Создание шаблонов зон firewalld с помощью ansible – проблема с xml или vars
Создание шаблонов зон firewalld с помощью ansible — проблема с манипуляциями с XML У меня возникла небольшая путаница в отношении семейства правил.
что в моем ИСПРАВЛЕНОМ файле переменных:
firewalld_zones:
- name: public
short: "Public"
description: "Public Zone"
service:
- { name: ssh }
- { name: dhcpv6-client }
port:
- { protocol: tcp, port: 8000 }
- { protocol: tcp, port: 8089 }
- { protocol: udp, port: 52311 }
- { protocol: udp, port: 514 }
- { protocol: tcp, port: 8191 }
- { protocol: tcp, port: 8888 }
masquerade: true
forward-port:
- { to-port: 8000, protocol: tcp, port: 443 }
rule:
- family: ipv4
source:
- address: "172.18.0.0/16"
- action: accept
- family: ipv4
source:
- address: "172.17.0.0/16"
- action: accept
Что я получаю с исправленными переменными и шаблоном:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>PUBLIC</short>
<description>Public Zone</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="8000"/>
<port protocol="tcp" port="8089"/>
<port protocol="udp" port="52311"/>
<port protocol="udp" port="514"/>
<port protocol="tcp" port="8191"/>
<port protocol="tcp" port="8888"/>
<masquerade/>
<forward-port to-port="8000" protocol="tcp" port="443"/>
<rule family="ipv4">
<source address="172.18.0.0/16"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="172.17.0.0/16"/>
<accept/>
</rule>
</zone>
Не могли бы вы привести пример переменных для смешивания правил с семейством правил? Я попробовал огромное количество итераций, но безуспешно. :(
содержимое моего ИСПРАВЛЕННОГО файла шаблона:
<?xml version="1.0" encoding="utf-8"?>
<zone{% if item.target is defined %} target="{{ item.target }}"{% endif %}>
<short>{{ item.short|default(item.name)|upper }}</short>
{% if item.description is defined %}
<description>{{ item.description }}</description>
{% endif %}
{% for tag in item %}
{# Settings which can be used several times #}
{% if tag in ['interface','source','service','port','protocol','icmp-block','forward-port','source-port'] %}
{% for subtag in item[tag] %}
<{{ tag }}{% for name,value in subtag.items() %} {{ name }}="{{ value }}"{% endfor %}/>
{% endfor %}
{# Settings which can be used once #}
{% elif tag in ['icmp-block-inversion','masquerade'] and item[tag] == True %}
<{{ tag }}/>
{% endif %}
{% endfor %}
{% for rule in item.rule|default([]) %}
<rule{% if rule.family is defined %} family="{{ rule.family }}"{% endif %}>
{% for tag in rule %}
{% if tag in ['source','destination','service','port','icmp-block','icmp-type','masquerade','forward-port','protocol'] %}
{% for subtag in rule[tag] %}
{% for name,value in subtag.items() %}
{% if name in ['action'] %}
<{{ value }}/>
{% else %}
<{{ tag }} {{ name }}="{{ value }}"/>
{% endif %}
{% endfor %}
{% endfor %}
{% endif %}
{% endfor %}
</rule>
{% endfor %}
</zone>
2 ответа
Шаблон ожидаетsource
но ты напечаталsource address
. Я немного удивлен, что Ansible не пожаловался на это, поскольку это явно ошибка.
Это должно выглядеть примерно так:
rule:
- {family: ipv4, source: {address: 172.18.0.0/16}, action: accept}
- {family: ipv4, source: {address: 172.17.0.0/16}, action: accept}
Потратив некоторое время на просмотр файла шаблона и немного поигравшись, я обнаружил проблему с пробелами/отступами в файле шаблона и проблему со структурой в моем файле vars.
Я буду обновлять свой вопрос, добавляя исправленные версии, чтобы можно было увидеть разницу.
Измененный файл шаблона:
<?xml version="1.0" encoding="utf-8"?>
<zone{% if item.target is defined %} target="{{ item.target }}"{% endif %}>
<short>{{ item.short|default(item.name)|upper }}</short>
{% if item.description is defined %}
<description>{{ item.description }}</description>
{% endif %}
{% for tag in item %}
{# Settings which can be used several times #}
{% if tag in ['interface','source','service','port','protocol','icmp-block','forward-port','source-port'] %}
{% for subtag in item[tag] %}
<{{ tag }}{% for name,value in subtag.items() %} {{ name }}="{{ value }}"{% endfor %}/>
{% endfor %}
{# Settings which can be used once #}
{% elif tag in ['icmp-block-inversion','masquerade'] and item[tag] == True %}
<{{ tag }}/>
{% endif %}
{% endfor %}
{% for rule in item.rule|default([]) %}
<rule{% if rule.family is defined %} family="{{ rule.family }}"{% endif %}>
{% for tag in rule %}
{% if tag in ['source','destination','service','port','icmp-block','icmp-type','masquerade','forward-port','protocol'] %}
{% for subtag in rule[tag] %}
{% for name,value in subtag.items() %}
{% if name in ['action'] %}
<{{ value }}/>
{% else %}
<{{ tag }} {{ name }}="{{ value }}"/>
{% endif %}
{% endfor %}
{% endfor %}
{% endif %}
{% endfor %}
</rule>
{% endfor %}
</zone>
измененная структура переменных:
firewalld_zones:
- name: public
short: "Public"
description: "Public Zone"
service:
- { name: ssh }
- { name: dhcpv6-client }
port:
- { protocol: tcp, port: 8000 }
- { protocol: tcp, port: 8089 }
- { protocol: udp, port: 52311 }
- { protocol: udp, port: 514 }
- { protocol: tcp, port: 8191 }
- { protocol: tcp, port: 8888 }
masquerade: true
forward-port:
- { to-port: 8000, protocol: tcp, port: 443 }
rule:
- family: ipv4
source:
- address: "172.18.0.0/16"
- action: accept
- family: ipv4
source:
- address: "172.17.0.0/16"
- action: accept
вывод скомпилированного файла:
# cat public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>PUBLIC</short>
<description>Public Zone</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="8000"/>
<port protocol="tcp" port="8089"/>
<port protocol="udp" port="52311"/>
<port protocol="udp" port="514"/>
<port protocol="tcp" port="8191"/>
<port protocol="tcp" port="8888"/>
<masquerade/>
<forward-port to-port="8000" protocol="tcp" port="443"/>
<rule family="ipv4">
<source address="172.18.0.0/16"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="172.17.0.0/16"/>
<accept/>
</rule>
</zone>