edgeguard-native

projekte/edgeguard-native

Fork 0

Commit Graph

Author	SHA1	Message	Date
Debian	1b2c0d7411	feat(fw): Renderer-Rewrite + auto-apply + Anti-Lockout internal/firewall/firewall.go komplett neu: joint zone-iface-mapping (network_interfaces.role), address objects + groups (members expandiert), services + groups, rules, nat-rules. Output: einheitliche View mit Legs (rule × service cross-product) damit das Template kein sub-template/dict braucht. Template: * Anti-Lockout-Block am input-chain-Top (SSH+443 immer erlaubt, KANN nicht von Custom-Rules overruled werden — User-Wunsch). * Rules: pro Leg eine nft-Zeile mit iif/oif sets, ip saddr/daddr, proto+dport, optional log-prefix. * prerouting_nat: iteriert dnat-Rules. * postrouting_nat: snat + masquerade. Auto-apply: FirewallHandler bekommt einen Reloader-Hook der nach jedem POST/PUT/DELETE aufgerufen wird. main.go injected firewall.New(pool).Render — schreibt + sudo nft -f. Sudoers (/etc/sudoers.d/edgeguard): NOPASSWD für 'nft -f /etc/edgeguard/nftables.d/ruleset.nft'. configgen.ReloadService nutzt jetzt sudo (haproxy reload klappte vorher nicht aus dem edgeguard-User). Frontend (Sweep): style={{ marginBottom: 16 }} → className="mb-16" in allen 7 Firewall-Tabs — User-Feedback "globales CSS statt inline". Live auf 89.163.205.6: nft list table inet edgeguard zeigt Anti-Lockout + Baseline + Cluster-Peer-Set + (jetzt noch leere) Custom-Rules-Sektion. render-config postinst-mäßig sauber. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-10 13:34:06 +02:00
Debian	c9dd0b4cb1	feat(fw): /api/v1/firewall/* CRUD-Handler für alle 6 Entities internal/handlers/firewall.go: ein FirewallHandler-Struct hält alle 6 Repos + Audit-Ref. Register(authed) mountet 30 Endpoints unter /api/v1/firewall/{address-objects,address-groups,services, service-groups,rules,nat-rules}. Validation: * Address-Objects: kind=host → ParseIP, network → ParseCIDR, range → "IP-IP", fqdn → looksLikeFQDN. * Rules: src/dst max one of (object_id\|group_id\|cidr); 0 = "any". service max one of (object\|group). CIDR-Werte werden geparsed. * NAT: kind-spezifische Pflichtfelder. dnat braucht target_addr + match_dport_start. snat braucht target_addr. masquerade verbietet target_addr (Iface-IP gewinnt). * Services: builtin-Rows können nicht editiert/gelöscht werden (Repo-Layer enforced). Audit-Log pro Mutation. NoContent für DELETE. Wiring in cmd/edgeguard-api/main.go: 6 Repos + ein NewFirewallHandler(...).Register(authed). Renderer (nft aus allen Joins) + Frontend folgen in den nächsten Commits. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-10 11:38:37 +02:00

Author

SHA1

Message

Date

Debian

1b2c0d7411

feat(fw): Renderer-Rewrite + auto-apply + Anti-Lockout

internal/firewall/firewall.go komplett neu: joint zone-iface-mapping
(network_interfaces.role), address objects + groups (members
expandiert), services + groups, rules, nat-rules. Output: einheitliche
View mit Legs (rule × service cross-product) damit das Template kein
sub-template/dict braucht.

Template:
* Anti-Lockout-Block am input-chain-Top (SSH+443 immer erlaubt,
  KANN nicht von Custom-Rules overruled werden — User-Wunsch).
* Rules: pro Leg eine nft-Zeile mit iif/oif sets, ip saddr/daddr,
  proto+dport, optional log-prefix.
* prerouting_nat: iteriert dnat-Rules.
* postrouting_nat: snat + masquerade.

Auto-apply: FirewallHandler bekommt einen Reloader-Hook der nach
jedem POST/PUT/DELETE aufgerufen wird. main.go injected
firewall.New(pool).Render — schreibt + sudo nft -f.

Sudoers (/etc/sudoers.d/edgeguard): NOPASSWD für 'nft -f
/etc/edgeguard/nftables.d/ruleset.nft'. configgen.ReloadService
nutzt jetzt sudo (haproxy reload klappte vorher nicht aus dem
edgeguard-User).

Frontend (Sweep): style={{ marginBottom: 16 }} → className="mb-16"
in allen 7 Firewall-Tabs — User-Feedback "globales CSS statt inline".

Live auf 89.163.205.6: nft list table inet edgeguard zeigt
Anti-Lockout + Baseline + Cluster-Peer-Set + (jetzt noch leere)
Custom-Rules-Sektion. render-config postinst-mäßig sauber.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-10 13:34:06 +02:00

Debian

c9dd0b4cb1

feat(fw): /api/v1/firewall/* CRUD-Handler für alle 6 Entities

internal/handlers/firewall.go: ein FirewallHandler-Struct hält alle
6 Repos + Audit-Ref. Register(authed) mountet 30 Endpoints unter
/api/v1/firewall/{address-objects,address-groups,services,
service-groups,rules,nat-rules}.

Validation:
* Address-Objects: kind=host → ParseIP, network → ParseCIDR,
  range → "IP-IP", fqdn → looksLikeFQDN.
* Rules: src/dst max one of (object_id|group_id|cidr); 0 = "any".
  service max one of (object|group). CIDR-Werte werden geparsed.
* NAT: kind-spezifische Pflichtfelder. dnat braucht target_addr
  + match_dport_start. snat braucht target_addr. masquerade
  verbietet target_addr (Iface-IP gewinnt).
* Services: builtin-Rows können nicht editiert/gelöscht werden
  (Repo-Layer enforced).

Audit-Log pro Mutation. NoContent für DELETE.

Wiring in cmd/edgeguard-api/main.go: 6 Repos + ein
NewFirewallHandler(...).Register(authed).

Renderer (nft aus allen Joins) + Frontend folgen in den nächsten
Commits.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-10 11:38:37 +02:00

2 Commits