]> git.openstreetmap.org Git - chef.git/blobdiff - cookbooks/networking/templates/default/nftables.conf.erb
networking: ensure nftables script checks input
[chef.git] / cookbooks / networking / templates / default / nftables.conf.erb
index 4a16fb0985df84bb0263d398f2b6b09384510876..7273cff5ec3caf3cb6e12bda90532ca9e530b0fb 100644 (file)
@@ -12,15 +12,15 @@ define ip6-multicast-addresses = { ff00::/8 }
 table inet chef-filter {
   set ip-osm-addresses {
     type ipv4_addr
-<% unless Array(@hosts["inet"]).empty? -%>
-    elements = { <%= Array(@hosts["inet"]).sort.join(", ") %> }
+<% unless Array(@hosts[:inet]).empty? -%>
+    elements = { <%= Array(@hosts[:inet]).sort.join(", ") %> }
 <% end -%>
   }
 
   set ip6-osm-addresses {
     type ipv6_addr
-<% unless Array(@hosts["inet"]).empty? -%>
-    elements = { <%= Array(@hosts["inet6"]).sort.join(", ") %> }
+<% unless Array(@hosts[:inet6]).empty? -%>
+    elements = { <%= Array(@hosts[:inet6]).sort.join(", ") %> }
 <% end -%>
   }
 
@@ -47,15 +47,13 @@ table inet chef-filter {
   }
 
 <% node[:networking][:firewall][:sets].each do |set| -%>
-  set <%= set %> {
-<% if set.end_with?("-ip") -%>
-    type ipv4_addr
-<% elsif set.end_with?("-ip6") -%>
-    type ipv6_addr
+  set <%= set[:name] %> {
+    type <%= set[:type] %>
+<% if set[:flags] -%>
+    flags <%= set[:flags].join(", ") %>
 <% end -%>
-    flags dynamic
-<% unless set.start_with?("connlimit-") -%>
-    timeout 120s
+<% if set[:timeout] -%>
+    timeout <%= set[:timeout] %>s
 <% end -%>
   }
 
@@ -166,9 +164,9 @@ table ip chef-nat {
   chain postrouting {
     type nat hook postrouting priority srcnat;
 
-<% node.interfaces(:role => :external, :family => :inet).each do |external| -%>
-<% node.interfaces(:role => :internal, :family => :inet).each do |internal| -%>
-    oifname { <%= external[:interface] %> } ip saddr { <%= internal[:network] %>/<%= internal[:prefix] %> } snat <%= external[:address] %>
+<% node.interfaces(:role => :external).each do |external| -%>
+<% node.ipaddresses(:role => :internal, :family => :inet).each do |internal| -%>
+    oifname { <%= external[:interface] %> } ip saddr { <%= internal.subnet %> } snat <%= external[:inet][:address] %>
 <% end -%>
 <% end -%>
   }