iptables: Create guardian's chains after the CUSTOM* chains.

iptables: Cleanup creating the OVPNBLOCK chain.

This should happen after the CUSTOM* chains.

iptables: Block all loopback packets on non-loopback interfaces.

iptables: Create LOOPBACK chain.

This chain accepts all communication on the loopback
interface without running it through the entire connection
tracking first.

Packets on lo can never be blocked and must always be
accepted. The firewall has to trust itself anyway.

iptables: Only jump into BADTCP for TCP packets.

This saves us from evaluating lots of rules for non-TCP
packets.

iptables: Replace state module by conntrack module.

The state module is deprecated in recent releases of iptables
and should not be used any more.

Additionally, this patch adds an extra chain for all
connection tracking rules, so we can keep the entire ruleset
more small and clean.

Forward Firewall: Updated outgoingfw-converter. redesign of the ruletable's defaultrules

Forward Firewall: some textalignment in last rule row

Forward Firewall: added "default-rules-table" at the end of forward ruletable

Forward Firewall: moved default rules from FORWARDFW to POLICYFWD

Forward Firewall: removed nat part from rules.pl (file nat not existent anymore)

Forward Firewall: Bugfixes wrong interface in ruletable,when selecting alias firewall interface

Forward Firewall: some bugfixes

Forward Firewall: colorize ip addresses when possible in firewall groups. subnetmask now in cidr format

Forward Firewall: delted subnets from hosts in firewallgroups, colorized all ip-addresses from the firewall-groups if possible. Some minor changes in forwardfw.cgi

Forward Firewall: Bugfix of last commit. Added "Interface" to source or target that uses "Firewall" interfaces

Forward Firewall: When using "Firewall" as source or target, the ruletable looks confusing. Theres "RED" in source and target. Now theres "INTERFACE RED".

Forward Firewall: some language changes de.pl and en.pl as well as forwardfw.cgi and fwhost.cgi

Forward Firewall: changed some names and added subnets to dropdowns

Forward Firewall: Design changes
1) source has a new option "firewall" with dropdown for interfaces
2) source default networks->deleted IPFire, all ip's now in brackets
3) deleted warning message in Target that a mac is not usable
4) changes for "apply" button
5) in ruletable the protocol is now right beneath the ruletype column
6) changed target dropdown "INTERNET" to "RED"
7) renamed OpenVPN N-2N to OpenVPN Net-to-Net
8) set missing default firewall options
9) little changes on the en and de lang files

Forward Firewall: added new line at bottom of all ruletables with the "final rule"

Forward Firewall: added missing fields to the converters (for dnat)

UPNP: changed firewall chain from PORTFW to UPNPFW

Forward Firewall: removed PORTFWACCESS flushing from rules.pl

Forward Firewall: removed NAT table and txt file.

Forward Firewall: changed layout of "apply-button" (after rules where changed. When using single hosts in rules, the prefix is no longer shown in the ruletable. Default settings for firewall-options changed

Forward Firewall: removed dmz from forwardfw.cgi

Forward Firewall: removed DMZ from rules.pl (does no longer exist, is forward now

Forward Firewall: convert-dmz now puts converted files into /var/ipfire/forward/config instead of /var/ipfire/forward/dmz

Forward Firewall: moved "firewall default behaviour" from firewall page to firewall-options page. Some changes in languagefiles de and en.

Forward Firewall: reorganised ruletable layout

Forward Firewall: on every reload of the new firewall-rules the firewall.local is also reloaded

Forward Firewall: changed /etc/init.d/firewall. deleted stop routine and rearranged iptables_init and restart routine
Now it should be possible to use /etc/init.d/firewall restart without errors

Forward Firewall: cleanup unused code

Forward Firewall: changed order of LOG and DROP rules for INPUT Chain

Forward Firewall: added checks if manual ip (src/tgt) is part of a OpenVPN to colour the rules accordingly

Forward Firewall: INPUT Firewall added "ALL" with ip 0.0.0.0

Forward Firewall 0.9.9.7: reordered INPUT POLICY.

Forward Firewall: added OVPNBLOCK and fixed rules.pl to correctly get ip address of red iface

openvpnctrl: Cleanup flushChain functions.

openvpnctl: Flush BLOCK and SNAT chain when needed.

Forward Firewall: Implemented INPUT Firewall (extended external access)

Now you are able to define INPUT Rules on every interface ip

openvpnctrl: Block all transfer subnets.

openvpnctrl: Remove unneeded code.

Forward Firewall: BUGFIX: When creating DMZ Rules with MANUAL IP as source and afterwards editing the rule, the rule was copied and not just edited.
BUGFIX: When using SNAT (outbound) the rule does not seem to work. The NAT_SOURCE chain was on wron position in POSTROUTING

Forward Firewall: extended the customservices list

Forward Firewall: BUGFIX - when using source Protocol and NO target protocol only the target protocol is shown in ruletable.(But rule is applied correctly)

Forward Firewall: fixed wrong log Entries INPUT_DROP when connected via Web or ssh

Forward Firewall: restored old settings in graphs.pl. With new Monofont the columnsize is ok now

Forward Firewall: edited rules.pl so that in the rules the ip addresses from the remote ovpn N2N subnet are used instead of the openvpn subnet(because its only used as transfer net)

Forward Firewall: reordered some rules to get rid of INPUT_DROP messages in log when connected to webinterface

Forward Firewall: bugfix: counter failure when adding one host to more than 1 Group

Forward Firewall: changed sort-order to Sort::Naturally. This Perl Module will be available since core 68.

