Fix VPN configuration
[chef.git] / cookbooks / networking / recipes / default.rb
1 #
2 # Cookbook Name:: networking
3 # Recipe:: default
4 #
5 # Copyright 2010, OpenStreetMap Foundation.
6 # Copyright 2009, Opscode, Inc.
7 #
8 # Licensed under the Apache License, Version 2.0 (the "License");
9 # you may not use this file except in compliance with the License.
10 # You may obtain a copy of the License at
11 #
12 #     http://www.apache.org/licenses/LICENSE-2.0
13 #
14 # Unless required by applicable law or agreed to in writing, software
15 # distributed under the License is distributed on an "AS IS" BASIS,
16 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
17 # See the License for the specific language governing permissions and
18 # limitations under the License.
19 #
20 # = Requires
21 # * node[:networking][:nameservers]
22
23 require "ipaddr"
24
25 node[:networking][:interfaces].each do |name, interface|
26   if interface[:role] && (role = node[:networking][:roles][interface[:role]])
27     if role[interface[:family]]
28       node.set[:networking][:interfaces][name][:prefix] = role[interface[:family]][:prefix]
29       node.set[:networking][:interfaces][name][:gateway] = role[interface[:family]][:gateway]
30     end
31
32     node.set[:networking][:interfaces][name][:metric] = role[:metric]
33     node.set[:networking][:interfaces][name][:zone] = role[:zone]
34   end
35
36   prefix = node[:networking][:interfaces][name][:prefix]
37
38   node.set[:networking][:interfaces][name][:netmask] = (~IPAddr.new(interface[:address]).mask(0)).mask(prefix)
39   node.set[:networking][:interfaces][name][:network] = IPAddr.new(interface[:address]).mask(prefix)
40 end
41
42 template "/etc/network/interfaces" do
43   source "interfaces.erb"
44   owner "root"
45   group "root"
46   mode 0644
47 end
48
49 execute "hostname" do
50   action :nothing
51   command "/bin/hostname -F /etc/hostname"
52 end
53
54 template "/etc/hostname" do
55   source "hostname.erb"
56   owner "root"
57   group "root"
58   mode 0644
59   notifies :run, "execute[hostname]"
60 end
61
62 template "/etc/hosts" do
63   source "hosts.erb"
64   owner "root"
65   group "root"
66   mode 0644
67 end
68
69 link "/etc/resolv.conf" do
70   action :delete
71   link_type :symbolic
72   to "/run/resolvconf/resolv.conf"
73   only_if { File.symlink?("/etc/resolv.conf") }
74 end
75
76 template "/etc/resolv.conf" do
77   source "resolv.conf.erb"
78   owner "root"
79   group "root"
80   mode 0644
81 end
82
83 node.interfaces(:role => :internal) do |interface|
84   if interface[:gateway] && interface[:gateway] != interface[:address]
85     search(:node, "networking_interfaces*address:#{interface[:gateway]}") do |gateway|
86       next unless gateway[:openvpn]
87
88       gateway[:openvpn][:tunnels].each_value do |tunnel|
89         if tunnel[:peer][:address] # ~FC023
90           route tunnel[:peer][:address] do
91             netmask "255.255.255.255"
92             gateway interface[:gateway]
93             device interface[:interface]
94           end
95         end
96
97         next unless tunnel[:peer][:networks]
98
99         tunnel[:peer][:networks].each do |network|
100           route network[:address] do
101             netmask network[:netmask]
102             gateway interface[:gateway]
103             device interface[:interface]
104           end
105         end
106       end
107     end
108   end
109 end
110
111 zones = {}
112
113 search(:node, "networking:interfaces").collect do |n|
114   next if n[:fqdn] == node[:fqdn]
115
116   n.interfaces.each do |interface|
117     next unless interface[:role] == "external" && interface[:zone]
118
119     zones[interface[:zone]] ||= {}
120     zones[interface[:zone]][interface[:family]] ||= []
121     zones[interface[:zone]][interface[:family]] << interface[:address]
122   end
123 end
124
125 package "shorewall"
126
127 service "shorewall" do
128   action [:enable, :start]
129   supports :restart => true
130   status_command "shorewall status"
131 end
132
133 template "/etc/default/shorewall" do
134   source "shorewall-default.erb"
135   owner "root"
136   group "root"
137   mode 0644
138   notifies :restart, "service[shorewall]"
139 end
140
141 template "/etc/shorewall/shorewall.conf" do
142   source "shorewall.conf.erb"
143   owner "root"
144   group "root"
145   mode 0644
146   notifies :restart, "service[shorewall]"
147 end
148
149 template "/etc/shorewall/zones" do
150   source "shorewall-zones.erb"
151   owner "root"
