관리-도구

편집 파일: nftables.cpython-39.pyc

a �������gɆ
������������������%���@���s���d�d
l�Z�d�d
l
Z
d�d
lZd�dlmZ
�d�dlmZmZmZm Z m Z
�d�dlmZm Z mZmZmZmZmZ
�d�dlmZmZmZmZmZmZmZmZmZ
�d�dlmZ
�d�dlm Z
�dZ!e!d �d �Z"e!d �d�Z#dZ$d Z%i�ddde%�fi
dde%�fdde%�fdde%�fd�dd�e%�fdd�e%�fdd�e%�fdd�e%�fd�d�Z&dEdd�
Z'e'ddd�e'dd�e'dd�e'dd �e'ddd!�e'ddd"�e'ddd �e'dd#d$�e'ddd%�e'ddd$�e'dd&d$�e'ddd'�e'dd#d��e'ddd(�e'ddd��e'dd&�e'ddd)�e'ddd*�e'ddd+�e'dd#�e'dd&d$�e'dd,�e'dd-�e'dd.�e'ddd/�e'dd0�e'dd1�e'dd2�e'dd#d)�e'ddd3�e'dd#d+�e'ddd4�e'dd0d$�e'dd0d��d5�"e'd6dd)�e'd6d&d��e'd6dd+�e'd6dd$�e'd6d�e'd6d�e'd6d �e'd6dd/�e'd6d7�e'd6d8�e'd6d9�e'd6d:�e'd6d;�e'd6d<�e'd6dd��e'd6d=�e'd6d&�e'd6dd!�e'd6d>�e'd6dd(�e'd6d?�e'd6d@�e'd6d0�e'd6d0d$�e'd6d0d��e'd6d&d$�e'd6d&d+�dA�dB�Z(G�dCdD��dDe)�Z*d
S�)F�����N)
�log)� check_mac�getPortRange�normalizeIP6�check_single_address� check_address)� FirewallError� UNKNOWN_ERROR�INVALID_RULE�INVALID_ICMPTYPE�INVALID_TYPE� INVALID_ENTRY�INVALID_PORT) �Rich_Accept�Rich_Reject� Rich_Drop� Rich_Mark�Rich_Masquerade�Rich_ForwardPort�Rich_IcmpBlock�Rich_Tcp_Mss_Clamp� Rich_NFLog)
�DEFAULT_ZONE_TARGET)
�NftablesZ firewalld�
_Zpolicy_dropZprobeZpolicy_� ���� PREROUTING� preroutingij���i����Zpostrouting�d����output)r����POSTROUTING�OUTPUT�inputZforward)r����INPUT�FORWARDr!���)�raw�mangle�nat�filterc�����������������C���sH���d
d|�dd�i
d|
d�i
g
}|d�u
rD|��d
d|�dd�i
d|d�i
�

�|S�)N�match�payload�type��protocol�field�==��left�op�right�code)
�append)r-���r+���r4���� fragments��r7����:/usr/lib/python3.9/site-packages/firewall/core/nftables.py�_icmp_types_fragmentsT���s����


� 


� r9����icmp�destination-unreachable� ���� echo-reply�echo-request���������redirect�
��������parameter-problem���������������������router-advertisement�router-solicitation� source-quench����� time-exceeded�timestamp-reply�timestamp-request��������)"�communication-prohibitedr;���r=���r>���zfragmentation-neededzhost-precedence-violation�host-prohibitedz host-redirectzhost-unknown�host-unreachablez ip-header-badznetwork-prohibitedznetwork-redirectznetwork-unknownznetwork-unreachablerD����port-unreachablezprecedence-cutoffzprotocol-unreachablerA���zrequired-option-missingrJ���rK���rL���zsource-route-failedrN���rO���rP���ztos-host-redirectztos-host-unreachableztos-network-redirectztos-network-unreachable�ttl-zero-during-reassembly�ttl-zero-during-transit�icmpv6�mld-listener-done�mld-listener-query�mld-listener-report�mld2-listener-reportznd-neighbor-advert�nd-neighbor-solicit�packet-too-bigznd-redirect�nd-router-advertznd-router-solicit)zaddress-unreachablez bad-headerzbeyond-scoperS���r;���r=���r>���z failed-policyrZ���r[���r\���r]���zneighbour-advertisementzneighbour-solicitation�no-router_���rD���rV���rA���zreject-routerJ���rK���rN���rW���rX���zunknown-header-typezunknown-option��ipv4�ipv6c�������������������@���sh��e�Z
d�Zd�Zd
Zdd��Zdd��Zdd��Zdd ��Zd d��Z dd ��Z dd��Zdd��Zdd��Z d�dd�
Zdd��Zdd��Zdd��Zdd��Zdd ��Zd�d!d"�
Zd#d$��Zd�d&d'�
Zd(d)��Zd*d+��Zd�d-d.�
Zd/d0��Zd1d2��Zd3d4��Zd5d6��Zd7d8��Zd9d:��Zd;d<��Z d=d>��Z!d?d@��Z"dAdB��Z#dCdD��Z$dEdF��Z%dGdH��Z&dIdJ��Z'dKdL��Z(dMdN��Z)d�dOdP�
Z*dQdR��Z+dSdT��Z,dUdV��Z-dWdX��Z.d�dYdZ�
Z/d�d[d\�
Z0d�d]d^�
Z1d�d_d`�
Z2dadb��Z3d�dcdd�
Z4d�dedf�
Z5d�dgdh�
Z6didj��Z7d�dkdl�
Z8dmdn��Z9d�dodp�
Z:dqdr��Z;dsdt��Z<dudv��Z=dwdx��Z>d�dydz�
Z?d�d{d|�
Z@d}d~��ZAd�dd��
ZBd�d���ZCd�d���ZDd�d���ZEd�d���ZFd�d���ZGd�d���ZHd�d���ZId�d�d��
ZJdS�)��nftablesTc�����������������C���sZ���|
|�_�d
|�_
d|�_g�|�_i�|�_i�|�_i�|�_i�|�_i�|�_t ��|�_ |�j �d
�

�|�j �d
�

�d�S�)NTF) �_fwZrestore_command_exists�supports_table_ownerZavailable_tables�rule_to_handle�rule_ref_count�rich_rule_priority_counts�policy_priority_counts�zone_source_index_cacher���re����set_echo_outputZset_handle_output)�self�fwr7���r7���r8����__init__����s����










znftables.__init__c
�����������������C���s
��z�d
dddi
i
dddt�dd gd �i
i
gi
}
|�j
�|
�
\}}}|rHtd�
�
d
dddi
i
dddt�d �i
i
gi
}
|�j
�d�

�|�j
�|
�
\}}}|�j
�d�

�|d
�d�d�d�}|��dddt�d �i
i
|�j����
�d|v
s�d |v
r�td�
�
t� d�

�d|�_ W�n
�
�
�t� d�

�d|�_ Y�n0�d�S�)Nre����metainfo�json_schema_versionrB����add�table�inet�owner�persist)�family�name�flagsz!nftables probe table owner failed�list�rx���ry���FTrz����deletez3nftables: probe_support(): owner flag is supported.z7nftables: probe_support(): owner flag is NOT supported.)�TABLE_NAME_PROBEre����json_cmd� ValueErrorrm����set_rulerf����get_log_deniedr����debug2rg���)rn����rules�rcr���r���rz���r7���r7���r8����_probe_support_table_owner����sH����





�����



��




�




z#nftables._probe_support_table_ownerc
�����������
������C���s���|�����
�d�S��
N)
r�����
rn���r7���r7���r8���� probe_support����s����
znftables.probe_supportc�����������������C���sx
��d
D�]}||
v�r
�qqd|
|�d�v�r^|
|�d�d�d�|
|�d�d�d�f}|
|�d�d=�n(d|
|�d�v�r�d�}|
|�d�d=�nd�S�|
|�d�d�}|r�|dkr�||v�r�|||�v�r�||���|�

�n�|dk�
rt||v
r�g�||<�|�
r&|||�v
�
r||��
|�

�||�jd d ��d�

�||��|�
}nt||��
}|
|�}|
|=�|dk�
rT||
d <�n |d8�}||
d<�||
d�d�d<�d�S�)N�rs����insertr}����%%ZONE_SOURCE%%�rule�zone�address�%%ZONE_INTERFACE%%rx���r}���c
�����������
������S���s���|�d
�S�)Nr
���r7���)
�
xr7���r7���r8����<lambda>
�������z3nftables._run_replace_zone_source.<locals>.<lambda>)
�keyr
���r����rB���rs����index)�remover5����sortr�����len)rn���r����rl����verbZzone_sourcerx���r����� _verb_snippetr7���r7���r8����_run_replace_zone_source����sD����




�




�









z!nftables._run_replace_zone_sourcec�����������������C���sB���d
|
v�rdt��
|
d
��
i
S�d|
v�r4dt��
|
d��
i
S�ttd��
d�S�)Nr����r}���rs���zFailed to reverse rule)�copy�deepcopyr���r ���)rn����dictr7���r7���r8����reverse_rule
��s ����



znftables.reverse_rulec����������� ������C���s�
��d
D�]}||
v�r
�qq||
|�d�v��
r�|
|�d�|�}|
|�d�|=�t�|�
t
kr\ttd��
|
|�d�d�|
|�d�d�f}|dkr�||v
s�|||�v
s�||�|�dk
r�ttd��
||�|��d 8��<�n�||v
r�i�||<�|||�v
r�d||�|<�d}t||�����
D�]J}||k�
r"|d k�
r"
��
qP|||�|�7�}||k�
r|dk�
r
��
qP�
q||�|��d 7��<�|
|�} |
|=�|dk�
r�| |
d <�n |d 8�}| |
d<�||
d�d�d<�d�S�) Nr����r����z%priority must be followed by a numberrx����chainr}���r
���z*nonexistent or underflow of priority countrB���r����rs���r����)r+����intr���r ���r ����sorted�keys) rn���r����Zpriority_counts�tokenr�����priorityr����r�����
pr����r7���r7���r8����_set_rule_replace_priority
��sH����









�� 













z#nftables._set_rule_replace_priorityc�����������������C���sb���d
D�]X}||
v�rd|
|�v�rt��
|
|�d��
}dD�]}||v�r2||=�q2tj|dd�}|�
�S�qd�S�)Nr����r����)r�����handleZpositionT)
Z sort_keys)r����r�����json�dumps)rn���r����r�����rule_keyZnon_keyr7���r7���r8���� _get_rule_keyN
��s����






znftables._get_rule_keyc�����������������C���sX��g�d
�
}g�d�
}g�}g�}t��
|�j�
}t��
|�j�
}t��
|�j�
} |�j����} |
D��
]�}t|�
tkrjtt d|���
|D�]}||v�rn
�q�qn||v
r�tt d|���
|��|�
} | | v��
r4t� d|�j| | �| �
�|dkr�| | ��d7��<�qJnV| | �dkr�| | ��d8��<�qJn6| | �dk�
r| | ��d8��<�ntt d| | | �f���
n| �
rL|dk�
rLd| | <�|�|�

�t��
|�
}| �
r�ttd�||�d �d ���
||�d �d <�|��||d�
�|��||d�
�|��|| �
�|dk�
r�dd |d�d �d �|d�d �d�|d�d �d�|�j| �d�i
i
}|�|�

�qJddddi
i
g
|�i
}t���dk�rDt�d|�jt�|�
�
�|�j�|�
\}}}|dk�rxtdd|t�|�
f��
�
||�_||�_| |�_| |�_d}|D�]�}|d7�}|��|�
} | �s��q�d|v��r�|�j| =�|�j| =��q�|D�]}||d�|�v��r�
��q��q�||d�|�v
�r�q�t|d�|�|�d �d�k�r2�q�|d�|�|�d �d�|�j| <��q�d�S�)N)rs���r����r}����flush�replace)rs���r����r����z#rule must be a dictionary, rule: %szno valid verb found, rule: %sz%s: prev rule ref cnt %d, %sr}���rB���z)rule ref count bug: rule_key '%s', cnt %dr�����expr�%%RICH_RULE_PRIORITY%%�%%POLICY_PRIORITY%%rx���rt���r����)rx���rt���r����r����re���rq���rr���rG���z.%s: calling python-nftables with JSON blob: %sr
���z'%s' failed: %s JSON blob: %szpython-nftablesr����)r����r����rj���rk���rl���ri���r+���r����r���r ���r ���r����r���r����� __class__r5���r{���r(���r����r����rh���ZgetDebugLogLevelZdebug3r����r����re���r���r�����TABLE_NAME_POLICY)rn���r����� log_deniedZ_valid_verbsZ_valid_add_verbsZ_deduplicated_rulesZ_executed_rulesrj���rk���rl���ri���r����r����r����Z_ruleZ json_blobr����r����errorr����r7���r7���r8���� set_rules\
��s�����














 

�







�
 
&





� 

�
















znftables.set_rulesc�����������������C���s���|���|
g
|�
�d
S�)N��)
r����)rn���r����r����r7���r7���r8���r�����
��s����

znftables.set_ruleNc�����������������C���s���|
r |
g
S�t��
��S�r����)�IPTABLES_TO_NFT_HOOKr�����rn���rt���r7���r7���r8����get_available_tables�
��s����znftables.get_available_tablesc�����������������C���sB���d
dd|
d�i
i
}|
t�kr<|�j
jr<|�jr<ddg|d
�d�d<�|g
S�)Nrs���rt���ru���r|���rv���rw���rz���)� TABLE_NAMErf���Z_nftables_table_ownerrg���)rn���rt���r����r7���r7���r8����_build_add_table_rules�
��s����
���znftables._build_add_table_rulesc�����������������C���s���|���|
�
d
dd|
d�i
i
g
�S�)Nr}���rt���ru���r|���)
r����r����r7���r7���r8����_build_delete_table_rules�
��s����
�z"nftables._build_delete_table_rulesc
�����������
������C���s(���i�|�_�i�|�_
i�|�_i�|�_i�|�_|��t�
S�r����)rh���ri���rj���rk���rl���r����r����r����r7���r7���r8����build_flush_rules�
��s����




znftables.build_flush_rulesc�����������������C���sP���d
dd�|
�}|ddt�dd|f�dd d di
i
dd ddgi
d�i
dd�i
gd�i
i
S�)Nrs���r}����TFr����ru����%s_%sr(���r)����ctr�����state�in�set�established�relatedr0����accept�rx���rt���r����r����)
r����)rn����enable�hook�add_delr7���r7���r8����_build_set_policy_rules_ct_rule�
��s����






���z(nftables._build_set_policy_rules_ct_rulec�������������� ���C���s\
��g�}|
d
krZ|��|��
t�
�

�dD�]6}|�dddtdd|f�d|d t�d �dd�i
i
�

�q n�|
d k�
r4|��|��
t�
�

�dD�]�}||�}|dv�s�J��
|���}d|���}|�dddt|d|dt�d �dd�i
i
�

�|�|��d|��

�|dkr�dd�i
}n"|d k�
rdd�i
}ndddd�i
}|�dddt||g
d�i
i
�

�qxn$|
dk�
rN||��t�
7�}n tt d��
|S�)NZPANIC)r���r���rs���r����ru���r����r%���r(���i���rB����drop)rx���rt���ry���r+���r�����prio�policy�DROP)r#���r$���r!���)�ACCEPT�REJECTr����Zfilter_r
���Tr����r�����reject�icmpx�admin-prohibited�r+���r����r����r����znot implemented) �extendr����r����r5����NFT_HOOK_OFFSET�lowerr����r����r���r ���)rn���r����Zpolicy_detailsr����r����Zd_policyZ chain_nameZ expr_fragmentr7���r7���r8����build_set_policy_rules�
��sb����








�










�


 �




����
 znftables.build_set_policy_rulesc�����������������C���s8���t���}|
r|
g
nt
���D�]}|�t
|�����

�qt|�
S�r����)r�����ICMP_TYPES_FRAGMENTSr�����updater{���)rn����ipvZ supportedZ_ipvr7���r7���r8����supported_icmp_types5��s����
znftables.supported_icmp_typesc
�����������
������C���s ���|���t
�
S�r����)r����r����r����r7���r7���r8����build_default_tables?��s����
znftables.build_default_tables�offc�����������������C���s"��g�}t�d
��
��D�]�}|�dddtd|�ddt�d
�|�d��t�d
�|�d �d �i
i
�

�dD�]&}|�dddtd||f�d �i
i
�

�qXdD�]6}|�dddtd|�ddd||f�i
i
g
d�i
i
�

�q�qt�d��
��D��
]}|�dddtd|�ddt�d�|�d��t�d�|�d �d �i
i
�

�|dv��
r|dD�]Z}|�dddtd||f�d �i
i
�

�|�dddtd|�ddd||f�i
i
g
d�i
i
�

��
qq�dD�](}|�dddtd||f�d �i
i
�

��
q�dD�]8}|�dddtd|�ddd||f�i
i
g
d�i
i
�

��
q�q�t�d��
��D�]F}|�dddtd|�ddt�d�|�d��t�d�|�d �d �i
i
�

��
q�|�dddtdd�ddddi
i
ddd d!gi
d"�i
d#d�i
gd�i
i
�

�|�dddtdd�dddd$i
i
dd%d"�i
d#d�i
gd�i
i
�

�|�dddtdd�dd&dd'i
i
d(d)d"�i
d#d�i
gd�i
i
�

�|
d*k�rR|�dddtdd�ddddi
i
ddd+g
i
d"�i
|��|
�
d,d-d.i
i
gd�i
i
�

�|�dddtdd�ddddi
i
ddd+g
i
d"�i
d/d�i
gd�i
i
�

�dD�](}|�dddtd0d|f�d �i
i
�

��q�dD�]8}|�dddtdd�ddd0d|f�i
i
g
d�i
i
�

��q�|
d*k�r<|�dddtdd�|��|
�
d,d-d1i
i
gd�i
i
�

�|�dddtdd�d2d3d4d5�i
g
d�i
i
�

�|�dddtdd6�ddddi
i
ddd d!gi
d"�i
d#d�i
gd�i
i
�

�|�dddtdd6�dddd$i
i
dd%d"�i
d#d�i
gd�i
i
�

�|�dddtdd6�dd&dd'i
i
d(d)d"�i
d#d�i
gd�i
i
�

�|
d*k�r||�dddtdd6�ddddi
i
ddd+g
i
d"�i
|��|
�
d,d-d.i
i
gd�i
i
�

�|�dddtdd6�ddddi
i
ddd+g
i
d"�i
d/d�i
gd�i
i
�

�d7D�](}|�dddtd0d6|f�d �i
i
�

��q�dD�]Z}|�dddtd0d6|f�d �i
i
�

�|�dddtdd6�ddd0d6|f�i
i
g
d�i
i
�

��q�d8D�](}|�dddtd0d6|f�d �i
i
�

��qP|
d*k�r�|�dddtdd6�|��|
�
d,d-d1i
i
gd�i
i
�

�|�dddtdd6�d2d3d4d5�i
g
d�i
i
�

�|�dddtdd9�ddddi
i
ddd d!gi
d"�i
d#d�i
gd�i
i
�

�|�dddtd:dd&dd;i
i
d(d)d"�i
d#d�i
gd�i
i
�

�d7D�]Z}|�dddtd0d9|f�d �i
i
�

�|�dddtdd9�ddd0d9|f�i
i
g
d�i
i
�

��qbd8D�]Z}|�dddtd0d9|f�d �i
i
�

�|�dddtdd9�ddd0d9|f�i
i
g
d�i
i
�

��q�|S�)<Nr&���rs���r����ru���z mangle_%sr(����%sr
���rB���)rx���rt���ry���r+���r����r����)�POLICIES_pre�ZONES� POLICIES_postzmangle_%s_%s�rx���rt���ry���)
r����r�����jump�targetr����r'���znat_%s)
r!���)r����r����� nat_%s_%sz filter_%sr#���r)���r����r����r����r����r����r����r����r0���r�����status�dnat�meta�iifnamer/����lor����Zinvalidr����prefixzSTATE_INVALID_DROP: r�����filter_%s_%szFINAL_REJECT: r����r����r����r����r$���)
r����)
r����r!���� filter_OUTPUT�oifname)r����r����r5���r�����_pkttype_match_fragment)rn���r����Z default_rulesr����Zdispatch_suffixr7���r7���r8����build_default_rulesB��s���







�


�



�





� 


�


�


�



�





�




���




���




���





�
��




���


�



�




��


�




���




���




���





�
��




���


�


�


�


�




��


�




���




���


�


�


�


�znftables.build_default_rulesc�����������������C���s2���|
d
krddgS�|
dkrdg
S�|
dkr.ddgS�g�S�)Nr(���r#���r$���r&���r���r'���r ���r7���r����r7���r7���r8����get_zone_table_chains��s����





znftables.get_zone_table_chainsc �������������� ������sJ���j�j
�|�
��jd
k�rdnd��dkr4�
dkr4dnd} �j�j
�|�t| ���g�} g�}g�}g�} |D�]V}|t|�
d��d kr�| �d ddd i
i
d|d�t|�
d���d�d�i
�

�q`|�|�

�q`|D�]X}|t|�
d��d k�
r |�d dddi
i
d|d�t|�
d���d�d�i
�

�q�| �|�

�q�|�
r>| �d ddd i
i
dd|i
d�i
�

�| �
rf|�d dddi
i
dd| i
d�i
�

�|�
r�|D�]}| ���d|��

��
qp|�
r�|D�]}|���d|��

��
q����
�����fdd�}g�}| �r| D�]:}|�
r�|D�]}|�|||��

��
q�n|�||d���

��
q�n4|�r6|D�]}|�|d�|��

��qn|�|d�d���

�|S�)Nr
����pre�postr'���r ���TFrB����
+r)���r����r����r����r/����
*r0���r����r�����saddr�daddrc��������������������s����|�rT|
rTd
|�d�d�v�rTd
|
d�d�v�rT|�d�d�d
�d�|
d�d�d
�d�krTd�S�g�}|�rf|��|��

�|
rt|��|
�

�|��ddd���f�i
i
�

�dt
d ��
�f�|d �}|�����
�

��r�dd|i
i
S�d d|i
i
S�d�S�)Nr*���r)���r1���r-���r����r����r����ru���z%s_%s_POLICIES_%sr����rs���r����r}���)r5���r����r�����_policy_priority_fragment)�ingress_fragment�egress_fragment�expr_fragmentsr������_policyr�����chain_suffixr�����p_objrn���rt���r7���r8����_generate_policy_dispatch_ruleR��s0����

�
��







�
zRnftables.build_policy_ingress_egress_rules.<locals>._generate_policy_dispatch_rule) rf���r����� get_policyr�����policy_base_chain_name�POLICY_CHAIN_PREFIXr����r5����_rule_addr_fragment)rn���r����r����rt���r����Zingress_interfacesZegress_interfacesZingress_sourcesZegress_sources�isSNATZingress_fragmentsZegress_fragmentsZ$ingress_interfaces_without_wildcardsZ#egress_interfaces_without_wildcardsZingress_interfaceZegress_interface�src�dstr
��r����r����r����r7���r����r8����!build_policy_ingress_egress_rules!��sf����









�



�


� 


� 









z*nftables.build_policy_ingress_egress_rulesFc�����������������C���sN
��|d
kr|dkrdnd}|�j�j
j||t|d�} dddddd�|�} |t|�
d ��d krn|d�t|�
d ���d�}d}|dkr�|d d|| f�i
i
g
}n,ddd| i
i
d|d�i
|d d|| f�i
i
g}|
r�|s�d} dtd||f�|d�}|�|�����

�nP|
�
rd} dtd||f�|d�}n.d} dtd||f�|d�}|�
s@|�|�����

�| d|i
i
g
S�)Nr'���r ���TF�
r
��r����r�����r���r ���r#���r$���r!���rB���r����r�����gotor����r����r)���r����r����r/���r0���r����ru����%s_%s_ZONESr����rs���r}���r����)rf���r����r
��r
��r����r����r�����_zone_interface_fragment)rn���r����r����r����� interfacert���r����r5���r
��r�
���opt�actionr����r����r����r7���r7���r8����!build_zone_source_interface_rules���sZ����




��



��




�





�



�
z*nftables.build_zone_source_interface_rulesc����������� ��� ���C���s����|d
kr|dkrdnd}|�j�j
j||t|d�}ddd�|
�} d d d d d d�|�} d}d td||f�|��| |�|dd||f�i
i
gd�}|�|��||��

�| d|i
i
g
S�)Nr'���r ���TFr
��r����r}���r����r����r����r
��r
��ru���r
��r����r����r����r����)rf���r����r
��r
��r����r
��r�����_zone_source_fragment) rn���r����r����r����r����rt���r����r
��r�
��r����r
��r
��r����r7���r7���r8����build_zone_source_address_rules���s*����





��



��
z(nftables.build_zone_source_address_rulesc�����������������C���sp��d
dd�|
�}|dkr"|dkr"dnd}|�j�j
j||t|d�}|�j�j
�|�
}g�} | �|d d td||f�d�i
i
�

�d D�](} | �|d d td||| f�d�i
i
�

�qt|jr�| �d
dd td||f�ddd||df�i
i
g
d�i
i
�

�d D�]<} | �|dd td||f�ddd||| f�i
i
g
d�i
i
�

�q�|j�
r^| �d
dd td||f�ddd||df�i
i
g
d�i
i
�

�|�j�j
j|�j }|�j�� ��dk�
r�|dk�
r�|tdddfv��
r�|}|tdfv��
r�d}| �|dd td||f�|��|�j�� ���
ddd||f�i
i
gd�i
i
�

�|dk�r^|tddddfv��r^|tddfv��r,|�� ��} n|���d�i
} | �|dd td||f�| g
d�i
i
�

�|
�sl| ���
�| S�)Nrs���r}���r����r'���r ���TFr
��r����ru���r����r����)r����r����deny�allowr�����%s_%s_%sr����r����r����r����r����r����r����r(���r����z %%REJECT%%r����r���r����zfilter_%s_%s: r����)rf���r����r
��r
��r
��r5���r����Zderived_from_zoneZ _policiesr����r����r���r�����_reject_fragmentr�����reverse)rn���r����r����rt���r����r����r
��r�
��r
��r����r

��r����Z log_suffix�target_fragmentr7���r7���r8����build_policy_chain_rules���sx����






�


�



�



�



�









��
�




�
z!nftables.build_policy_chain_rulesc�����������������C���s<���|
d
kri�S�|
dv�r,ddddi
i
d|
d�i
S�t�t
d |
��
d�S�) N�all)�unicast� broadcastZ multicastr)���r����r�����pkttyper/���r0���zInvalid pkttype "%s"�r���r ���)rn���r!
��r7���r7���r8���r������s����





�z nftables._pkttype_match_fragmentc�����������������C���s
��d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
ddd�i
d
dd d�i
d
dd d�i
d
dd d�i
d
dd d�i
d
dd d�i
d
ddd�i
d
ddd�i
d
dd d�i
d
dd d�i
d
ddd�i
d
ddd�i
d
ddi
i
d
ddi
i
d�}||
�S�)Nr����r:���rT���r����znet-prohibitedr����rY���znet-unreachablerU���rV���r����zprot-unreachablezaddr-unreachablera���r+���z tcp reset)zicmp-host-prohibitedzhost-prohibzicmp-net-prohibitedz net-prohibzicmp-admin-prohibitedzadmin-prohibzicmp6-adm-prohibitedzadm-prohibitedzicmp-net-unreachableznet-unreachzicmp-host-unreachablezhost-unreachzicmp-port-unreachablezicmp6-port-unreachablezport-unreachzicmp-proto-unreachablez proto-unreachzicmp6-addr-unreachable�addr-unreachzicmp6-no-routera���z tcp-resetztcp-rstr7���)rn���Zreject_typeZfragsr7���r7���r8����_reject_types_fragment��s2����


















�znftables._reject_types_fragmentc
�����������
������C���s���d
ddd�i
S�)Nr����r����r����r����r7���r����r7���r7���r8���r
��9��s����

�znftables._reject_fragmentc
�����������
������C���s ���d
dddi
i
ddddgi
d �i
S�) Nr)���r����r�����l4protor/���r����r:���rY���r0���r7���r����r7���r7���r8����_icmp_match_fragment=��s����


�znftables._icmp_match_fragmentc�����������������C���sn���|
si�S�d
dddd�}z|
j��
d�
}W�n�tyB
�
�
�ttd��
Y�n0�dt|
j�d |���
||
j�|d ���d�i
S�)N�secondZminuteZhourZday)�
s�
m�
h�
d�
/zExpected '/' in limit�limitr
���rB���)ZrateZper)�valuer����r����r���r ���r����)rn���r-
��Zrich_to_nft�
ir7���r7���r8����_rich_rule_limit_fragmentB��s����




�



�z"nftables._rich_rule_limit_fragmentc�����������������C���s����t�|
j
�
ttttfv�rn<|
jrJt�|
j�
ttt t fv
rTttd
t�|
j�
���
n ttd��
|
j dkr�t�|
j
�
tttfv�s�t�|
j�
tt fv�r�dS�t�|
j
�
tf
v�s�t�|
j�
tt fv�r�dS�n|
j dk�r�dS�dS�d�S�)N�Unknown action %szNo rule action specified.r
���r
��r
��r����r����)r+����elementr���r���r���r���r
��r���r���r���r���r���r ���r�����rn���� rich_ruler7���r7���r8����_rich_rule_chain_suffixU��s$����



 

�

�

z nftables._rich_rule_chain_suffixc�����������������C���s:���|
j�s|
j
sttd
��
|
jdkr$dS�|
jdk�r2dS�dS�d�S�)NzNot log or auditr
���r���r����r����)r����auditr���r ���r����r3
��r7���r7���r8���� _rich_rule_chain_suffix_from_logk��s����




z)nftables._rich_rule_chain_suffix_from_logc
�����������
������C���s���d
d�i
S�)Nr����r7���r����r7���r7���r8���r
��v��s����
z!nftables._zone_interface_fragmentc�����������������C���sN���t�d
|�rt
|�
}n,td
|�r@|�d�
}t
|d��
d�|d��}d|
|d�i
S�)Nrd���r,
��r
���rB���r����)r����r����)r���r���r����split)rn���r����r����Z addr_splitr7���r7���r8���r
��y��s����





znftables._zone_source_fragmentc�����������������C���s ���d
|
j�i
S�)Nr�����
r����)rn���r����r7���r7���r8���r�������s����
z"nftables._policy_priority_fragmentc�����������������C���s���|
r|
j�d
kri�S�d|
j�i
S�)Nr
���r����r9
��r3
��r7���r7���r8����_rich_rule_priority_fragment���s����


z%nftables._rich_rule_priority_fragmentc�����������������C���s
��|j�s i�S�|�j
j�|
|t�}d
dd�|�}|��|�
}i�} t|j��
tkr||j�jrZt |j�j�
nd| d<�|j�j r�t |j�j �
| d<�n,|j�jr�d|j�jkr�dn|j�j} d | �| d <�|j�jr�d |j�j�| d<�dt d |||f�||��|j�j�
d| i
g�d�}|�|��|�
�

�|d|i
i
S�)Nrs���r}���r����r
����groupzqueue-thresholdZwarning�warnr�����levelr����ru���r
��r���r����r����)r���rf���r����r
��r
��r7
��r+���r���r;
��r����Z thresholdr=
��r����r����r0
��r-
��r����r:
��)rn���r����r4
��r����rt���r����r�
��r����r

��Zlog_optionsr=
��r����r7���r7���r8����_rich_rule_log���s4����

 











���
znftables._rich_rule_logc����������� ������C���s����|j�s i�S�|�j
j�|
|t�}d
dd�|�}|��|�
}dtd|||f�||��|j�j�
dddi
i
g�d �} | � |�� |�
�

�|d | i
i
S�)Nrs���r}���r����ru���r
��r���r=
��r6
��r����r����)r6
��rf���r����r
��r
��r7
��r����r0
��r-
��r����r:
��) rn���r����r4
��r����rt���r����r�
��r����r

��r����r7���r7���r8����_rich_rule_audit���s ����







���
znftables._rich_rule_auditc����������� ������C���s�
��|j�s i�S�|�j
j�|
|t�}d
dd�|�}|��|�
}d|||f�} t|j��
tkr\dd�i
} �
n�t|j��
tkr�|j�jr�|�� |j�j�
} ndd�i
} n�t|j��
t kr�dd�i
} n�t|j��
tk�
rHd}|�j
j�|
|t�}d|||f�} |j�j� d �
}t|�
d k�
r,dddd i
i
ddddd i
i
|d �gi
|d�gi
d�i
} ndddd i
i
|d�d�i
} nttdt|j��
���
dt| ||��|j�j�
| g�d�}|�|��|�
�

�|d|i
i
S�)Nrs���r}���r����r
��r����r����r����r&���r,
��rB���r����r�����mark�
^�
&r
����r����r.
��r1
��ru���r����r����)r
��rf���r����r
��r
��r5
��r+���r���r���r$
��r���r���r����r8
��r����r���r ���r����r0
��r-
��r����r:
��) rn���r����r4
��r����rt���r����r�
��r����r

��r����Zrule_actionr.
��r����r7���r7���r8����_rich_rule_action���sL����

















"� 
� 
�



��
znftables._rich_rule_actionc�����������������C���s����|��d
�
r0|��
|td
�
d���d|
kr(dnd|�S�t|�
r>d}n�td|�rNd}nvtd|�r�d}tj|dd�}d |jj |j d �i
}nDtd|�r�d}t|�
}n,d}|�d �
}d t|d��
t |d��
d �i
}dd||
d�i
|r�dnd|d�i
S�d�S�)N�ipset:r����TF�etherrc����ip)
�strictr������addrr����rd����ip6r,
��r
���rB���r)���r*���r,����!=r/���r0���)� startswith�_set_match_fragmentr����r���r���r���� ipaddress�IPv4Network�network_address� compressed� prefixlenr���r8
��r����)rn���Z addr_fieldr�����invertrx���Znormalized_addressZaddr_lenr7���r7���r8���r
�����s,����

&












�
�znftables._rule_addr_fragmentc�����������������C���s6���|
si�S�|
d
v
rt�t
d|
���
ddddi
i
d|
d�i
S�) Nrb���zInvalid familyr)���r����r�����nfprotor/���r0���r"
��)rn���Zrich_familyr7���r7���r8����_rich_rule_family_fragment���s����




�

�z#nftables._rich_rule_family_fragmentc�����������������C���s8���|
si�S�|
j�r|
j�}n|
j
r&d
|
j
�}|�jd||
jd�S�)NrE
��r�����
rT
��)rJ
���ipsetr
��rT
��)rn���Z rich_destr����r7���r7���r8����_rich_rule_destination_fragment ��s����





z(nftables._rich_rule_destination_fragmentc�����������������C���sZ���|
si�S�|
j�r|
j�}n2t
|
d
�r.|
jr.|
j}nt
|
d�rH|
jrHd|
j�}|�jd||
jd�S�)N�macrX
��rE
��r����rW
��)rJ
���hasattrrZ
��rX
��r
��rT
��)rn���Zrich_sourcer����r7���r7���r8����_rich_rule_source_fragment��s����






z#nftables._rich_rule_source_fragmentc�����������������C���sP���t�|
�
}t
|t�r$|d
k�r$tt�
�
n(t|�
dkr8|d
�S�d|d
�|d�gi
S�d�S�)Nr
���rB����range)r���� isinstancer����r���r���r����)rn����portr]
��r7���r7���r8����_port_fragment!��s����




znftables._port_fragmentc�������������� ���C���s&
��d
dd�|
�}d}|�j�j
�||t�} g�} |r>| �|��|j�
�

�|rT| �|��d|��

�|r|| �|��|j �
�

�| �|�� |j�
�

�| �dd|dd �i
d |��|�
d�i
�

�g�}|r�|�|�� |||
|| ��

�|�|��|||
|| ��

�|�|��|||
|| ��

�n.|�|dd td|| f�| dd�i
g
�d�i
i
�

�|S�)Nrs���r}���r����r(���r����r)���r*����dportr,���r/���r0���r����ru����%s_%s_allowr����r�����rf���r����r
��r
��r5���rV
��rx���r
��rY
���destinationr\
���sourcer`
��r>
��r?
��rD
��r�����rn���r����r�����protor_
��rd
��r4
��r����rt���r�
��r����r����r7���r7���r8����build_policy_ports_rules*��s8����










�
� 






�z!nftables.build_policy_ports_rulesc�������������� ���C���s
��d
dd�|
�}d}|�j�j
�||t�}g�} |r>| �|��|j�
�

�|rT| �|��d|��

�|r|| �|��|j �
�

�| �|�� |j�
�

�| �dddd i
i
d |d�i
�

�g�} |r�| �|��|||
|| ��

�| �|�� |||
|| ��

�| �|��|||
|| ��

�n.| �|dd td||f�| dd�i
g
�d�i
i
�

�| S�)Nrs���r}���r����r(���r����r)���r����r����r%
��r/���r0���r����ru���rb
��r����r����)rf���r����r
��r
��r5���rV
��rx���r
��rY
��rd
��r\
��re
��r>
��r?
��rD
��r����)rn���r����r����r-���rd
��r4
��r����rt���r�
��r����r����r7���r7���r8����build_policy_protocol_rulesJ��s4����











� 






�z$nftables.build_policy_protocol_rulesc�����������������C���s����d
}d}|�j�j
�||t�}ddd�|
�} g�} |r^| �|��|j�
�

�| �|��|j�
�

�|�� |�
}| �dddd d d�i
dd �i
�

�|dks�|d�u�r�| �ddddd�i
dddi
i
d�i
�

�n| �ddddd�i
|d�i
�

�| ddt d||f�| d�i
i
g
S�)Nr
��r(���rs���r}���r����r)���r����r*����tcprz���r,���Zsyn)r2���r1���r3���Zpmtur&���z tcp optionZmaxseg�size)ry���r.���Zrtr����ZmturC
��r����ru���r����r����)rf���r����r
��r
��r5���rY
��rd
��r\
��re
��r5
��r����)rn���r����r����Ztcp_mss_clamp_valuerd
��r4
��r

��rt���r�
��r����r����r7���r7���r8���� build_policy_tcp_mss_clamp_rulesi��s2����








� 

�
� 


�z)nftables.build_policy_tcp_mss_clamp_rulesc�������������� ���C���s&
��d
dd�|
�}d}|�j�j
�||t�} g�} |r>| �|��|j�
�

�|rT| �|��d|��

�|r|| �|��|j �
�

�| �|�� |j�
�

�| �dd|dd �i
d |��|�
d�i
�

�g�}|r�|�|�� |||
|| ��

�|�|��|||
|| ��

�|�|��|||
|| ��

�n.|�|dd td|| f�| dd�i
g
�d�i
i
�

�|S�)Nrs���r}���r����r(���r����r)���r*����sportr,���r/���r0���r����ru���rb
��r����r����rc
��rf
��r7���r7���r8����build_policy_source_ports_rules���s8����









�
� 






�z(nftables.build_policy_source_ports_rulesc����������� ��� ���C���s����d
}|�j�j
�||t�} ddd�|
�} g�}|
rR|�dddtd||f�||d�i
i
�

�g�}|rl|�|��d |��

�|�d d|dd �i
d|��|�
d�i
�

�|�dd||f�i
�

�|�| ddtd| �|d�i
i
�

�|S�)Nr(���rs���r}���r����z ct helperru���zhelper-%s-%s)rx���rt���ry���r+���r-���r����r)���r*���ra
��r,���r/���r0���r�����filter_%s_allowr����)rf���r����r
��r
��r5���r����r
��r`
��) rn���r����r����rg
��r_
��rd
��Zhelper_nameZmodule_short_namert���r�
��r����r����r����r7���r7���r8����build_policy_helper_ports_rules���s6����







�



�
� 



�z(nftables.build_policy_helper_ports_rulesc�����������������C���s����d
dd�|
�}|�j�j
�||t�}g�} |rv|t|�
d��dkrT|d�t|�
d���d�}ddd d i
i
d|d�i
d d�i
g} n|��d|�d d�i
g} dtd|�| d�}| �|d|i
i
�

�| S�)Nrs���r}���r����rB���r����r����r)���r����r����r����r/���r0���r����r����ru���ro
��r����r����)rf���r����r
��r
��r����r
��r����r5���)rn���r����r����r����rt���r
��re
��r����r�
��r����r����r����r7���r7���r8����build_zone_forward_rules���s(����





��


�z!nftables.build_zone_forward_rulesc�������������� ���C���s����d
dd�|
�}g�}g�}|r\|��|��
|j�
�

�|��|��|j�
�

�|��|��|j�
�

�|��|�
}n"|��ddddi
i
dd d �i
�

�d}d}|�jj j ||td d�} dtd| |f�|ddddi
i
ddd �i
dd�i
g�d�} | � |��|�
�

�|��|d| i
i
�

�|S�)Nrs���r}���r����r)���r����r����rU
��r/���rc���r0���r
��r'���Tr
��ru���r����r����rL
��r����Z masquerader����r����)r5���rV
��rx���rY
��rd
��r\
��re
��r5
��rf���r����r
��r
��r����r����r:
��)rn���r����r����r4
��r����r����r����r

��rt���r�
��r����r7���r7���r8����build_policy_masquerade_rules���s<����







� 







����
z&nftables.build_policy_masquerade_rulesc�����������������C���sp
��d
}|�j�j
�||t�} ddd�|
�} g�}|rn|�|��|j�
�

�|�|��|j�
�

�|�|�� |j �
�

�|��|�
}n8d} |r�td|�r�d} |�ddd d i
i
d| d�i
�

�d }|�dd|dd�i
d|�� |�
d�i
�

�|�
r$td|�r�t|�
}|�
r|dk�
r|�d||�� |�
d�i
�

�n|�dd|i
i
�

�n|�dd|�� |�
i
i
�

�dtd| |f�|d�}|�|��|�
�

�| d|i
i
g
S�)Nr'���rs���r}���r����rc���rd���r)���r����r����rU
��r/���r0���r
��r*���ra
��r,���r����r����)rJ
��r_
��rJ
��rA���r_
��ru���r����r����r����)rf���r����r
��r
��r5���rV
��rx���rY
��rd
��r\
��re
��r5
��r���r`
��r���r����r����r:
��)rn���r����r����r_
��r-���ZtoportZtoaddrr4
��rt���r�
��r����r����r

��rU
��r����r7���r7���r8����build_policy_forward_port_rules���sJ����











� 
�
� 






�
z(nftables.build_policy_forward_port_rulesc�����������������C���s2���|t�|
�v�rt�|
�|�S�t
td
||�j|
f���
d�S�)Nz)ICMP type '%s' not supported by %s for %s)r����r���r���ry���)rn���r����Z icmp_typer7���r7���r8����_icmp_types_to_nft_fragments(��s ����


�z%nftables._icmp_types_to_nft_fragmentsc�����������������C���s:��d
}|�j�j
�||t�}ddd�|
�}|r6|jr6|j}n<|jrjg�}d|jv�rT|�d�

�d|jv�rr|�d�

�nddg}g�} |D��
]�} |�j�j
�|�
r�d||f�}dd�i
}nd ||f�}|����}g�} |r�| �|�� |j �
�

�| �|��|j�
�

�| �|��|j �
�

�| �|��| |j��

�|�
r�| �|��|||
|| ��

�| �|��|||
|| ��

�|j�
rb| �|��|||
|| ��

�nN|��|�
}d td|||f�| |����g
�d�}|�|��|�
�

�| �|d |i
i
�

�qz|�j����dk�r|�j�j
�|�
�s| �|d d t|| |��|�j�����
ddd||f�i
i
g�d�i
i
�

�| �|d d t|| |g
�d�i
i
�

�qz| S�)Nr(���rs���r}���r����rc���rd���rb
��r����z %s_%s_denyru���r
��r����r����r����r���r�����%s_%s_ICMP_BLOCK: )rf���r����r
��r
���ipvsrd
��r5����query_icmp_block_inversionr
��rV
��rx���rY
��r\
��re
��r����rt
��ry���r>
��r?
��r
��rD
��r5
��r����r����r:
��r����r����)rn���r����r����Zictr4
��rt���r�
��r����rv
��r����r����Zfinal_chainr
��r����r

��r����r7���r7���r8����build_policy_icmp_block_rules/��sl����



























�






���


�z&nftables.build_policy_icmp_block_rulesc�����������������C���s����d
}|�j�j
�||t�}g�}ddd�|
�}|�j�j
�|�
r@|����}ndd�i
}|�|ddtd||f�d |����|gd �i
i
�

�|�j�� ��dkr�|�j�j
�|�
r�|�|ddtd||f�d |����|�� |�j�� ���
dd d||f�i
i
gd �i
i
�

�|S�)Nr(���rs���r}���r����r����r����ru���r����rF����rx���rt���r����r����r����r����r���r����ru
��)rf���r����r
��r
��rw
��r
��r5���r����r&
��r����r����)rn���r����r����rt���r�
��r����r����r
��r7���r7���r8����'build_policy_icmp_block_inversion_rulesk��s4����









��






��z0nftables.build_policy_icmp_block_inversion_rulesc�������������� ���C���s$
��g�}d
}|�j�j
dkrddg}n<|�j�j
dkr8ddg}d}n"|�j�j
dkrRg�d�
}d}ng�d�
}d d ddi
i
d dd�i
d d|dd�i
d dd�i
g}|
dkr�|�dddi
i
�

�|�dd�i
�

�|�dddt||d�i
i
�

�|�j�j
dv
�
r |�dddt|d ddd d!�i
d d"d#d$gi
d�i
d%d�i
gd�i
i
�

�|S�)&NZfilter_PREROUTINGZlooser����r@
��� loose-forward�filter_FORWARD�strict-forward)r����r@
��Ziifr)���r����r����rU
��r/���rd���r0���ZfibZoif)rz����resultFr����r���r����zrpfilter_DROP: r����r����r����ru���r�����r{
��r}
��r*���rY���r+���r,���r����r`���r^���r����)rf����_ipv6_rpfilterr5���r����)rn���r����r����Zrpfilter_chainZ fib_flagsr����r7���r7���r8����build_rpfilter_rules���sX����










�
�
��




�



�
���znftables.build_rpfilter_rulesc
�������������� ���C���s����g�d
�
}
dd��|
D��
}
ddddd�i
d d |
i
d�i
g
}|�j�j
dv�rT|�d ddi
i
�

�|�|��d�
�

�g�}|�dddtdd|d�i
i
�

�d}|�j����dkr�|d7�}|�j�jdv�r�|d7�}|�dddtd||d�i
i
�

�|S�)N) z::0.0.0.0/96z::ffff:0.0.0.0/96z2002:0000::/24z2002:0a00::/24z2002:7f00::/24z2002:ac10::/28z2002:c0a8::/32z2002:a9fe::/32z2002:e000::/19c
�����������������S���s2���g�|�]*}
d�|
��d
�
d�t
|
��d
�
d��
d�i
�qS�)r����r,
��r
���rB���rI
��)r8
��r����)�.0r����r7���r7���r8���� <listcomp>���r����z5nftables.build_rfc3964_ipv4_rules.<locals>.<listcomp>r)���r*���rK
��r����r,���r/���r����r0���)r
��r
��r���r����zRFC3964_IPv4_REJECT: r#
��rs���r����ru���r����rB���ry
��rG���r����r
��r|
��)rf���Z_log_deniedr5���r$
��r����r����r�
��)rn���Z daddr_setr����r����Z forward_indexr7���r7���r8����build_rfc3964_ipv4_rules���s<����
 
�
� 





�








�z!nftables.build_rfc3964_ipv4_rulesc�������������� ���C���s����d
}g�}|��|��
|j�
�

�|��|��|j�
�

�|��|��|j�
�

�g�}|��|��|||
||��

�|��|��|||
||��

�|��|�� |||
||��

�|S�)Nr(���) r5���rV
��rx���rY
��rd
��r\
��re
��r>
��r?
��rD
��)rn���r����r����r4
��rt���r����r����r7���r7���r8����*build_policy_rich_source_destination_rules���s����






z3nftables.build_policy_rich_source_destination_rulesc�����������������C���s���|
d
v�rdS�dS�)N)rc���rd���ZebTFr7���)rn���r����r7���r7���r8����is_ipv_supported���s����


znftables.is_ipv_supportedc�������������� ���C���s����d
dd�}||
�||
�ddg||
�dd||
�g||
�dd||
�g||
�dg||
�||
�||
�g||
�ddg||
�dd||
�g||
�dgdd �}||v�r�||�S�t�t
d |���
d�S�)NZ ipv4_addrZ ipv6_addrrb���Z inet_protoZinet_servicer@
��ZifnameZ ether_addr)zhash:ipzhash:ip,portzhash:ip,port,ipzhash:ip,port,netzhash:ip,markzhash:netzhash:net,netz hash:net,portzhash:net,port,netzhash:net,iface�hash:macz!ipset type name '%s' is not valid)r���r���)rn���r����r+���Zipv_addr�typesr7���r7���r8����_set_type_list���s(����
�







�

�znftables._set_type_listc�����������������C���s����|rd
|v�r|d
�dkrd}nd}dt�|
|��
||�d�}|�d�
d��d �
D�]}|d v�rLdg
|d<�
�qhqL|r�d |v�r�t|d ��
|d <�d|v�r�t|d��
|d<�dd|i
i
g
S�)Nrx����inet6rd���rc���ru���)rx���rt���ry���r+����
:rB����
,)rG
���netr_
���intervalrz����timeoutZmaxelemrk
��rs���r����)r����r�
��r8
��r����)rn���ry���r+����optionsr����Zset_dict�
tr7���r7���r8����build_set_create_rules��s$����




�






znftables.build_set_create_rulesc�����������������C���s$���|���|
||�}|��
||�j����
�d�S�r����)r�
��r����rf���r����)rn���ry���r+���r�
��r����r7���r7���r8���� set_create$��s����

znftables.set_createc�����������������C���s*���d
ddt�|
d�i
i
}|��
||�j����
�d�S�)Nr}���r����ru���r����)r����r����rf���r����)rn���ry���r����r7���r7���r8����set_destroy(��s ����


� znftables.set_destroyc�����������������C���s
��|�j�j
�|
�
j�d
�
d��d�
}g�}|D�]�}|dkrd|�dddi
i
�

�|�dd |rVd ndd�i
�

�q(|d v�r�|�d|��|
�
|r�dndd�i
�

�q(|dkr�|�dd|r�dndi
i
�

�q(|dkr�|�dddi
i
�

�q(ttd|���
q(dt |�
dkr�d|i
n|d�|�
rdndd|
�d�i
S�)Nr�
��rB���r�
��r_
��r����r����r%
��r*����thra
��rm
��r,���)rG
��r�
��rZ
��r����r����Zifacer����r����r@
��z-Unsupported ipset type for match fragment: %sr)����concatr
���rL
��r/����
@r0���) rf���rX
��� get_ipsetr+���r8
��r5����_set_get_familyr���r���r����)rn���ry���Z match_destrT
���type_formatr6����formatr7���r7���r8���rN
��.��s*����





�

�




�znftables._set_match_fragmentc�������������� ���C���s8��|�j�j
�|
�
}|j�d
�
d��d�
}|�d�
}t|�
t|�
krHttd��
g�}t|�
D��
]�\}}|dk�
rz||�� d
�
} W�n$�t y�
�
�
�|�d�

�||�} Y�n,0�|�||�d�| ���

�||�| d�d���} z| � d�
} W�n�t y�
�
�
�|�| �

�Y�n(0�|�d| d�| ��| | d�d���gi
�

�qT|d v��rd||�v��
rP|�d||��d�
i
�

�n�z||�� d �
} W�nJ�t �
y�
�
�
�||�}d|jv��
r�|jd�dk�
r�t |�
}|�|�

�Y�n^0�||�d�| ��}d|jv��
r�|jd�dk�
r�t |�
}|�d |t||�| d�d����
d�i
�

�qT|�||��

�qTt|�
dk�r4d|i
g
S�|S�)Nr�
��rB���r�
��z+Number of values does not match ipset type.r_
��rj
���
-r]
��)rG
��r�
��r,
��rx���r�
��r����rI
��r�
��)rf���rX
��r�
��r+���r8
��r����r���r ���� enumerater����r����r5���r�
��r���r����)rn���ry����entry�objr�
��Zentry_tokens�fragmentr/
��r�
��r����Zport_strrJ
��r7���r7���r8����_set_entry_fragmentE��sP����




�









(











�
znftables._set_entry_fragmentc�������������� ���C���s0���g�}|���|
|�}|�
d
ddt|
|d�i
i
�

�|S�)Nrs���r2
��ru����rx���rt���ry����elem)r�
��r5���r����)rn���ry���r�
��r����r2
��r7���r7���r8����build_set_add_rulesy��s����





�znftables.build_set_add_rulesc�����������������C���s"���|���|
|�}|��
||�j����
�d�S�r����)r�
��r����rf���r����)rn���ry���r�
��r����r7���r7���r8����set_add���s����

znftables.set_addc�����������������C���s8���|���|
|�}d
ddt
|
|d�i
i
}|��||�j����
�d�S�)Nr}���r2
��ru���r�
��)r�
��r����r����rf���r����)rn���ry���r�
��r2
��r����r7���r7���r8���� set_delete���s����




� znftables.set_deletec�����������������C���s���d
ddt�|
d�i
i
g
S�)Nr����r����ru���r����)
r����)rn���ry���r7���r7���r8����build_set_flush_rules���s����


�znftables.build_set_flush_rulesc�����������������C���s ���|���|
�
}|��
||�j����
�d�S�r����)r�
��r����rf���r����)rn���ry���r����r7���r7���r8���� set_flush���s����

znftables.set_flushc�����������������C���sJ���|�j�j
�|
�
}|jd
krd}n(|jrBd|jv�rB|jd�dkrBd}nd}|S�)Nr�
��rF
��rx���r�
��rK
��rG
��)rf���rX
��r�
��r+���r�
��)rn���ry���rX
��rx���r7���r7���r8���r�
�����s����



�znftables._set_get_familyc����������� ������C���s����g�}|��|��
|
||��

�|��|��|
�
�

�d
}|D�]D}|��|��|
|��

�|d7�}|dkr0|��||�j����
�|���
�d
}q0|��||�j����
�d�S�)Nr
���rB���i���)r����r�
��r�
��r�
��r����rf���r�����clear) rn���Zset_name� type_name�entriesZcreate_optionsZ entry_optionsr�����chunkr�
��r7���r7���r8����set_restore���s����








znftables.set_restore)
N)
N)
r����)
F)
F)NN)NN)NN)NN)NN)
N)
N)
N)
F)
N)
N)
F)NN)K�__name__� __module__�__qualname__ry���Zpolicies_supportedrp���r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r
��r
��r
��r
��r����r$
��r
��r&
��r0
��r5
��r7
��r
��r
��r����r:
��r>
��r?
��rD
��r
��rV
��rY
��r\
��r`
��rh
��ri
��rl
��rn
��rp
��rq
��rr
��rs
��rt
��rx
��rz
��r�
��r�
��r�
��r�
��r�
��r�
��r�
��r�
��rN
��r�
��r�
��r�
��r�
��r�
��r�
��r�
��r�
��r7���r7���r7���r8���re�������s����

0,.e    C  �V c�� 2B   +    �� �� !  !�� + < +(   4 ��re���)
N)+r����r����rO
��Zfirewall.core.loggerr���Zfirewall.functionsr���r���r���r���r���Zfirewall.errorsr���r ���r ���r���r���r ���r���Zfirewall.core.richr���r���r���r���r���r���r���r���r���Zfirewall.core.baser���Znftables.nftablesr���r����r����r~���r
��r����r����r9���r�����objectre���r7���r7���r7���r8����<module>���s����


$,



�
 �


�� 
































�&

























��E