RubyGems - iptables - Versions diffs - 0.0.1 - Mend

iptables 0.0.1

Files changed (16) hide show

data/.gitignore +3 -0
data/.ruby-version +1 -0
data/.travis.yml +12 -0
data/Gemfile +3 -0
data/README.md +17 -0
data/bin/iptables-decode +18 -0
data/iptables.gemspec +21 -0
data/lib/iptables.rb +327 -0
data/sample_data/complex-iptables-135 +219 -0
data/sample_data/complex-iptables-147 +270 -0
data/spec/spec_helper.rb +2 -0
data/spec/unit/iptables/decoder/basic_spec.rb +7 -0
data/spec/unit/iptables/decoder/rule_spec.rb +151 -0
data/spec/unit/iptables/decoder/shellsplit_spec.rb +27 -0
data/spec/unit/iptables/decoder/switch_hash_spec.rb +131 -0
metadata +112 -0

data/sample_data/complex-iptables-147 ADDED

@@ -0,0 +1,270 @@
+# Generated by iptables-save v1.4.7 on Sun Feb 24 00:48:11 2013
+*mangle
+:PREROUTING ACCEPT [756:54757]
+:INPUT ACCEPT [756:54757]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [578:527896]
+:POSTROUTING ACCEPT [578:527896]
+-A INPUT -s 1.1.1.2/32 -j CHECKSUM --checksum-fill
+-A OUTPUT -s 1.1.1.2/32 -j CLASSIFY --set-class 0004:0056
+COMMIT
+# Completed on Sun Feb 24 00:48:11 2013
+# Generated by iptables-save v1.4.7 on Sun Feb 24 00:48:11 2013
+*filter
+:INPUT ACCEPT [0:0]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [1096:944096]
+:foo - [0:0]
+-A INPUT -p tcp -m comment --comment "000 foo" -j ACCEPT
+-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -p icmp -j ACCEPT
+-A INPUT -i lo -j ACCEPT
+-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
+-A INPUT -j REJECT --reject-with icmp-host-prohibited
+-A INPUT -p tcp
+-A INPUT -s 1.1.1.1/32
+-A INPUT -s 1.1.1.0/24
+-A INPUT -d 1.1.1.0/24
+-A INPUT -d 1.1.0.0/16
+-A INPUT ! -p tcp
+-A INPUT ! -s 1.1.1.0/24
+-A INPUT ! -s 1.1.1.1/32
+-A INPUT ! -d 1.1.0.0/16
+-A INPUT -s 1.1.1.0/24
+-A INPUT -s 1.1.2.1/24
+-A INPUT -j ACCEPT
+-A INPUT -s 1.1.1.1/32 -g foo
+-A INPUT -i eth0
+-A INPUT ! -i eth0
+-A INPUT -i eth0:0
+-A INPUT ! -i eth0:0
+-A INPUT -m addrtype --src-type UNSPEC
+-A INPUT -m addrtype --src-type LOCAL
+-A INPUT -m addrtype ! --src-type LOCAL
+-A INPUT -m addrtype --dst-type UNSPEC
+-A INPUT -m addrtype --dst-type LOCAL
+-A INPUT -m addrtype ! --dst-type LOCAL
+-A INPUT -m addrtype ! --dst-type UNSPEC
+-A INPUT -m addrtype --src-type UNSPEC --limit-iface-in
+-A INPUT -m addrtype ! --src-type UNSPEC --limit-iface-in
+-A INPUT -m addrtype ! --src-type UNSPEC --limit-iface-out
+-A INPUT -m addrtype --src-type UNSPEC --limit-iface-out
+-A INPUT -p ah -m ah --ahspi 1
+-A INPUT -p ah -m ah --ahspi 1
+-A INPUT -p ah -m ah ! --ahspi 1
+-A INPUT -s 1.1.1.1/32 -m cluster --cluster-local-nodemask 0x00000001 --cluster-total-nodes 1 --cluster-hash-seed 0x00000001
+-A INPUT -s 1.1.1.1/32 -m cluster --cluster-local-nodemask 0x00000001 --cluster-total-nodes 1 --cluster-hash-seed 0x00000001
+-A INPUT -s 1.1.1.1/32 -m cluster --cluster-local-nodemask 0x00000001 --cluster-total-nodes 1 --cluster-hash-seed 0x00000001
+-A INPUT -s 1.1.1.1/32 -m cluster --cluster-local-nodemask 0x00000001 --cluster-total-nodes 1 --cluster-hash-seed 0x00000001
+-A INPUT -s 1.1.1.1/32 -m comment --comment "foobar baz fooo foo baz"
+-A INPUT -s 1.1.1.1/32 -m connbytes --connbytes 10:1000 --connbytes-mode packets --connbytes-dir both
+-A INPUT -s 1.1.1.1/32 -m connbytes ! --connbytes 10:1000 --connbytes-mode packets --connbytes-dir both
+-A INPUT -s 1.1.1.1/32 -m connlimit --connlimit-above 1 --connlimit-mask 32
+-A INPUT -s 1.1.1.1/32 -m connlimit ! --connlimit-above 1 --connlimit-mask 32
+-A INPUT -s 1.1.1.1/32 -m connlimit --connlimit-above 1 --connlimit-mask 24
+-A INPUT -s 1.1.1.1/32 -m connlimit ! --connlimit-above 1 --connlimit-mask 24
+-A INPUT -s 1.1.1.1/32 -m connmark --mark 0x18/0x1
+-A INPUT -s 1.1.1.1/32 -m connmark ! --mark 0x18/0x1
+-A INPUT -s 1.1.1.1/32 -m connmark ! --mark 0x18/0x1 -m connmark --mark 0x3/0x1
+-A INPUT -p ah -m ah ! --ahspi 1 -m ah --ahspi 3
