Merge remote-tracking branch 'shared/master'

Add missing parameter in host.pp

Merge branch 'libvirt-puppet4' into 'master'

Puppet 4 compatibility.

See merge request shared-puppet-modules-group/shorewall!15

Puppet 4 compatibility.

Merge branch 'SECTION' into 'master'

This fixes the ?SECTION change.

See merge request shared-puppet-modules-group/shorewall!14

Merge branch 'routefilter' into 'master'

routefilter is also not an ipv6 possible option

See merge request shared-puppet-modules-group/shorewall!13

This fixes the ?SECTION change.

The change requiring ? before SECTION happened in 4.6.0. Our check was only
looking at the major version to see if it was 4, and if so, it would not add the
?. This was too imprecise and would not add the ? in versions of shorewall 4.6
and greater. So this commit will change that check to be more specific.

The blacklist option should not be set by default, it should only be added when
you are actually going to blacklist things. Otherwise you get this warning from
shorewall_check each day:

WARNING: There are interfaces or zones with the 'blacklist' option, but the 'blacklist' file is either missing or has zero size

Also, the README for this module notes that this option is deprecated upstream,
and so we should remove it.

routefilter is also not a valid ipv6 option

Merge branch 'fix_8' into 'master'

Remove $puppetserver_signport, fixes #8

Closes #8

See merge request shared-puppet-modules-group/shorewall!12

Remove $puppetserver_signport, fixes #8

ng  lavamind: this is an acient relict, where there was a problem signing through apache
ng  and then we had a mongrel running on that port

Merge remote-tracking branch 'origin/master' into immerda_merge

Merge remote-tracking branch 'immerda/master' into immerda_merge

Merge branch 'concat_update' into 'master'

Concat update

See merge request shared-puppet-modules-group/shorewall!11

Don't transitively pass $ensure parameter to concat::fragment

Follow up on commit 851c51659961724a1457e3de1bbe9591390b1e82.

Don't pass $ensure parameter to concat::fragment

It has been removed in the latest version of puppetlabs-concat

switch to the new facts hash

linting

make sure shorewall6 is started after shorewall

as inserting fw rules into iptables can't be properly serialized.
This is a backport of a fix that went into shorewall 5.1.6
by commit 0603f8e355b19ca88d2a7ad6f181767092e02e00 in the shorewall
repository.

make ipv6 tuneable

correctly set shorewall6 option for puppetserver config

fix param name

there is no ipv6 support there yet

make sure we also en/disable it based on the right setting

delete the old way

workaround a bug in facter that sets ipaddress6 to ipv4 addresses

make it possible to set v6 and v6 puppetserver

add mosh support

to make the previous commit work, we should also remove the ensure from fragment

linting

make ensure a noop for concat::framet, as from puppetlabs-concat 4.0.1 on this is removed and concat purges non-managed fragments

fix filename rename

Merge branch 'master' into puppet4

remove an unnecessary dep

try to be extra cautious when restarting and do it with the try, so nothing breaks if something is broken that is not connected at compile time

don't notify the service

correct snippet

this is IPv4 only so far

also support EL6 style files

add missing package for EL6

add missing file

we should start managing also that file

manage policies for shorewall6

make it possibble to disable ipv6 for these rules

enable shorewall6 rules by default

suffix it with _IP6, so we can have duplicate definitions with IPv4 shorewall

suffix it with _IP6, so we can have duplicate definitions with IPv4 shorewall

linting

minor linting

make it possible to manage rules for ipv4 & ipv6 + add some more modern headers for certain versions

make output nicer

migrate to dedicated params

introduce params4 and params6 helper to more easily differentiate

add missing file

introduce params only for ipv6 and only for ipv4

introduce params for shorewall6, by default it's just a copy of the ones for shorewall

broadcast column is not needed for shorewall6

add missing file

manage interfaces for shorewall6

cleanup certain unsupported options

add a full version fact and derive the maj from that one and make the fact work, even if there is no shorewall installed

group that together

we need this

rename snippet

add mgmt of files for shorewall6

make zones also for ipv6

make dependencies a bit more clear

fix path

correct naming

first step towards shorewall6, basic service is running

calculate whether we want to disable ipv6 (if there is no public ipv6 address) or not

Merge branch 'avoid-duplicate-package-definition' into 'master'

Use ensure_packages, to avoid duplicate definition in case Package['shorewall'] is defined elsewhere already.

See merge request !10

Merge branch '5.x-3' into 'master'

5.x part 3

See merge request !9

update config file headers to current upstream versions

update URLs to new working upstream locations

new stoppedrules, replaces routestopped

add some notes about deprecated features

new shorewall_version fact, switch shorewall_major_version to use it

from https://0xacab.org/riseup-puppet-recipes/shorewall/commit/0cd2a305f7fd9ba830a1fa3de25428ffa71d39f7#note_92590

no need for openvpn outgoing

Use ensure_packages, to avoid duplicate definition in case Package['shorewall'] is defined elsewhere already.

Merge branch '5.x-2' into 'master'

5.x changes part 2

See merge request !8

remove deprecated rfc1918 file

this hasn't been supported since 3.x days

remove deprecated norfc1918 option

It was deprecated in 4.2.0
http://www.shorewall.net/upgrade_issues.htm

remove deprecated blacklist

the blacklist file was deprecated by upstream in 4.5.7, remove all
references to them. Debian wheezy shipped with 4.5.5.3-3 (but could
use a backport) and jessie has 4.6.4.3-2 currently.

remove redundant fact

Merge remote-tracking branch 'origin/master' into riseup

Merge two facts: shorewall_version && shorewall_major_version. The first one would be line 1 and the second one would take the value of the first fact and do the stuff we see here.

Merge branch '5.x' into 'master'

changes needed for 5.x

See merge request !7

correct decision

cherry pick fixes for 5.x

Conflicts:
manifests/rule_section.pp

mory rubyism

* Fix typo

* Add example

* Add shorewall-blrules support

* fix rule section

* add shorewal version facter

Merge remote-tracking branch 'shared/master'

Fix fact for when shorewall is not yet installed.

When a node has puppet run for the first time, shorewall may not be
installed. In that case there are a few problems that appear in puppet4:

1. Warning: Facter: Could not retrieve fact='shorewall_major_version', resolution='<anonymous>': undefined method `split' for nil:NilClass

This is because running 'shorewall version' fails and so results in a
nil, and the split cannot be done on a nil. That is solved by first
running the 'shorewall version' and setting a variable. If that variable
is not nil, then we can split off of that

2. Error: Could not retrieve catalog from remote server: Error 500 on
SERVER: Server Error: Evaluation Error: Error while evaluating a
Resource Statement, Evaluation Error: Error while evaluating a Function
Call, 'versioncmp' parameter 'a' expects a String value, got Undef

This happens because the shorewall_version is set to Undef, but we need
to have it set to a String. So we set the variable to '-1' if it is not
installed.

Merge remote-tracking branch 'immerda/master' into riseup

don't include augeas due to conflict with riseup_common