관리-도구

편집 파일: policy.cpython-39.pyc

�������g�����������������������@���s��g�d��Z�ddlmZ�ddlZddlZddlZddlmZ�ddlm	Z	m
Z
mZmZm
Z
mZmZmZ�ddlmZmZmZ�ddlmZmZmZmZmZmZ�ddlmZ�ddlmZ�dd	lm Z �dd
l!m"Z"�dd��Z#d
d��Z$dd��Z%dd��Z&G�dd��de�Z'G�dd��de�Z(ddd�Z)ddd�Z*dS�))�Policy�
policy_reader�
policy_writer�����N)�config)�checkIP�checkIP6�checkUINT16�coalescePortRange�max_policy_name_len�portInPortRange�portStr�uniqify)�DEFAULT_POLICY_TARGET�POLICY_TARGETS�DEFAULT_POLICY_PRIORITY)�	IO_Object�IO_Object_ContentHandler�IO_Object_XMLGenerator�
check_port�check_tcpudp�check_protocol)�rich)�log)�errors)�
FirewallErrorc��������������	������s���|dkr�n�|dkr�n�|dkr�|�j�r`|�j�jrJt�dt|�j����d|�_dS�t���d��|�j�_dS���d�|�jj	vr�|�jj	�
��d���nt�d��d����n<|dk�r|�j�r�|�j�jr�t�dt|�j����d|�_dS�t���d���d	��|�j�_dS�t��d���t
��d	���t��d�d
���d	�f}tt��fdd�|�jj��}|D�]b}t|d
�|d
���r4t|�jt��rb|�jjn|�jj}t�ttjd|d
���d	�|f������qԐq4t|d
�dd��|D���\}}|D�]&}	t|	d
���d	�f}
|�jj�|
���q�|D�]&}	t|	d
���d	�f}
|�jj�
|
���q�	n�|d	k�r�|�j��r\|�j�j�rHt�dt|�j����d|�_dS�t���d��|�j�_nBt��d�����d�|�jjv�r�|�jj�
��d���nt�d��d����	n2|dk�r<|�j��r|�j�j�r�t�dt|�j����d|�_dS�d}d��v��r���d�dv�r���d�}t�|�|�j�_n*d}d��v��r,d��d���d�}t�d|���n�|dk�r�|�j��r�|�j�j�rtt�dt|�j����d|�_dS�t� ��d��|�j�_dS���d�|�jj!v�r�|�jj!�
��d���nt�d��d����n|dk�r&|�j��r|�j�j�r�t�dt|�j����d|�_dS�t�"��d��|�j�_dS�t�d��d����n�|dk�r�|�j��rl|�j�j�r^t�dt|�j����d|�_dS�t�#��|�j�_n|�jj$�r�t�d��nd|�j_$�nF|d k�r�d}
d!��v��r���d!�}
d}d"��v��rĈ�d"�}|�j��r|�j�j�r�t�dt|�j����d|�_dS�t�%��d���d	�|
|�|�j�_dS�t��d���t
��d	���|
�r8t|
��|�rbt&|��sbt'|��sbttj(d#|���t��d�d
���d	�t|
d
�t|�f}
|
|�jj)v�r�|�jj)�
|
��n6t�d$��d���d	�|
�r�d%|
�nd|�r�d&|�nd���n�|d'k�rZ|�j��r2|�j�j�rt�dt|�j����d|�_dS�t�*��d���d	��|�j�_dS�t��d���t
��d	���t��d�d
���d	�f}tt��fd(d�|�jj+��}|D�]b}t|d
�|d
���r~t|�jt��r�|�jjn|�jj}t�ttjd|d
���d	�|f������qԐq~t|d
�d)d��|D���\}}|D�]&}	t|	d
���d	�f}
|�jj+�|
���q|D�]&}	t|	d
���d	�f}
|�jj+�
|
���q.�nz|d*k�r|�j��s�t�d+��d|�_dS�|�j�j,�r�t�d,t|�j����dS�d-}d�}d.��v��r���d.�}d�}d/��v��rЈ�d/�}d0��v��r��d0��-��d1v��r�d}t�.|||�|�j�_,�n�|d2v��r�|�j��s,t�d3��d|�_dS�|�j�j/�rJt�d4��d|�_dS�|d5k�rbt�0��|�j�_/nh|d6k�r�d�}d7��v��r���d7�}t�1|�|�j�_/n8|d8k�r�t�2��|�j�_/n |d9k�rʈ�d:�}t�3|�|�j�_/|�j�j/|�_4�n�|d;k�	r�|�j��s�t�d<��dS�|�j�j�	rt�d=��dS�d�}d>��v��	rD��d>�}|d?v�	rDt�d@��d|�_dS�d�}dA��v��	r���dA�}|�	rnt5|�dBk�	r�t�dC��d|�_dS�t�6||�|�j�_|�j�j|�_4�n4|dDk�
r�|�j��	s�t�d<��dS�|�j�j�	r�t�d=��dS�d�}dE��v��
r��dE�}t7|��
st�dF��d|�_dS�d�}dA��v��
rJ��dA�}|�
r6t5|�dBk�
rJt�dG��d|�_dS�d�}dH��v��
r~��dH�}t7|��
s~t�dI��d|�_dS�t�8|||�|�j�_|�j�j|�_4�n6|dJk�
r�|�j��
s�t�dK��dS�|�j�j9�
r�t�dLt|�j����d|�_dS�t�:��|�j�_9|�j�j9|�_4n�|dMk�rld�}d