+-A INPUT -p ah -m ah ! --ahspi 1 -m connmark --mark 0x3/0x1 -m ah --ahspi 3
+-A INPUT -p ah -m ah ! --ahspi 1 -m connmark --mark 0x3/0x1 -m ah --ahspi 3 -m connmark ! --mark 0x18/0x1
+-A INPUT -p ah -m ah ! --ahspi 1 -m ah ! --ahspi 1
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctstate NEW
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctstate NEW
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctproto 3
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctproto 3
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctorigsrc 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctorigsrc 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctorigdst 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctorigdst 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctreplsrc 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctreplsrc 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctrepldst 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctrepldst 1.1.1.0
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctorigsrcport 2
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctorigsrcport 2
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctorigdstport 2
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctorigdstport 2
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctorigsrcport 2
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctorigsrcport 3
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctreplsrcport 3
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctreplsrcport 3
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctstatus NONE
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctstatus NONE
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctexpire 12
+-A INPUT -s 1.1.1.1/32 -m conntrack ! --ctexpire 12
+-A INPUT -s 1.1.1.1/32 -m conntrack --ctdir ORIGINAL
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --sport 3
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp ! --sport 3
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --dport 3
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp ! --dport 3
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --dccp-type REQUEST,DATA
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --dccp-type ! REQUEST,DATA
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --dccp-option 1
+-A INPUT -s 1.1.1.1/32 -p dccp -m dccp --dccp-option 1
+-A INPUT -s 1.1.1.1/32 -m dscp --dscp 0x01
+-A INPUT -s 1.1.1.1/32 -m dscp ! --dscp 0x01
+-A INPUT -s 1.1.1.1/32 -m dscp --dscp 0x00
+-A INPUT -s 1.1.1.1/32 -m dscp ! --dscp 0x00
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn --ecn-tcp-cwr
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn --ecn-tcp-ece
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn ! --ecn-tcp-cwr
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn ! --ecn-tcp-ece
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn --ecn-ip-ect 3
+-A INPUT -s 1.1.1.1/32 -p tcp -m ecn ! --ecn-ip-ect 3
+-A INPUT -s 1.1.1.1/32 -p esp -m esp --espspi 1
+-A INPUT -s 1.1.1.1/32 -p esp -m esp --espspi 1:24
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-upto 1/sec --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-upto 1/sec --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-upto 1/min --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-mode srcip --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo --hashlimit-srcmask 24
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo --hashlimit-dstmask 24
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo --hashlimit-htable-size 3
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo
+-A INPUT -s 1.1.1.1/32 -m hashlimit --hashlimit-above 4/sec --hashlimit-name foo --hashlimit-htable-gcinterval 10000
+-A INPUT -s 1.1.1.1/32 -m helper --helper "foo"
+-A INPUT -s 1.1.1.1/32 -m helper ! --helper "foo"