Forward Firewall: if ipsec rw net is set to green subnet, the rules are colored green instead of purple

Forward Firewall: removed devel-tags

Forward Firewall: rewrote portcheck routine in ovpnmain so that checks for portforwardingports are made against /var/ipfire/forward/nat instead of /var/ipfire/portfw/config

Forward Firewall: added some plausi checks. Now it is checked if someone enters an manual ip address that is a openvpn client.
The colors are set correctly in ruletable when someone enters a manual ip which belongs to an IPsec Network, IPsec Roadwarrior (if iprange set) or openvpn n2n

Forward Firewall: 0.9.9.4a - Bugfix typo in firewallscript, DMZ Link on startpage now leads to firewall instead of dmzpinholes

Forward Firewall: rules for collectd now in firewall-policy instead of /etc/init.d/firewall

Forward Firewall: some changes in firewall script to make collectd work

Forward Firewall: Firewall Hits graph now with stacked values

Forward Firewall: added drop rules to firewall's stop script so that collectd is working

Forward Firewall: enabled /var/ipfire/optionsfw/settings in configroot

Forward Firewall: fixed firewall hits statistik and extended it to show input,output,forward,newnotsyn and portscan seperately.

Forward Firewall: edited include file of backup.

Forward Firewall: added SNAT multiport support

Forward Firewall: Added multiport support to DNAT/Portforwarding

Now it is possible to use multiple ports under DNAT when TARGET has no Port, one Port or one Portrange defined

Forward Firewall: little changes in ruletable layout. (Headline)

Forward Firewall: some changes in en.pl and de.pl. Also adapted "apply" button in fwhosts.cgi

Forward Firewall: Version 0.9.9.2

1) Some changes in en.pl
2) DNAT now supports REJECT/DROP rules
3) Bugfix: comma in remark customservicegroup
4) improved installer

Forward Firewall: some fixes:

1) Counter was not correctly decreased when deleting a network from a customgroup
2) Convert-outgoingfw improved
3) Backup didn't set filepermissions correctly

Forward Firewall: some typos in dmz-converter

Forward Firewall: added dmz-converter.

Also extended backup.pl script to support old backups. Now it is possible to restore old backups into new firewall. On restore, all config files of new firewall will be destroyed and the 4 converters will recreate them.

Forward Firewall: enabled Portranges for DNAT

Forward Firewall: bugfix: DNAT now correctly creates rules, when customservice defined as target

Forward Firewall: fix NAT-rules: iptables rule was not applied correctly in PORTFWACCESS

Forward Firewall: bugfix

1) When editing a NAT rule, error message "port already used" fixed

Forward Firewall: Version update forwardfw.cgi

Forward Firewall: cleanup of initscript. Fixes double log entries when INPUT is set to REJECT

Forward Firewall: Bugfix: blue was allowed to connect to everywhere if forward firewall was open

Forward Firewall: Fix converter-outgoingfw. Produced wrong counters while converting

Forward Firewall: fixed layout of deleted host in custom group
changed version nr in forwardfw.cgi

Forward Firewall: fixed converter bug: Remark is "0" and Alias ip is taken as ip instead of name

Forward Firewall: 0.9.8.7 Implemented SNAT/DNAT

reorganized firewall chains

Forward Firewall: clean up some files

Fix iptables loop wirelessctrl
Fix firewall chain order
Fix policies (added comment for statistic)

Forward Firewall: deleted portfw from buildsystem

Forward Firewall: delete old Portforwarding from Firewall-menu

Forward Firewall: delete old portforwarding from system and fix for wlan-firewall part 1 (loop)

Forward Firewall: support for SNAT/DNAT in GUI and rules.pl

Forward Firewall: Added support for DNAT/SNAT to forwardfw.cgi

Forward Firewall: Firewall sets Internetdevice correctly now (was always red0)

Forward Firewall:
1) Custom Hosts: now 17 chars can be entered into IP/MAC field
2) Forwardfw: Bugfix: When no alias is set and IPFIRE is selected as target, no target address is recognised
3) Forwardfw: Now source and Target addressfield (manual) are set to 17 chars maxlegth.
4) Converter: Bugfix: When starting converter from commandline, all hosts are entered into groups again.

Forward Firewall: moved ruleaction-dropdown from top to target area.
some layout changes in forwardfw.cgi (when no alias exists, the dropdown after ipfire is not shown)

Forward Firewall: fix converter for outgoingfw. remarkfield (new) was not implemented here
fwhosts: Some layout changes in tables (cellspacing='0')

Forward Firewall: forgot to delete devel-comment

Forward Firewall: fixed a bug in convert-outgoingfw. THe hosts are created with wrong amount of fields in hasharray.
Also fixed a bug which sets wrong firewall mode for FORWARD when outgoing rules are used.

Forward Firewall: changes in de languagefile

Forward Firewall: Fix ruletimes. Now the timevalues which are entered in the gui are saved to the rulefile.
Wenn rule.pl is called, the script calculates the difference to UTC time and sets the iptables times accordingly.

With this approach there's no need to save if the times are created in summertime or wintertime.

Forward Firewall: put rule OUTGOING ACCEPT Related, established into /etc/init.d/firewall
deleted ACCEPT OUTGOINGFW related,established from POLICYOUT

Forward Firewall: removed --kerneltz from rules.pl. New function timeconvert in forwardfw.cgiu takes care of timeconversion now