firewall_is_active {  sub firewall_is_active {
       my $status = 0;
     if (-e '/proc/net/ip_tables_names') {      if (-e '/proc/net/ip_tables_names') {
         return 1;          if (open(PIPE,'cat /proc/net/ip_tables_names |')) {
     } else {              while(<PIPE>) {
         return 0;                  chomp();
                   if (/^filter$/) {
                       $status = 1;
                       last;
                   }
               }
               close(PIPE);
           }
           unless ($status) {
               if (open(PIPE,'nft list tables |')) {
                   while(<PIPE>) {
                       chomp();
                       if (/filter$/) {
                           $status = 1;
                           last;
                       }   
                   }           
                   close(PIPE);      
               }           
           }
       }
       unless ($status) {
           $status = &uses_firewalld();
     }      }
       return $status;
 }  }
   
 sub firewall_close_port {  sub firewall_close_port {
     my ($iptables,$fw_chains,$lond_port,$iphost,$ports) = @_;      my ($iptables,$fw_chains,$lond_port,$iphost,$ports,$firewalld) = @_;
     return 'inactive firewall' if (!&firewall_is_active());      return 'inactive firewall' if (!&firewall_is_active());
     return 'port number unknown' if !$lond_port;      return 'port number unknown' if !$lond_port;
     return 'invalid firewall chain' unless (ref($fw_chains) eq 'ARRAY');      return 'invalid firewall chain' unless (ref($fw_chains) eq 'ARRAY');
     my (@opened,@chains,@badchains,@okchains);      my (@okchains,$zone);
     foreach my $chain (@{$fw_chains}) {      if ($firewalld) {
         if ($chain =~ /^([\w\-]+)$/) {          $zone = &get_default_zone();
             push(@okchains,$1);          return 'no default zone' if ($zone eq '');
         } else {      } else {
             push(@badchains,$chain);          my @badchains;
           foreach my $chain (@{$fw_chains}) {
               if ($chain =~ /^([\w\-]+)$/) {
                   push(@okchains,$1);
               } else {
                   push(@badchains,$chain);
               }
           }
           if (!@okchains) {
               return 'None of the chain names has the expected format.'."\n";
         }          }
     }  
     if (!@okchains) {  
         return 'None of the chain names has the expected format'."\n";  
     }      }
     if (ref($ports) ne 'ARRAY') {      if (ref($ports) ne 'ARRAY') {
         return 'List of ports to close needed.';          return 'List of ports to close needed.';
Line 244  sub firewall_close_port { Line 417  sub firewall_close_port {
             print "Skipped non-numeric port: $portnum\n";               print "Skipped non-numeric port: $portnum\n"; 
             next;              next;
         }          }
         print "Closing firewall access on port $port\n";          print "Closing firewall access on port $port.\n";
         if (($port ne '') && ($port eq $lond_port)) {          if (($port ne '') && ($port eq $lond_port)) {
             foreach my $fw_chain (@okchains) {              my $output;
                 my (@port_error,@command_error,@lond_port_close);              if ($firewalld) {
                 my %to_close;                  my (%to_close,@port_error,@lond_port_close);
                 if (open(PIPE, "$iptables -n -L $fw_chain |")) {                  my $cmd = 'firewall-cmd --list-rich-rules';
                     while (<PIPE>) {                  if (open(PIPE,"$cmd |")) {
                         chomp();                      while(<PIPE>) {
                         next unless (/dpt:\Q$port\E\s*$/);                          if (/\Qrule family="ipv4" source address="\E([\d.]+)\Q\/32" port port="$port" protocol="tcp" accept\E/) {
                         if (/^ACCEPT\s+tcp\s+\-{2}\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\s+/) {  
                             my $ip = $1;                              my $ip = $1;
                             my $keepopen = 0;                              my $keepopen = 0;
                             if (ref($iphost) eq 'HASH') {                              if (ref($iphost) eq 'HASH') {
                                 if (exists($iphost->{$ip})) {                                  if (exists($iphost->{$ip})) {
                                     $keepopen = 1;                                       $keepopen = 1;
                                 }                                  }
                             }                              }
                             unless ($keepopen) {                              unless ($keepopen) {
Line 269  sub firewall_close_port { Line 441  sub firewall_close_port {
                     close(PIPE);                      close(PIPE);
                 }                  }
                 if (keys(%to_close) > 0) {                  if (keys(%to_close) > 0) {
                     foreach my $ip (keys(%to_close)) {                      foreach my $ip (sort(keys(%to_close))) {
                         my $firewall_command =                          my $cmd = 'firewall-cmd --zone='.$zone.' --remove-rich-rule \'rule family="ipv4" source address="'.$ip.'/32" port port="'.$port.'" protocol="tcp" accept\'';
                             "$iptables -D $fw_chain -p tcp -s $ip -d 0/0 --dport $port -j ACCEPT";                          if (open(PIPE,"$cmd |")) {
                         system($firewall_command);                              my $result = <PIPE>;
                         my $return_status = $?>>8;                              chomp($result);
                         if ($return_status == 1) {                              close(PIPE);
                             push (@port_error,$ip);                              if ($result eq 'success') {
                         } elsif ($return_status == 2) {                                  push(@lond_port_close,$ip);
                             push(@command_error,$ip);                              } else {
                         } elsif ($return_status == 0) {                                  push(@port_error,$ip);
                             push(@lond_port_close,$ip);                              }
                           } else {
                               push(@port_error,$ip);
                         }                          }
                     }                      }
                 }                  }
                 if (@lond_port_close) {                  if (@lond_port_close) {
                     print "Port closed for ".scalar(@lond_port_close)." IP addresses\n";                      $output .= "Port closed for ".scalar(@lond_port_close)." IP addresses.\n";
                 }                  }
                 if (@port_error) {                  if (@port_error) {
                     print "Error closing port for following IP addresses: ".join(', ',@port_error)."\n";                      $output .= "Error closing port for following IP addresses: ".join(', ',@port_error)."\n";
                 }                  }
                 if (@command_error) {              } else {
                     print "Bad command error opening port for following IP addresses: ".                  foreach my $fw_chain (@okchains) {