+-A INPUT -s 1.1.1.1/32 -p icmp -m icmp --icmp-type 12/0
+-A INPUT -s 1.1.1.1/32 -p icmp -m icmp ! --icmp-type 12/0
+-A INPUT -m iprange ! --src-range 1.1.1.1-2.2.2.2
+-A INPUT -m iprange --src-range 1.1.1.1-2.2.2.2
+-A INPUT -m iprange --dst-range 1.1.1.1-2.2.2.2
+-A INPUT -m iprange ! --dst-range 1.1.1.1-2.2.2.2
+-A INPUT -m length --length 1:20
+-A INPUT -m length ! --length 1:20
+-A INPUT -m limit --limit 3/sec
+-A INPUT -m limit --limit 3/hour --limit-burst 4
+-A INPUT -m mac --mac-source AA:AA:AA:AA:AA:AA
+-A INPUT -m mac ! --mac-source AA:AA:AA:AA:AA:AA
+-A INPUT -m mark --mark 0x4/0x5
+-A INPUT -m mark ! --mark 0x4/0x5
+-A INPUT -p dccp -m multiport --sports 1,2,3,4,5:6
+-A INPUT -p dccp -m multiport ! --sports 1,2,3,4,5:6
+-A INPUT -p dccp -m multiport --dports 3,4,5,6
+-A INPUT -p dccp -m multiport ! --dports 3,4,5,6
+-A INPUT -p dccp -m multiport ! --ports 3,4,5,6
+-A INPUT -p dccp -m multiport --ports 3,4,5,6
+-A INPUT -p dccp -m owner --uid-owner root
+-A INPUT -p dccp -m owner ! --uid-owner root
+-A INPUT -p dccp -m owner --uid-owner 5000-6000
+-A INPUT -p dccp -m owner ! --uid-owner 5000-6000
+-A INPUT -p dccp -m owner --gid-owner wheel
+-A INPUT -p dccp -m owner ! --gid-owner wheel
+-A INPUT -p dccp -m owner --socket-exists
+-A INPUT -p dccp -m owner ! --socket-exists
+-A INPUT -p dccp -m physdev --physdev-in eth0
+-A INPUT -p dccp -m physdev --physdev-in eth0:0
+-A INPUT -p dccp -m physdev ! --physdev-in eth0:0
+-A INPUT -p dccp -m physdev --physdev-out eth0:0
+-A INPUT -p dccp -m physdev ! --physdev-out eth0:0
+-A INPUT -p dccp -m physdev --physdev-is-in
+-A INPUT -p dccp -m physdev ! --physdev-is-in
+-A INPUT -p dccp -m physdev --physdev-is-out
+-A INPUT -p dccp -m physdev ! --physdev-is-out
+-A INPUT -p dccp -m physdev --physdev-is-bridged
+-A INPUT -p dccp -m physdev ! --physdev-is-bridged
+-A INPUT -p dccp -m pkttype --pkt-type unicast
+-A INPUT -p dccp -m pkttype ! --pkt-type unicast
+-A INPUT -p dccp -m policy --dir in --pol ipsec
+-A INPUT -p dccp -m policy --dir out --pol ipsec
+-A INPUT -p dccp -m policy --dir out --pol ipsec --strict --reqid 3
+-A INPUT -p dccp -m policy --dir out --pol ipsec --reqid 3
+-A INPUT -p dccp -m policy --dir out --pol ipsec ! --reqid 3
+-A INPUT -p dccp -m policy --dir out --pol ipsec --spi 0x3
+-A INPUT -p dccp -m policy --dir out --pol ipsec ! --spi 0x3
+-A INPUT -p dccp -m policy --dir out --pol ipsec --proto ah
+-A INPUT -p dccp -m policy --dir out --pol ipsec ! --proto ah
+-A INPUT -p dccp -m policy --dir out --pol ipsec --mode tunnel
+-A INPUT -p dccp -m policy --dir out --pol ipsec ! --mode tunnel
+-A INPUT -p dccp -m policy --dir out --pol ipsec --mode tunnel --tunnel-src 1.1.1.0/24
+-A INPUT -p dccp -m policy --dir out --pol ipsec --mode tunnel ! --tunnel-src 1.1.1.0/24
+-A INPUT -p dccp -m policy --dir out --pol ipsec --mode tunnel --tunnel-dst 1.1.1.0/24
+-A INPUT -p dccp -m policy --dir out --pol ipsec --mode tunnel ! --tunnel-dst 1.1.1.0/24
+-A INPUT -p dccp -m policy --dir out --pol ipsec --strict --mode tunnel
+-A INPUT -p dccp -m quota --quota 0
+-A INPUT -p dccp -m quota --quota 56
+-A INPUT -p dccp -m realm --realm 0x22/0x18
+-A INPUT -p dccp -m realm ! --realm 0x22/0x18
+-A INPUT -p dccp -m recent --set --name foo --rsource
+-A INPUT -p dccp -m recent ! --set --name foo --rsource
+-A INPUT -p dccp -m recent --set --name DEFAULT --rsource
+-A INPUT -p dccp -m recent --set --name DEFAULT --rdest
+-A INPUT -p dccp -m recent --rcheck --name DEFAULT --rsource
+-A INPUT -p dccp -m recent ! --rcheck --name DEFAULT --rsource
+-A INPUT -p dccp -m recent --update --name DEFAULT --rsource
+-A INPUT -p dccp -m recent ! --update --name DEFAULT --rsource
+-A INPUT -s 1.1.1.1/32 -p icmp -m recent --remove --name DEFAULT --rsource
+-A INPUT -s 1.1.1.1/32 -p icmp -m recent --update --rttl --name DEFAULT --rsource