152   group "root"
153   mode 0644
154   variables :type => "ipv4"
155   notifies :restart, "service[shorewall]"
156 end
157
158 template "/etc/shorewall/interfaces" do
159   source "shorewall-interfaces.erb"
160   owner "root"
161   group "root"
162   mode 0644
163   notifies :restart, "service[shorewall]"
164 end
165
166 template "/etc/shorewall/hosts" do
167   source "shorewall-hosts.erb"
168   owner "root"
169   group "root"
170   mode 0644
171   variables :zones => zones
172   notifies :restart, "service[shorewall]"
173 end
174
175 template "/etc/shorewall/policy" do
176   source "shorewall-policy.erb"
177   owner "root"
178   group "root"
179   mode 0644
180   notifies :restart, "service[shorewall]"
181 end
182
183 template "/etc/shorewall/rules" do
184   source "shorewall-rules.erb"
185   owner "root"
186   group "root"
187   mode 0644
188   variables :rules => []
189   notifies :restart, "service[shorewall]"
190 end
191
192 template "/etc/logrotate.d/shorewall" do
193   source "logrotate.shorewall.erb"
194   owner "root"
195   group "root"
196   mode 0644
197   variables :name => "shorewall"
198 end
199
200 firewall_rule "limit-icmp-echo" do
201   action :accept
202   family :inet
203   source "net"
204   dest "fw"
205   proto "icmp"
206   dest_ports "echo-request"
207   rate_limit "s:1/sec:5"
208 end
209
210 %w(ucl ic bm aws).each do |zone|
211   firewall_rule "accept-openvpn-#{zone}" do
212     action :accept
213     family :inet
214     source zone
215     dest "fw"
216     proto "udp"
217     dest_ports "1194:1196"
218     source_ports "1194:1196"
219   end
220 end
221
222 if node[:roles].include?("gateway")
223   template "/etc/shorewall/masq" do
224     source "shorewall-masq.erb"
225     owner "root"
226     group "root"
227     mode 0644
228     notifies :restart, "service[shorewall]"
229   end
230 else
231   file "/etc/shorewall/masq" do
232     action :delete
233     notifies :restart, "service[shorewall]"
234   end
235 end
236
237 unless node.interfaces(:family => :inet6).empty?
238   package "shorewall6"
239
240   service "shorewall6" do
241     action [:enable, :start]
242     supports :restart => true
243     status_command "shorewall6 status"
244   end
245
246   template "/etc/default/shorewall6" do
247     source "shorewall-default.erb"
248     owner "root"
249     group "root"
250     mode 0644
251     notifies :restart, "service[shorewall6]"
252   end
253
254   template "/etc/shorewall6/shorewall6.conf" do
255     source "shorewall6.conf.erb"
256     owner "root"
257     group "root"
258     mode 0644
259     notifies :restart, "service[shorewall6]"
260   end
261
262   template "/etc/shorewall6/zones" do
263     source "shorewall-zones.erb"
264     owner "root"
265     group "root"
266     mode 0644
267     variables :type => "ipv6"
268     notifies :restart, "service[shorewall6]"
269   end
270
271   template "/etc/shorewall6/interfaces" do
272     source "shorewall6-interfaces.erb"
273     owner "root"
274     group "root"
275     mode 0644
276     notifies :restart, "service[shorewall6]"
277   end
278
279   template "/etc/shorewall6/hosts" do
280     source "shorewall6-hosts.erb"
281     owner "root"
282     group "root"
283     mode 0644
284     variables :zones => zones
285     notifies :restart, "service[shorewall6]"
286   end
287
288   template "/etc/shorewall6/policy" do
289     source "shorewall-policy.erb"
290     owner "root"
291     group "root"
292     mode 0644
293     notifies :restart, "service[shorewall6]"
294   end
295
296   template "/etc/shorewall6/rules" do
297     source "shorewall-rules.erb"
298     owner "root"
299     group "root"
300     mode 0644
301     variables :rules => []
302     notifies :restart, "service[shorewall6]"
303   end
304
305   template "/etc/logrotate.d/shorewall6" do
306     source "logrotate.shorewall.erb"
307     owner "root"
308     group "root"
309     mode 0644
310     variables :name => "shorewall6"
311   end
312
313   firewall_rule "limit-icmp6-echo" do
314     action :accept
315     family :inet6
316     source "net"
317     dest "fw"
318     proto "ipv6-icmp"
319     dest_ports "echo-request"
320     rate_limit "s:1/sec:5"
321   end
322 end
323
324 firewall_rule "accept-http" do
325   action :accept
326   source "net"
327   dest "fw"
328   proto "tcp:syn"
329   dest_ports "http"
330 end
331
332 firewall_rule "accept-https" do
333   action :accept
334   source "net"
335   dest "fw"
336   proto "tcp:syn"
337   dest_ports "https"
338 end