                           join(', ',@command_error)."\n".                      my (%to_close,@port_error,@command_error,@lond_port_close);
                           'Command was: "'."$iptables -D $fw_chain -p tcp -s ".'$ip'." -d 0/0 --dport $port -j ACCEPT".'", where $ip is IP address'."\n";                      if (open(PIPE, "$iptables -n -L $fw_chain |")) {
                           while (<PIPE>) {
                               chomp();
                               next unless (/dpt:\Q$port\E/);
                               if (/^ACCEPT\s+(?:tcp|6)\s+\-{2}\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\s+/) {
                                   my $ip = $1;
                                   my $keepopen = 0;
                                   if (ref($iphost) eq 'HASH') {
                                       if (exists($iphost->{$ip})) {
                                           $keepopen = 1; 
                                       }
                                   }
                                   unless ($keepopen) {
                                       $to_close{$ip} = $port;
                                   }
                               }
                           }
                           close(PIPE);
                       }
                       if (keys(%to_close) > 0) {
                           foreach my $ip (keys(%to_close)) {
                               my $firewall_command =
                                   "$iptables -D $fw_chain -p tcp -s $ip -d 0/0 --dport $port -j ACCEPT";
                               system($firewall_command);
                               my $return_status = $?>>8;
                               if ($return_status == 1) {
                                   push(@port_error,$ip);
                               } elsif ($return_status == 2) {
                                   push(@command_error,$ip);
                               } elsif ($return_status == 0) {
                                   push(@lond_port_close,$ip);
                               }
                           }
                       }
                       if (@lond_port_close) {
                           $output .= "Port closed for ".scalar(@lond_port_close)." IP addresses.\n";
                       }
                       if (@port_error) {
                           $output .= "Error closing port for following IP addresses: ".join(', ',@port_error)."\n";
                       }
                       if (@command_error) {
                           $output .= "Bad command error opening port for following IP addresses: ".
                                 join(', ',@command_error)."\n".
                                 'Command was: "'."$iptables -D $fw_chain -p tcp -s ".'$ip'." -d 0/0 --dport $port -j ACCEPT".'", where $ip is IP address'."\n";
                       }
                 }                  }
             }              }
               if ($output) {
                    print $output;
               } else {
                   print "No IP addresses required discontinuation of access.\n";
               }
         } else {          } else {
             foreach my $fw_chain (@okchains) {              if ($firewalld) {
                 my (@port_error,@command_error,@lond_port_close);  
                 my $to_close;                  my $to_close;
                 if (open(PIPE, "$iptables -n -L $fw_chain |")) {                  if (open(PIPE,"firewall-cmd --list-rich-rules |")) {
                     while (<PIPE>) {                      while(<PIPE>) {
                         chomp();                          next unless (/\Qrule family="ipv4" port port="$port" protocol="tcp" accept\E/);
                         next unless (/dpt:\Q$port\E\s*$/);  
                         $to_close = 1;                          $to_close = 1;
                           last;
                     }                      }
                     close(PIPE);                      close(PIPE);
                 }                  }
                 if ($to_close) {                  if ($to_close) {
                     my $firewall_command =                      my $cmd = 'firewall-cmd --zone='.$zone.' --remove-rich-rule \'rule family="ipv4" port port="'.$port.'" protocol="tcp" accept\'';
                         "$iptables -D $fw_chain -p tcp -d 0/0 --dport $port -j ACCEPT";                      if (open(PIPE,"$cmd|")) {
                     system($firewall_command);                          my $result = <PIPE>;
                     my $return_status = $?>>8;                          chomp($result);
                     if ($return_status == 1) {                          close(PIPE);
                         # Error                          if ($result eq 'success') {
                         print "Error closing port for chain: $fw_chain.\n";                              print "Port: $port closed in zone: $zone.\n";
                     } elsif ($return_status == 2) {                          } else {
                         # Bad command                              print "Error closing port: $port in zone: $zone.\n";
                         print "Bad command error closing port.  Command was\n".                          }
                               "  ".$firewall_command."\n";  
                     } else {                      } else {
                         print "Port closed for chain $fw_chain.\n";                          print "Error closing port: $port in zone: $zone.\n";
                       }
                   }
               } else {
                   foreach my $fw_chain (@okchains) {
                       my (@port_error,@command_error,@lond_port_close);
                       my $to_close;
                       if (open(PIPE, "$iptables -n -L $fw_chain |")) {
                           while (<PIPE>) {
                               chomp();
                               next unless (/dpt:\Q$port\E/);
                               $to_close = 1;
                               last;
                           }
                           close(PIPE);
                       }
                       if ($to_close) {
                           my $firewall_command =
                               "$iptables -D $fw_chain -p tcp -d 0/0 --dport $port -j ACCEPT";
                           system($firewall_command);
                           my $return_status = $?>>8;
                           if ($return_status == 1) {
                               # Error
                               print "Error closing port: $port for chain: $fw_chain.\n";
                           } elsif ($return_status == 2) {
                               # Bad command
                               print "Bad command error closing port.  Command was\n".
                                     "  ".$firewall_command."\n";
                           } else {
                               print "Port closed for chain $fw_chain.\n";
                           }
                     }                      }
                 }                  }
             }              }
Line 330  sub firewall_close_port { Line 581  sub firewall_close_port {
 }  }
   