+-A INPUT -p sctp -m sctp --sport 1
+-A INPUT -p sctp -m sctp --sport 1:3
+-A INPUT -p sctp -m sctp ! --sport 1:3
+-A INPUT -p sctp -m sctp ! --sport 1:3
+-A INPUT -p sctp -m sctp --dport 3
+-A INPUT -p sctp -m sctp ! --dport 3
+-A INPUT -p sctp -m sctp --chunk-types all DATA
+-A INPUT -p sctp -m sctp --chunk-types all DATA:U
+-A INPUT -p sctp -m sctp ! --chunk-types all DATA:U
+-A INPUT -p sctp -m set --match-set foo src
+-A INPUT -p sctp -m set ! --match-set foo src,dst
+-A INPUT -p sctp -m socket
+-A INPUT -p sctp -m socket --transparent
+-A INPUT -p sctp -m state --state INVALID
+-A INPUT -p sctp -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED
+-A INPUT -p sctp -m statistic --mode nth --every 1
+-A INPUT -p sctp -m statistic --mode random --probability 0.000000
+-A INPUT -p sctp -m statistic --mode random --probability 1.000000
+-A INPUT -p sctp -m statistic --mode nth --every 4
+-A INPUT -p sctp -m statistic --mode nth --every 4 --packet 2
+-A INPUT -p sctp -m string --string "foo" --algo bm --to 65535
+-A INPUT -p sctp -m string --string "foo" --algo bm --from 5 --to 65535
+-A INPUT -p sctp -m string --string "foo" --algo bm --to 5
+-A INPUT -p sctp -m string ! --string "foo" --algo bm --to 65535
+-A INPUT -p sctp -m string --string "00BBCC" --algo bm --to 65535
+-A INPUT -p sctp -m string ! --string "00BBCC" --algo bm --to 65535
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --sport 5
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --sport 5:66
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp ! --sport 5
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --dport 1
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --dport 1:45
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --tcp-flags SYN,ACK SYN
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp ! --tcp-flags SYN,ACK SYN
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp ! --dport 1:45
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp --tcp-option 4
+-A INPUT -s 1.1.1.1/32 -p tcp -m tcp ! --tcp-option 4
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --datestart 1979-12-31T23:00:00 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --datestop 1980-01-01T00:00:00
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --timestart 12:34:11 --timestop 23:59:59 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --timestart 00:00:00 --timestop 12:23:00 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --timestart 00:00:00 --timestop 12:23:11 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --monthdays 4 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --monthdays 1,2,3,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --weekdays Fri  --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --weekdays Fri,Sun  --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --weekdays Mon,Tue,Wed,Thu,Sat  --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --datestop 2038-01-19T03:14:07 --utc
+-A INPUT -s 1.1.1.1/32 -p tcp -m time --datestop 2038-01-19T03:14:07
+-A INPUT -s 1.1.1.1/32 -p tcp -m tos --tos 0x05/0xff
+-A INPUT -s 1.1.1.1/32 -p tcp -m tos --tos 0x05/0x06
+-A INPUT -s 1.1.1.1/32 -p tcp -m tos ! --tos 0x05/0x06
+-A INPUT -s 1.1.1.1/32 -p tcp -m tos --tos 0x04/0xff
+-A INPUT -s 1.1.1.1/32 -p tcp -m tos ! --tos 0x04/0xff
+-A INPUT -s 1.1.1.1/32 -p tcp -m ttl --ttl-eq 5
+-A INPUT -s 1.1.1.1/32 -p tcp -m ttl --ttl-gt 6
+-A INPUT -s 1.1.1.1/32 -p tcp -m ttl --ttl-lt 6
+-A INPUT -s 1.1.1.1/32 -p tcp -m u32 --u32 0x0&0xffff=0x100:0xffff
+-A INPUT -s 1.1.1.1/32 -p udp -m udp --sport 55
+-A INPUT -s 1.1.1.1/32 -p udp -m udp ! --sport 55
+-A INPUT -s 1.1.1.1/32 -p udp -m udp --dport 66:67
+-A INPUT -s 1.1.1.1/32 -p udp -m udp ! --dport 66:67
+-A FORWARD -j REJECT --reject-with icmp-host-prohibited
+-A OUTPUT -o eth0
+-A OUTPUT ! -o eth0
+-A OUTPUT ! -o eth0:0
+COMMIT
+# Completed on Sun Feb 24 00:48:11 2013

