]> git.openstreetmap.org Git - chef.git/blob - cookbooks/networking/recipes/default.rb
04df2495f43b1847314a65ffe9d37927f90fcaad
[chef.git] / cookbooks / networking / recipes / default.rb
1 #
2 # Cookbook Name:: networking
3 # Recipe:: default
4 #
5 # Copyright 2010, OpenStreetMap Foundation.
6 # Copyright 2009, Opscode, Inc.
7 #
8 # Licensed under the Apache License, Version 2.0 (the "License");
9 # you may not use this file except in compliance with the License.
10 # You may obtain a copy of the License at
11 #
12 #     http://www.apache.org/licenses/LICENSE-2.0
13 #
14 # Unless required by applicable law or agreed to in writing, software
15 # distributed under the License is distributed on an "AS IS" BASIS,
16 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
17 # See the License for the specific language governing permissions and
18 # limitations under the License.
19 #
20 # = Requires
21 # * node[:networking][:nameservers]
22
23 require "ipaddr"
24
25 node[:networking][:interfaces].each do |name,interface|
26   if interface[:role] and role = node[:networking][:roles][interface[:role]]
27     if role[interface[:family]]
28       node.default[:networking][:interfaces][name][:prefix] = role[interface[:family]][:prefix]
29       node.default[:networking][:interfaces][name][:gateway] = role[interface[:family]][:gateway]
30     end
31
32     node.default[:networking][:interfaces][name][:metric] = role[:metric]
33     node.default[:networking][:interfaces][name][:zone] = role[:zone]
34   end
35
36   prefix = node[:networking][:interfaces][name][:prefix]
37
38   node.default[:networking][:interfaces][name][:netmask] = (~IPAddr.new(interface[:address]).mask(0)).mask(prefix)
39   node.default[:networking][:interfaces][name][:network] = IPAddr.new(interface[:address]).mask(prefix)
40 end
41
42 template "/etc/network/interfaces" do
43   source "interfaces.erb"
44   owner "root"
45   group "root"
46   mode 0644
47 end
48
49 execute "hostname" do
50   action :nothing
51   command "/bin/hostname -F /etc/hostname"
52 end
53
54 template "/etc/hostname" do
55   source "hostname.erb"
56   owner "root"
57   group "root"
58   mode 0644
59   notifies :run, "execute[hostname]"
60 end
61
62 template "/etc/hosts" do
63   source "hosts.erb"
64   owner "root"
65   group "root"
66   mode 0644
67 end
68
69 link "/etc/resolv.conf" do
70   action :delete
71   link_type :symbolic
72   to "/run/resolvconf/resolv.conf"
73   only_if { File.symlink?("/etc/resolv.conf") }
74 end
75
76 template "/etc/resolv.conf" do
77   source "resolv.conf.erb"
78   owner "root"
79   group "root"
80   mode 0644
81 end
82
83 node.interfaces(:role => :internal) do |interface|
84   if interface[:gateway] and interface[:gateway] != interface[:address]
85     search(:node, "networking_interfaces*address:#{interface[:gateway]}") do |gateway|
86       if gateway[:openvpn]
87         gateway[:openvpn][:tunnels].each_value do |tunnel|
88           if tunnel[:peer][:address]
89             route tunnel[:peer][:address] do
90               netmask "255.255.255.255"
91               gateway interface[:gateway]
92               device interface[:interface]
93             end
94           end
95
96           if tunnel[:peer][:networks]
97             tunnel[:peer][:networks].each do |network|
98               route network[:address] do
99                 netmask network[:netmask]
100                 gateway interface[:gateway]
101                 device interface[:interface]
102               end
103             end
104           end
105         end
106       end
107     end
108   end
109 end
110
111 zones = Hash.new
112
113 search(:node, "networking:interfaces").collect do |n|
114   if n[:fqdn] != node[:fqdn]
115     n.interfaces.each do |interface|
116       if interface[:role] == "external" and interface[:zone]
117         zones[interface[:zone]] ||= Hash.new
118         zones[interface[:zone]][interface[:family]] ||= Array.new
119         zones[interface[:zone]][interface[:family]] << interface[:address]
120       end
121     end
122   end
123 end
124
125 package "shorewall"
126
127 service "shorewall" do
128   action [ :enable, :start ]
129   supports :restart => true
130   status_command "shorewall status"
131 end
132
133 template "/etc/default/shorewall" do
134   source "shorewall-default.erb"
135   owner "root"
136   group "root"
137   mode 0644
138   notifies :restart, "service[shorewall]"