}dN��v��rD��dN�}|dOv�rDt�dP��dN���d|�_dS�dQ��v��rZt;��dQ��}tj<||dR�|�_�nh|dSk�r�|�j4�s�t�dT��d|�_dS�|�j4j=�r�t�dUt|�j����d|�_dS���d�}t�>|�|�j4_=nd-S�dS�)VN�short�description�servicez;Invalid rule: More than one element in rule '%s', ignoring.T�namez#Service '%s' already set, ignoring.�port�protocol�-c��������������������s���|�d���d�kS��N����r �������x��attrsr$����;/usr/lib/python3.9/site-packages/firewall/core/io/policy.py�<lambda>E��������z%common_startElement.<locals>.<lambda>r���z'%s:%s' already in '%s'c�����������������S���s���g�|�]\}}|�qS�r$���r$�����.0Z_portZ	_protocolr$���r$���r)����
<listcomp>O���r+���z'common_startElement.<locals>.<listcomp>�valuez$Protocol '%s' already set, ignoring.�
tcp-mss-clamp�pmtu)N�None��z	 (value='z)'z-Invalid rule: tcp-mss-clamp%s outside of rule�
icmp-blockz&icmp-block '%s' already set, ignoring.�	icmp-typez-Invalid rule: icmp-block '%s' outside of rule�
masqueradez!Masquerade already set, ignoring.�forward-port�to-port�to-addrz#to-addr '%s' is not a valid addressz-Forward port %s/%s%s%s already set, ignoring.z >%sz @%s�source-portc��������������������s���|�d���d�kS�r"���r$���r%���r'���r$���r)���r*�������r+���c�����������������S���s���g�|�]\}}|�qS�r$���r$���r,���r$���r$���r)���r.�������r+����destinationz)Invalid rule: Destination outside of rulez?Invalid rule: More than one destination in rule '%s', ignoring.F�address�ipset�invert�Zyes�true)�accept�reject�drop�markz$Invalid rule: Action outside of rulez"Invalid rule: More than one actionrA���rB����typerC���rD����setr���z!Invalid rule: Log outside of rulezInvalid rule: More than one log�level)ZemergZalertZcrit�error�warningZnotice�info�debugzInvalid rule: Invalid log level�prefix����z Invalid rule: Invalid log prefix�nflog�groupz'Invalid rule: Invalid nflog group valuez"Invalid rule: Invalid nflog prefix�
queue-sizez&Invalid rule: Invalid nflog queue-size�auditz#Invalid rule: Audit outside of rulez9Invalid rule: More than one audit in rule '%s', ignoring.�rule�family)Zipv4Zipv6z&Invalid rule: Rule family "%s" invalid�priority)rS���rT����limitz4Invalid rule: Limit outside of action, log and auditz9Invalid rule: More than one limit in rule '%s', ignoring.)?�_rule�elementr���rI����str�_rule_errorr����Rich_Service�item�services�append�	Rich_Portr���r���r����list�filter�portsr����
isinstancer����derived_from_zoner���r���r���ZALREADY_ENABLEDr	����remove�
Rich_Protocolr����	protocols�Rich_Tcp_Mss_Clamp�Rich_IcmpBlock�icmp_blocks�
Rich_IcmpType�Rich_Masquerader6����Rich_ForwardPortr���r����INVALID_ADDR�
forward_ports�Rich_SourcePort�source_portsr;����lowerZRich_Destination�action�Rich_Accept�Rich_Reject�	Rich_Drop�	Rich_Mark�	_limit_ok�len�Rich_Logr���Z
Rich_NFLogrQ���Z
Rich_Audit�int�	Rich_RulerU���Z
Rich_Limit)�objr���r(���Znew_port_idZexisting_port_idsZport_id�_nameZadded_rangesZremoved_rangesZ_range�entry�_value�s�to_portZto_addrr>���r<���r=���Z_typeZ_setrG���rL���rO����	thresholdrS���rT���r/���r$���r'���r)����common_startElement!���s������
�
�
�

��

�

��

�

�
�����

�
�
�

�

��

�

�r����c��������������
���C���s����|dkr�|�j�s�z|�j����W�n8�tyT�}�z t�d|t|�j���W�Y�d�}~nTd�}~0�0�t|�j�|�jjvr�|�jj	�
|�j��|�jj�
t|�j���nt�dt|�j���d�|�_d|�_�n|dv�r�d�|�_d�S�)NrR���z%s: %sz Rule '%s' already set, ignoring.F)rA���rB���rC���rD���r���rQ���)rY���rV����check�	Exceptionr���rI���rX���r[����	rules_str�rulesr]���rw���)r|���r����er$���r$���r)����common_endElement|��s ����*�r����c��������������	���C���s���t�|�t�rdnd}|dkrXd|v�rX|d�}|D�]$}||vr.ttjd�||�j|���q.�nJ|dkr�|D�]}t|d���t|d���qd�n|dkr�|D�]}	t	|	��q��n�|d	k�rd
|v��r|d
�}
|D�]T}||
vr�ttj
d�||�j|��}||�di���d
i��v��rt�
d�|���q�|�qĐn�|dk�r�|D�]�}
t|
d���t|
d���|
d��st|
d��stttjd�||�j|
���|
d��r�t|
d���|
d��r,t|
d���s,t|
d���s,ttjd�||�j|
d�����q,�n�|dk�r|D�]}t|d���t|d����q�n�|dv��r�|D��]�}tj|d�}|j�r`d
|v��r`t�|jtj��sXt�|jtj��r`|d
�}
|jj|
v�r�ttj
d�||�j|jj��}|jj|�di���d
i��v��r�t�
d�|���n|�n�|j�r�|d
�|jj�}|j�r�|j|jv�r�ttj
d�||�j|j|jj��}|�di���d
i���|jj�}|�rZ|j�rZ|j|jv��rZt�
d�|���n|�n>t�|jtj��r|jj|d�v�rttjd�||�j|jj����qd�S�)Nr���ZZoner\���z){} '{}': '{}' not among existing servicesra���r���r#���rf���ri���Z	icmptypesz+{} '{}': '{}' not among existing ICMP typesZruntimeZicmptypes_unsupportedz{} (unsupported)rn�����������z-{} '{}': '{}' is missing to-port AND to-addr z,{} '{}': to-addr '{}' is not a valid addressrp���)r�����
rich_rules�Zrule_strz<{} '{}': rich rule family '{}' conflicts with icmp type '{}')rb���r���r���r���ZINVALID_SERVICE�formatr���r���r���r���ZINVALID_ICMPTYPE�getr���Zdebug1�INVALID_FORWARDr���r���rm���r���r{���rW���rh���rj���rS���r;���rZ���)r|���r���r[����
all_config�all_io_objectsZobj_typeZexisting_servicesr���r����protoZexisting_icmptypesZicmptype�ex�fwd_portrR���Zobj_richZictZict_unsupportedr$���r$���r)����common_check_config���s�������
��

��

������
���r����c�����������������C���s���|�j�rF|�j�dkrF|�d��|�di���|�|�j���|�d��|�d��|�jr�|�jdkr�|�d��|�di���|�|�j��|�d��|�d��t|�j�D�](}|�d��|�dd|i��|�d��q�t|�j	�D�]2}|�d��|�d|d	�|d
�d���|�d��q�t|�j
�D�]*}|�d��|�dd
|i��|�d���qt|�j�D�]*}|�d��|�dd|i��|�d���q>|�j�r�|�d��|�di���|�d��t|�j
�D�]�}|�d��|d	�|d
�d�}|d��r�|d�dk�r�|d�|d<�|d��r|d�dk�r|d�|d<�|�d|��|�d���q�t|�j�D�]4}|�d��|�d|d	�|d
�d���|�d���q(|�jD��]n}i�}|j�r�|j|d<�|jd	k�r�t|j�|d<�|�d��|�d|��|�d��|j�r:i�}|jj�r�|jj|d<�|jj�r�|jj|d<�|jj�r|jj|d<�|jj�rd|d<�|�d��|�d|��|�d��|j�r�i�}|jj�r\|jj|d<�|jj�rr|jj|d<�|jj�r�d|d<�|�d��|�d |��|�d��|j�r�d}	i�}t|j�tjk�r�d}	|jj|d<��n�t|j�tjk�rd}	|jj|d<�|jj |d<��nnt|j�tj!k�r2d}	|jj"|d
<��nHt|j�tj#k�rpd!}	|jj"�rz|jj"d"k�rz|jj"|d
<��n
t|j�tj$k�r�d}	n�t|j�tj%k�r�d}	|jj|d<�n�t|j�tj&k�r�d#}	|jj|d<�n�t|j�tj'k�r4d}	|jj|d<�|jj |d<�|jj(dk�r|jj(|d<�|jj)dk�rz|jj)|d<�nFt|j�tj*k�rdd}	|jj|d<�|jj |d<�nt+t,j-d$t|j����|�d��|�|	|��|�d��|j.�rt|j.�tj/k�r\i�}|j.j0�r�|j.j0|d%<�|j.j1�r�|j.j1|d&<�|j.j2�r:|�d��|�d'|��|�d(��|�d)d
|j.j2j"i��|�d*��|�d'��n|�d��|�d'|��|�d��n�i�}|j.j3�rv|j.j3|d+<�|j.j0�r�|j.j0|d%<�|j.j4�r�|j.j4|d,<�|j.j2�r�|�d��|�d-|��|�d(��|�d)d
|j.j2j"i��|�d*��|�d-��n|�d��|�d-|��|�d��|j5�r�i�}|j5j2�rz|�d��|�d.i���|�d(��|�d)d
|j5j2j"i��|�d*��|�d.��n|�d��|�d.|��|�d��|j6�r�d}
i�}t|j6�tj7k�r�d/}
n|t|j6�tj8k�r�d0}
|j6j�r>|j6j|d1<�nNt|j6�tj9k�rd2}
n6t|j6�tj:k�r,d3}
|j6j;|d4<�nt.�<d5t|j6���|j6j2�r�|�d��|�|
|��|�d(��|�d)d
|j6j2j"i��|�d*��|�|
��n|�d��|�|
|��|�d��|�d��|�d��|�d���qdd�S�)6Nr3����  r����
r���r���r���r���r���r#���)r���r ���r ���r/���r4���r6���r����r8���r����r9���r7���r:���rS���rT���rR���r<����macr=����Truer>���z    �sourcer;���r0���r1���r5���z"Unknown element '%s' in obj_writerrL���rG���r���z
      rU���z
    rO���rP���rN���rQ���rA���rB���rE���rC���rD���rF���zUnknown action '%s')=r����ignorableWhitespace�startElementZ
characters�
endElementr���r
���r\����
simpleElementra���rf���ri���r6���rn���rp���r����rS���rT���rX���r�����addrr����r=���r>���r;���rW���rE���r���rZ���r���r^���r���r ���re���r/���rg���rk���rh���rj���rl���r�����
to_addressro���r���r���ZINVALID_OBJECTr���ry���rL���rG���rU���rO���r����rQ���rr���rs���rt���ru���rv���rF���rI���)r|����handlerr���r���r ���ZicmpZforwardr(���rR���rW���rr���r$���r$���r)����
common_writer���s����

�

r����c�����������������������sN��e�Zd�ZdZdZeZdgZdddddd	gfd
dgfdd	gfd
ddgfdd	gfdd	gfddgfddd	gfdd	gffZg�d�Z	dddgdgddgdgdgdddgddddgddgdddddddgdgdgdgd�Z
dd gd!d"gd#d gg�d$�g�d%�d&d'gg�d(�d)gdgd*�	Z��fd+d,�Zd-d.��Z
��fd/d0�Z��fd1d2�Zd3d4��Z��fd5d6�Z���ZS�)7r���i����i���r���)�versionr3���)r���r3���)r���r3���)�targetr3���r\���r3���ra���)r3���r3���ri���)r6���Frn���)r3���r3���r3���r3���r����rf���rp���)rT���r����
ingress_zones�egress_zones)�_r!����/Nr����r���r���r ���r/���rF���)r���r����policyr���r���r4���r5���r6���r7���rR���r����r;���r ���r:���r���rN���rQ���rA���rB���rC���rD���rU����ingress-zone�egress-zoner����rT���r8���r9���rS���)r<���r����r>���rS���r=���)r<���r>���r=���rL���rG���)rO���rL���rP���rE���)	r����r7���rR���r����r;���r���rN���rB���r0���c��������������������s����t�t|������d|�_d|�_d|�_t|�_g�|�_g�|�_	g�|�_
g�|�_d|�_d|�_
g�|�_g�|�_g�|�_g�|�_d|�_|�j|�_d�|�_g�|�_g�|�_d�S��Nr3���F)�superr����__init__r����r���r���r���r����r\���ra���rf���ri����icmp_block_inversionr6���rn���rp���r����r�����applied�priority_defaultrT���rc���r����r������self��	__class__r$���r)���r������s(����zPolicy.__init__c�����������������C���s����d|�_�d|�_d|�_t|�_|�jd�d��=�|�jd�d��=�|�jd�d��=�|�jd�d��=�d|�_	d|�_
|�jd�d��=�|�jd�d��=�|�j
d�d��=�|�jd�d��=�d|�_|�j|�_|�jd�d��=�|�jd�d��=�d�S�r����)r����r���r���r���r����r\���ra���rf���ri���r����r6���rn���rp���r����r����r����r����rT���r����r����r����r$���r$���r)����cleanup-��s$����zPolicy.cleanupc��������������������s"���|dkr|�j�S�ttt|��|�S�d�S�)Nr����)r�����getattrr����r����r����r���r����r$���r)����__getattr__A��s����zPolicy.__getattr__c��������������������sB���|dkr,dd��|D��|�_�dd��|�j�D��|�_ntt|���||��d�S�)Nr����c�����������������S���s���g�|�]}t�j|d���qS�)r����)r���r{����r-���r����r$���r$���r)���r.���I��r+���z&Policy.__setattr__.<locals>.<listcomp>c�����������������S���s���g�|�]}t�|��qS�r$���)rX���r����r$���r$���r)���r.���K��r+���)r����r����r����r����__setattr__)r����r���r/���r����r$���r)���r����G��s����zPolicy.__setattr__c�����������
���	���C���s���t�|�||||��|�j|d�v�r2ttjd�|�j���|dkr\|tvrXttjd�|�j|����n�|dkr�||�jv�s�||�j	ks�||�j
k�r�ttjd�|�j||�j
|�j	|�j����nH|dv��r�dd	gt|d��
����}|D�]�}||vr�ttjd
�|�j|���|dv�rtdd	g�t|�@��s.|dv��rDt|�t|g���rDttjd�|�j|���|d	kr�|d
k�rnd|v��rnd	|d�v��s�|dkr�d
|v�r�d	|d
�v�r�ttjd�|�j���qΐnL|dk�r�|�r�d|v��r�d	|d�v��r�ttjd�|�j���n�d
|v��r�d	|d
�v��rttjd�|�j���|d
�D�]r}|dk�r(�q||d�v�rLttjd�|�j|���|d��d�dk�r|d�|�j�rttjd�|�j|����q�nb|dk�r|D��]p}tj|d�}|j�r�t|jtj��r�d|v��r�d	|d�v��r�ttjd�|�j���n�d
|v��rd	|d
�v��r ttjd�|�j���|d
�D�]r}|dk�r:�q(||d�v�r^ttjd�|�j|���|d��d�dk�r(|d�|�j�r(ttjd�|�j|����q(�q�|j�r�t|jtj��r�d|v��rd	|d�v��r�|jj�r�ttjd�|�j���n�|d��r|jj�sttjd�|�j���d|d�v�r|d�D�]P}||d�v�rVttjd�|�j|���|d�|�j�r.ttjd�|�j|����q.n�|j�r�t|jtj��r�d|v��r�|d�D�]^}|dv��r��q�||d�v�r�ttjd�|�j|���|d�|�j�r�ttjd�|�j|����q��q�n�|dk�r�|D�]�}	d|v��r d	|d�v��r\|	d��r�ttjd�|�j���n�|d��r |	d��s�ttjd�|�j���d|d�v�r |d�D�]P}||d�v�r�ttjd�|�j|���|d�|�j�r�ttjd�|�j|����q��q d�S�) NZzonesz0Policy '{}': Can't have the same name as a zone.r����z#Policy '{}': '{}' is invalid targetrT���z^Policy '{}': {} is invalid priority. Must be in range [{}, {}]. The following are reserved: {})r����r�����ANY�HOSTz*Policy '{}': '{}' not among existing zones)r����r����zKPolicy '{}': '{}' may only contain one of: many regular zones, ANY, or HOSTr����r����zSPolicy '{}': 'HOST' can only appear in either ingress or egress zones, but not bothr6���z;Policy '{}': 'masquerade' is invalid for egress zone 'HOST'z<Policy '{}': 'masquerade' is invalid for ingress zone 'HOST'z&Policy '{}': Zone '{}' does not exist.ZconfZFirewallBackendZnftablesz\Policy '{}': 'masquerade' cannot be used because ingress zone '{}' has assigned interfaces. r����r����zNPolicy '{}': A 'forward-port' with 'to-addr' is invalid for egress zone 'HOST'zPPolicy '{}': 'forward-port' requires 'to-addr' if egress zone is 'ANY' or a zonez[Policy '{}': 'forward-port' cannot be used because egress zone '{}' has assigned interfaceszZPolicy '{}': 'mark' action cannot be used because egress zone '{}' has assigned interfacesrn���r����)r����r���r���r���Z
NAME_CONFLICTr����r����INVALID_TARGET�priority_reserved�priority_max�priority_minZINVALID_PRIORITYr_����keysZINVALID_ZONErF���r����Z
interfacesr���r{���rW���rb���rk���rl���r����r����rr���rv���)
r����r���r[���r����r����Zexisting_zones�zonerR���r|���r����r$���r$���r)����
_check_configO��s:���
����
�� ������
���
���
��
��
�

��
��
�

��

��zPolicy._check_configc��������������������s����t�t|���|��|�d�r.ttjd�|���n�|�d�rLttjd�|���nl|�	d�dkrnttjd�|���nJd|v�r�|d�|�
d���}n|}t|�t��kr�ttjd�|t|�t�����d�S�)Nr����z&Policy '{}': name can't start with '/'z$Policy '{}': name can't end with '/'r#���z'Policy '{}': name has more than one '/'z)Policy '{}': name has {} chars, max is {})
r����r����
check_name�
startswithr���r����INVALID_NAMEr�����endswith�count�findrx���r
���)r����r���Zchecked_namer����r$���r)���r�������s,����
�
����zPolicy.check_name)�__name__�
__module__�__qualname__r����r����r���r����r����ZIMPORT_EXPORT_STRUCTUREZADDITIONAL_ALNUM_CHARSZPARSER_REQUIRED_ELEMENT_ATTRSZPARSER_OPTIONAL_ELEMENT_ATTRSr����r����r����r����r����r�����
__classcell__r$���r$���r����r)���r������s|������xr���c�������������������@���s$���e�Zd�Zdd��Zdd��Zdd��ZdS�)�policy_ContentHandlerc�����������������C���s"���t��|�|��d�|�_d|�_d�|�_d�S�)NF)r���r����rV���rY���rw���)r����r[���r$���r$���r)���r�������s����zpolicy_ContentHandler.__init__c�����������������C���s���t��|�||��|�jrd�S�|�j�||��t|�||�r6d�S�|dkr�d|v�rR|d�|�j_d|v�rjt|d��|�j_d|v�r�|d�}|t	vr�t
tj|��|r�||�j_
�n^|dkr�|d�|�jjvr�|�jj�|d���nt�d|d����n|dk�r |d�|�jjv�r|�jj�|d���nt�d	|d���n�|d
k�r�|�j�sFt�d��d|�_d�S�|�jj�rlt�d
t|�j���d|�_d�S�d}d|v��r�|d����dv��r�d}d��}�}}d|v��r�|d�}d|v��r�|d�}d|v��r�|d�}tj||||d�|�j_d�S�t�d|��d�S�d�S�)Nr����r����rT���r����r����r���z(Ingress zone '%s' already set, ignoring.r����z'Egress zone '%s' already set, ignoring.r����z$Invalid rule: Source outside of ruleTz:Invalid rule: More than one source in rule '%s', ignoring.Fr>���r?���r<���r����r=���)r>���zUnknown XML element '%s')r���r����rY���r[���Zparser_check_element_attrsr����r����rz���rT���r���r���r���r����r����r����r]���r���rI���r����rV���r����rX���rq���r���ZRich_Source)r����r���r(���r����r>���r����r����r=���r$���r$���r)���r�������sl����

�
�

�
z"policy_ContentHandler.startElementc�����������������C���s���t��|�|��t|�|��d�S�)N)r���r����r����r����r$���r$���r)���r����%��s����z policy_ContentHandler.endElementN)r����r����r����r����r����r����r$���r$���r$���r)���r�������s���@r����Fc�����������
������C���s ��t���}|��d�s ttjd|����|�d�d��|_|s>|�|j��|�|_||_|�	t
j�rZdnd|_|j|_
t|�}t���}|�|��d||�f�}t|d��n}t�d��}|�|��z|�|��W�n:�tjy��}	�z ttjd|	������W�Y�d�}	~	n
d�}	~	0�0�W�d�����n1��s0����Y��~~|S�)	Nz.xmlz'%s' is missing .xml suffix���FT�%s/%s�rbznot a valid policy file: %s)r���r����r���r���r����r���r�����filename�pathr����r����
ETC_FIREWALLDZbuiltin�defaultr�����saxZmake_parserZsetContentHandler�openZInputSourceZ
setByteStream�parseZSAXParseExceptionZINVALID_POLICYZgetException)
r����r����Z
no_check_namer����r�����parserr����fr�����msgr$���r$���r)���r���*��s<����
�

��:r���c�����������
���
���C���s���|r|n|�j�}|�jr$d||�jf�}nd||�jf�}tj��|�r�zt�|d|���W�n2�ty��}�zt�	d||��W�Y�d�}~n
d�}~0�0�tj��
|�}|�tj
�r�tj��|�s�tj��tj
�s�t�tj
d��t�|d��tj|ddd�}t|�}|����i�}|�j�r|�jd	k�r|�j|d
<�|�j|�jk�r0t|�j�|d<�|�j|d<�|�d
|��|�d��t|�|��t|�j�D�]*}	|�d��|�dd|	i��|�d���qdt|�j�D�]*}	|�d��|�dd|	i��|�d���q�|�d
��|�d��|� ���|�!���~d�S�)Nr����z	%s/%s.xmlz%s.oldzBackup of file '%s' failed: %si���ZwtzUTF-8)�mode�encodingr3���r����rT���r����r����r����r����r����r���r����)"r����r����r����os�exists�shutil�copy2r����r���rH����dirnamer����r���r�����mkdir�ior����r���Z
startDocumentr����rT���r����rX���r����r����r����r����r
���r����r����r����r����ZendDocument�close)
r����r�����_pathr���r�����dirpathr����r����r(���r����r$���r$���r)���r���G��sN����$

r���)F)N)+�__all__Zxml.saxr����r����r����r����Zfirewallr���Zfirewall.functionsr���r���r���r	���r
���r���r���r
���Zfirewall.core.baser���r���r���Zfirewall.core.io.io_objectr���r���r���r���r���r���Z
firewall.corer���Zfirewall.core.loggerr���r���Zfirewall.errorsr���r����r����r����r����r���r����r���r���r$���r$���r$���r)����<module>���s2���(
 ��]T�w��L