data/spec/spec_helper.rb ADDED

	@@ -0,0 +1,2 @@
1	+ require 'bundler/setup'
2	+ Bundler.require :default

data/spec/unit/iptables/decoder/basic_spec.rb ADDED

@@ -0,0 +1,7 @@
+require 'spec_helper'
+describe Iptables::Decoder do
+  it 'should allow instantiation' do
+    Iptables::Decoder.new
+  end
+end

data/spec/unit/iptables/decoder/rule_spec.rb ADDED

@@ -0,0 +1,151 @@
+require 'spec_helper'
+describe 'Iptables::Decoder#rule_hash' do
+  subject do
+    Iptables::Decoder.new
+  end
+  tests = [
+    {:name => "basic destination option 1",
+     :input => [
+      {:values=>["OUTPUT"], :switch=>"A"},
+      {:values=>["1.1.1.2/32"], :switch=>"s"},
+      {:values=>["CLASSIFY"], :switch=>"j"},
+      {:values=>["0004:0056"], :switch=>"set-class"}],
+     :output => {
+       :chain => "OUTPUT",
+       :parameters => {
+         "s" => ["1.1.1.2/32"],
+       },
+       :matches => [],
+       :target => "CLASSIFY",
+       :target_options => {
+         "set-class" => ["0004:0056"],
+       },
+     }},
+    {:name => "negate parameter 1",
+     :input => [
+       {:values=>["OUTPUT"], :switch=>"A"},
+       {:negate=>true, :values=>["eth0"], :switch=>"o"}],
+     :output => {
+       :chain => "OUTPUT",
+       :parameters => {
+         "!o" => ["eth0"],
+       },
+       :matches => [],
+       :target => nil,
+       :target_options => {},
+     }},
+    {:name => "match with options 1",
+     :input => [
+       {:values=>["INPUT"], :switch=>"A"},
+       {:values=>["1.1.1.1/32"], :switch=>"s"},
+       {:values=>["tcp"], :switch=>"p"},
+       {:values=>["tcp"], :switch=>"m"},
+       {:negate=>true, :values=>["FIN,SYN,RST,ACK", "SYN"], :switch=>"tcp-flags"}],
+     :output => {
+       :chain => "INPUT",
+       :parameters => {
+         "s" => ["1.1.1.1/32"],
+         "p" => ["tcp"],
+       },
+       :matches => [
+         {:name => "tcp",
+          :options => {
+            "!tcp-flags" => ["FIN,SYN,RST,ACK", "SYN"],
+          }},
+       ],
+       :target => nil,
+       :target_options => {},
+     }},
+    {:name => "match with options 2",
+     :input => [
+       {:values=>["INPUT"], :switch=>"A"},
+       {:values=>["tcp"], :switch=>"p"},
+       {:values=>["comment"], :switch=>"m"},
+       {:values=>["000 foo"], :switch=>"comment"},
+       {:values=>["ACCEPT"], :switch=>"j"}],
+     :output => {
+       :chain => "INPUT",
+       :parameters => {
+         "p" => ["tcp"],
+       },
+       :target => "ACCEPT",
+       :matches => [
+         {:name => "comment",
+          :options => {
+            "comment" => ["000 foo"],
+          }},
+       ],
+       :target => "ACCEPT",
+       :target_options => {},
+     }},
+    {:name => "complex 1",
+     :input => [
+       {:values=>["INPUT"], :switch=>"A"},
+       {:values=>["ah"], :switch=>"p"},
+       {:values=>["ah"], :switch=>"m"},
+       {:negate=>true, :values=>["1"], :switch=>"ahspi"},
+       {:values=>["connmark"], :switch=>"m"},