139 end
140
141 template "/etc/shorewall/shorewall.conf" do
142   source "shorewall.conf.erb"
143   owner "root"
144   group "root"
145   mode 0644
146   notifies :restart, "service[shorewall]"
147 end
148
149 template "/etc/shorewall/zones" do
150   source "shorewall-zones.erb"
151   owner "root"
152   group "root"
153   mode 0644
154   variables :type => "ipv4"
155   notifies :restart, "service[shorewall]"
156 end
157
158 template "/etc/shorewall/interfaces" do
159   source "shorewall-interfaces.erb"
160   owner "root"
161   group "root"
162   mode 0644
163   notifies :restart, "service[shorewall]"
164 end
165
166 template "/etc/shorewall/hosts" do
167   source "shorewall-hosts.erb"
168   owner "root"
169   group "root"
170   mode 0644
171   variables :zones => zones
172   notifies :restart, "service[shorewall]"
173 end
174
175 template "/etc/shorewall/policy" do
176   source "shorewall-policy.erb"
177   owner "root"
178   group "root"
179   mode 0644
180   notifies :restart, "service[shorewall]"
181 end
182
183 template "/etc/shorewall/rules" do
184   source "shorewall-rules.erb"
185   owner "root"
186   group "root"
187   mode 0644
188   variables :rules => []
189   notifies :restart, "service[shorewall]"
190 end
191
192 firewall_rule "limit-icmp-echo" do
193   action :accept
194   family :inet
195   source "net"
196   dest "fw"
197   proto "icmp"
198   dest_ports "echo-request"
199   rate_limit "s:1/sec:5"
200 end
201
202 [ "ucl", "ic", "bm" ].each do |zone|
203   firewall_rule "accept-openvpn-#{zone}" do
204     action :accept
205     family :inet
206     source zone
207     dest "fw"
208     proto "udp"
209     dest_ports "1194:1196"
210     source_ports "1194:1196"
211   end
212 end
213
214 if node[:roles].include?("gateway")
215   template "/etc/shorewall/masq" do
216     source "shorewall-masq.erb"
217     owner "root"
218     group "root"
219     mode 0644
220     notifies :restart, "service[shorewall]"
221   end
222 else
223   file "/etc/shorewall/masq" do
224     action :delete
225     notifies :restart, "service[shorewall]"
226   end
227 end
228
229 if not node.interfaces(:family => :inet6).empty?
230   package "shorewall6"
231
232   service "shorewall6" do
233     action [ :enable, :start ]
234     supports :restart => true
235     status_command "shorewall6 status"
236   end
237
238   template "/etc/default/shorewall6" do
239     source "shorewall-default.erb"
240     owner "root"
241     group "root"
242     mode 0644
243     notifies :restart, "service[shorewall6]"
244   end
245
246   template "/etc/shorewall6/shorewall6.conf" do
247     source "shorewall6.conf.erb"
248     owner "root"
249     group "root"
250     mode 0644
251     notifies :restart, "service[shorewall6]"
252   end
253
254   template "/etc/shorewall6/zones" do
255     source "shorewall-zones.erb"
256     owner "root"
257     group "root"
258     mode 0644
259     variables :type => "ipv6"
260     notifies :restart, "service[shorewall6]"
261   end
262
263   template "/etc/shorewall6/interfaces" do
264     source "shorewall6-interfaces.erb"
265     owner "root"
266     group "root"
267     mode 0644
268     notifies :restart, "service[shorewall6]"
269   end
270
271   template "/etc/shorewall6/hosts" do
272     source "shorewall6-hosts.erb"
273     owner "root"
274     group "root"
275     mode 0644
276     variables :zones => zones
277     notifies :restart, "service[shorewall6]"
278   end
279
280   template "/etc/shorewall6/policy" do
281     source "shorewall-policy.erb"
282     owner "root"
283     group "root"
284     mode 0644
285     notifies :restart, "service[shorewall6]"
286   end
287
288   template "/etc/shorewall6/rules" do
289     source "shorewall-rules.erb"
290     owner "root"
291     group "root"
292     mode 0644
293     variables :rules => []
294     notifies :restart, "service[shorewall6]"
295   end
296
297   firewall_rule "limit-icmp6-echo" do
298     action :accept
299     family :inet6
300     source "net"
301     dest "fw"
302     proto "ipv6-icmp"
303     dest_ports "echo-request"
304     rate_limit "s:1/sec:5"
305   end
306 end
307
308 firewall_rule "accept-http" do
309   action :accept
310   source "net"
311   dest "fw"
312   proto "tcp:syn"
313   dest_ports "http"
314 end
315
316 firewall_rule "accept-https" do
317   action :accept
318   source "net"
319   dest "fw"
320   proto "tcp:syn"
321   dest_ports "https"
322 end