 sub firewall_close_anywhere {  sub firewall_close_anywhere {
     my ($iptables,$fw_chain,$port) = @_;      my ($iptables,$fw_chain,$port,$firewalld) = @_;
     if (open(PIPE, "$iptables --line-numbers -n -L $fw_chain |")) {      my $zone; 
       if ($firewalld) {
           $zone = &get_default_zone();
           if ($zone eq '') {
               print 'no default zone';
       return;
           }
       } else {
           unless ($fw_chain =~ /^([\w\-]+)$/) {
               print 'invalid chain';
       return;
           }
       }
       if ($firewalld) { 
           my $to_close;
           my $cmd = 'firewall-cmd --list-ports';
           if (open(PIPE,"$cmd |")) {
               my $currports = <PIPE>;
               close(PIPE);
               chomp($currports);
               if (grep(/^\Q$port\E\/tcp/,split(/\s+/,$currports))) {
                   $to_close = 1;
               }
           }
           if ($to_close) {
               my $cmd = 'firewall-cmd --zone='.$zone.' --remove-port='.$port.'/tcp';
               if (open(PIPE,"$cmd |")) {
                   my $result = <PIPE>;
                   chomp($result);
                   close(PIPE);
                   if ($result eq 'success') {
                       print 'Port '.$port.' closed for source "anywhere"'."\n";
                   } else {
                       print 'Error closing port '.$port.' for source "anywhere".'."\n";
                   }
               } else {
                   print 'Error closing port '.$port.' for source "anywhere".'."\n";
               }
           }    
       } elsif (open(PIPE, "$iptables --line-numbers -n -L $fw_chain |")) {
         while (<PIPE>) {          while (<PIPE>) {
             next unless (/dpt:\Q$port\E/);              next unless (/dpt:\Q$port\E/);
             chomp();              chomp();
             if (/^(\d+)\s+ACCEPT\s+tcp\s+\-{2}\s+0\.0\.0\.0\/0\s+0\.0\.0\.0\/0/) {              if (/^(\d+)\s+ACCEPT\s+(?:tcp|6)\s+\-{2}\s+0\.0\.0\.0\/0\s+0\.0\.0\.0\/0/) {
                 my $firewall_command = "$iptables -D $fw_chain $1";                  my $firewall_command = "$iptables -D $fw_chain $1";
                 system($firewall_command);                  system($firewall_command);
                 my $return_status = $?>>8;                  my $return_status = $?>>8;
                 if ($return_status == 1) {                  if ($return_status == 1) {
                     print 'Error closing port '.$port.' for source "anywhere"'."\n";                      print 'Error closing port '.$port.' for source "anywhere".'."\n";
                 } elsif ($return_status == 2) {                  } elsif ($return_status == 2) {
                     print 'Bad command error closing port '.$port.' for source "anywhere".  Command was'."\n".                      print 'Bad command error closing port '.$port.' for source "anywhere".  Command was'."\n".
                           ' '.$firewall_command."\n";                            ' '.$firewall_command."\n";
Line 368  sub get_lond_port { Line 658  sub get_lond_port {
 }  }
   