+       {:values=>["0x3/0x1"], :switch=>"mark"},
+       {:values=>["ah"], :switch=>"m"},
+       {:values=>["3"], :switch=>"ahspi"},
+       {:values=>["connmark"], :switch=>"m"},
+       {:negate=>true, :values=>["0x18/0x1"], :switch=>"mark"}],
+     :output => {
+       :chain => "INPUT",
+       :parameters => {
+         "p" => ["ah"],
+       },
+       :matches => [
+         {:name => "ah",
+          :options => {
+            "!ahspi" => ["1"],
+          }},
+         {:name => "connmark",
+          :options => {
+            "mark" => ["0x3/0x1"],
+          }},
+         {:name => "ah",
+          :options => {
+            "ahspi" => ["3"],
+          }},
+         {:name => "connmark",
+          :options => {
+            "!mark" => ["0x18/0x1"],
+          }},
+       ],
+       :target => nil,
+       :target_options => {},
+     }},
+    {:name => "complex 2",
+     :input => [
+       {:values=>["INPUT"], :switch=>"A"},
+       {:values=>["1.1.1.1/32"], :switch=>"s"},
+       {:values=>["connbytes"], :switch=>"m"},
+       {:negate=>true, :values=>["10:1000"], :switch=>"connbytes"},
+       {:values=>["packets"], :switch=>"connbytes-mode"},
+       {:values=>["both"], :switch=>"connbytes-dir"}],
+     :output => {
+       :chain => "INPUT",
+       :parameters => {
+         "s" => ["1.1.1.1/32"],
+       },
+       :matches => [
+         {:name => "connbytes",
+          :options => {
+            "!connbytes" => ["10:1000"],
+            "connbytes-mode" => ["packets"],
+            "connbytes-dir" => ["both"],
+          }},
+       ],
+       :target => nil,
+       :target_options => {},
+     }},
+  ]
+  tests.each do |t|
+    it "run sample test [#{t[:name]}]" do
+      subject.rule(t[:input]).should eq t[:output]
+    end
+  end
+end

data/spec/unit/iptables/decoder/shellsplit_spec.rb ADDED

@@ -0,0 +1,27 @@
+require 'spec_helper'
+describe 'Iptables::Decoder#shellsplit' do
+  subject do
+    Iptables::Decoder.new
+  end
+  tests = [
+    {:name => "basic 1",
+     :input => "-A INPUT -s 1.1.1.2/32 -j CHECKSUM --checksum-fill \n",
+     :output => ["-A", "INPUT", "-s", "1.1.1.2/32", "-j", "CHECKSUM", "--checksum-fill"]},
+    {:name => "with negation",
+     :input => "-A INPUT -s 1.1.1.1/32 -p tcp -m tos ! --tos 0x05/0x06 \n",
+     :output => ["-A", "INPUT", "-s", "1.1.1.1/32", "-p", "tcp", "-m", "tos", "!", "--tos", "0x05/0x06"]},
+    {:name => "with quotes",
+     :input => "-A INPUT -p sctp -m string ! --string \"00BBCC\" --algo bm --to 65535 \n",
+     :output => ["-A", "INPUT", "-p", "sctp", "-m", "string", "!", "--string", "00BBCC", "--algo", "bm", "--to", "65535"]},
+    {:name => "with quotes 2",
+     :input => "-A INPUT -p tcp -m comment --comment \"000 foo\" -j ACCEPT \n",
+     :output => ["-A", "INPUT", "-p", "tcp", "-m", "comment", "--comment", "000 foo", "-j", "ACCEPT" ]},
+  ]
+  tests.each do |t|
+    it "run sample test [#{t[:name]}]" do
+      subject.shellsplit(t[:input]).should eq t[:output]
+    end
+  end
+end