 sub get_fw_chains {  sub get_fw_chains {
     my ($iptables) = @_;      my ($iptables,$distro) = @_;
       if ($distro eq '') {
           $distro = &get_distro();
       }
     my @fw_chains;      my @fw_chains;
     my $suse_config = "/etc/sysconfig/SuSEfirewall2";      my $suse_config = "/etc/sysconfig/SuSEfirewall2";
     my $ubuntu_config = "/etc/ufw/ufw.conf";      my $ubuntu_config = "/etc/ufw/ufw.conf";
     if (-e $suse_config) {      my $firewalld = &uses_firewalld($distro);
       if ($firewalld) {
           my ($dist,$version) = ($distro =~ /^([\D]+)(\d+)(?:|\-stream)$/);
           if (((($dist eq 'rhes') || ($dist eq 'centos') || ($dist eq 'rocky') || ($dist eq 'alma')) &&
                ($version >= 8)) || (($dist eq 'oracle') && ($version >= 7))) {
               push(@fw_chains,'INPUT');
           } else {
               my $zone = &get_default_zone();
       if ($zone ne '') {
                   push(@fw_chains,'IN_'.$zone.'_allow');
               } else {
                   push(@fw_chains,'IN_public_allow');
               }
           }  
       } elsif (-e $suse_config) {
         push(@fw_chains,'input_ext');          push(@fw_chains,'input_ext');
     } else {      } else {
         my @posschains;          my @posschains;
         if (-e $ubuntu_config) {          if (-e $ubuntu_config) {
             @posschains = ('ufw-user-input','INPUT');              @posschains = ('ufw-user-input','INPUT');
         } else {          } else {
             @posschains = ('RH-Firewall-1-INPUT','INPUT');              if ($distro =~ /^(debian|ubuntu|suse|sles)/) {
                   @posschains = ('INPUT'); 
               } elsif ($distro =~ /^(fedora|rhes|centos|scientific|oracle|rocky|alma)(\d+)(?:|\-stream)$/) {
                   if ((($1 eq 'fedora') && ($2 > 15)) || (($1 ne 'fedora') && ($2 >= 7))) {
                       @posschains = ('INPUT');
                   } else {
                       @posschains = ('RH-Firewall-1-INPUT','INPUT');
                   }
               }
             if (!-e '/etc/sysconfig/iptables') {              if (!-e '/etc/sysconfig/iptables') {
                 if (!-e '/var/lib/iptables') {                  if (!-e '/var/lib/iptables') {
                     print("Unable to find iptables file containing static definitions\n");                      unless ($distro =~ /^(debian|ubuntu)/) {
                           print("Unable to find iptables file containing static definitions.\n");
                       }
                   }
                   if ($distro =~ /^(fedora|rhes|centos|scientific|oracle|rocky|alma)(\d+)(?:|\-stream)$/) {
                       unless ((($1 eq 'fedora') && ($2 > 15)) || (($1 ne 'fedora') && ($2 >= 7))) {
                           push(@fw_chains,'RH-Firewall-1-INPUT');
                       }
                 }                  }
                 push(@fw_chains,'RH-Firewall-1-INPUT');   
             }              }
         }          }
         if ($iptables eq '') {          if ($iptables eq '') {
Line 412  sub get_fw_chains { Line 733  sub get_fw_chains {
     return @fw_chains;      return @fw_chains;
 }  }
   
   sub get_default_zone {
       my $cmd = 'firewall-cmd --get-default-zone';
       my $zone;
       if (open(PIPE,"$cmd |")) {
           my $result = <PIPE>;
           chomp($result);
           close(PIPE);
           ($zone) = ($result =~ /^(\w+)$/);
       }
       return $zone;
   }
   
 sub get_pathto_iptables {  sub get_pathto_iptables {
     my $iptables;      my $iptables;
     if (-e '/sbin/iptables') {      if (-e '/sbin/iptables') {
Line 419  sub get_pathto_iptables { Line 752  sub get_pathto_iptables {
     } elsif (-e '/usr/sbin/iptables') {      } elsif (-e '/usr/sbin/iptables') {
         $iptables = '/usr/sbin/iptables';          $iptables = '/usr/sbin/iptables';
     } else {      } else {
         print("Unable to find iptables command\n");          print("Unable to find iptables command.\n");
     }      }
     return $iptables;      return $iptables;
 }  }
   
   sub get_distro {
       my $distro;
       if (open(PIPE,"/home/httpd/perl/distprobe |")) {
           $distro = <PIPE>;
           close(PIPE);
       }
       return $distro;
   }
   
 1;  1;
 __END__  __END__
   
Line 438  B<LONCAPA::Firewall> - dynamic opening/c Line 780  B<LONCAPA::Firewall> - dynamic opening/c
  use lib '/home/httpd/lib/perl/';   use lib '/home/httpd/lib/perl/';
  use LONCAPA::Firewall;   use LONCAPA::Firewall;
   
    LONCAPA::Firewall::uses_firewalld();
  LONCAPA::Firewall::firewall_open_port();   LONCAPA::Firewall::firewall_open_port();
  LONCAPA::Firewall::firewall_close_port();   LONCAPA::Firewall::firewall_close_port();
  LONCAPA::Firewall::firewall_is_port_open();   LONCAPA::Firewall::firewall_is_port_open();
Line 457  The following methods are available: Line 800  The following methods are available:
   
 =over 4  =over 4
   
 =item LONCAPA::Firewall::firewall_open_port( $iptables,$fw_chains,$lond_port,$iphost,$port );  =item LONCAPA::Firewall::uses_firewalld( $distro );
   
 =back  =back
   
 =over 4  =over 4
   
 =item LONCAPA::Firewall::firewall_close_port( $iptables,$fw_chains,$lond_port,$iphost,$ports );  =item LONCAPA::Firewall::firewall_open_port( $iptables,$fw_chains,$lond_port,$iphost,$ports,$firewalld );
   
 =back  =back
   
 =over 4  =over 4
   
 =item LONCAPA::Firewall::firewall_is_port_open( $iptables,$fw_chain,$port,$lond_port,$iphost,$curropen );  =item LONCAPA::Firewall::firewall_close_port( $iptables,$fw_chains,$lond_port,$iphost,$ports,$firewalld );
   
   =back
   
   =over 4
   
   =item LONCAPA::Firewall::firewall_is_port_open( $iptables,$fw_chain,$port,$lond_port,$iphost,$curropen,$firewalld );
   
 =back  =back
   
Line 481  The following methods are available: Line 830  The following methods are available:
   
 =over 4  =over 4
   
 =item LONCAPA::Firewall::firewall_close_anywhere( $iptables,$fw_chain,$port );  =item LONCAPA::Firewall::firewall_close_anywhere( $iptables,$fw_chain,$port,$firewalld );
   
 =back  =back
   
Line 493  The following methods are available: Line 842  The following methods are available:
   
 =over 4  =over 4
   
 =item LONCAPA::Firewall::get_fw_chains();  =item LONCAPA::Firewall::get_fw_chains( $iptables,$distro );
   
 =back  =back
   
Line 501  The following methods are available: Line 850  The following methods are available:
   
 =item LONCAPA::Firewall::get_pathto_iptables();  =item LONCAPA::Firewall::get_pathto_iptables();
   
   =back
   
   =over 4
   
   =item LONCAPA::Firewall::get_distro();
   
   =back
   
 =head1 AUTHORS  =head1 AUTHORS
   

Removed from v.1.8  
changed lines
  Added in v.1.27


FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>