File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/__pycache__/iptables.cpython-310.pyc
o
�����N�g�������������������������@���sh���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z�d�d�l
Z�d�d�l�m�Z���d�d�l
m�Z���e���e���Z�d�d���Z�d9d�d ��Z�d9d
d���Z�d9d�d
��Z�d�d���Z�d:d�d���Z�d9d�d���Z� � � � � � �d;d�d���Z�d<d�d���Z�d9d�d���Z�d=d�d���Z�d>d�d���Z�d=d d!��Z�d<d"d#��Z d=d$d%��Z!d>d&d'��Z"d>d(d)��Z#d>d*d+��Z$d=d,d-��Z%d?d.d/��Z&d@d0d1��Z'dAd2d3��Z(dBd5d6��Z)d7d8��Z*d�S�)Ca����
Support for iptables
Configuration Options
---------------------
The following options can be set in the minion config, grains, pillar, or
master config. The configuration is read using :py:func:`config.get
<salt.modules.config.get>`.
- ``iptables.save_filters``: List of REGEX strings to FILTER OUT matching lines
This is useful for filtering out chains, rules, etc that you do not wish to
persist, such as ephemeral Docker rules.
The default is to not filter out anything.
.. code-block:: yaml
iptables.save_filters:
- "-j CATTLE_PREROUTING"
- "-j DOCKER"
- "-A POSTROUTING"
- "-A CATTLE_POSTROUTING"
- "-A FORWARD"
�����N)��
SaltException)���STATE_INTERNAL_KEYWORDSc��������������������C���s����t�j�j���d���s d�S�d�S�)�z7
Only load the module if iptables is installed
��iptables)�FzGThe iptables execution module cannot be loaded: iptables not installed.T����salt��utils��path��which��r
���r
����I/opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/iptables.py��__virtual__,���s����������r������ipv4c��������������������C���s$���|�d�k�r�t�j�j���d���S�t�j�j���d���S�)�zG
Return correct command based on the family, e.g. ipv4 or ipv6
��ipv6Z ip6tablesr����r��������familyr
���r
���r�����
_iptables_cmd9���s����������r����c��������������������C���s*���t�|�����d���}�|�t�d���|�d�d���v�r�d�S�d�S�)�z�
Return truth of whether iptables has `option`. For example:
.. code-block:: python
_has_option('--wait')
_has_option('--check', family='ipv6')
z� --help��cmd.run_stdout��quiet��Z�output_loglevelTF)�r������__salt__)���optionr������cmdr
���r
���r������_has_optionC���s����� ������r����c��������������������C���s����t�d���d�k�r�|�d�k�r�d�S�d�S�t�d���d�k�r�|�d�k�r�d�S�d�S�t�d���d k�r*|�d�k�r(d
S�d�S�t�d���d
k�r8|�d�k�r6d�S�d�S�t�d���d�k�r@d�S�t�d���d�k�rN|�d�k�rLd�S�d�S�t�d���d�k�r\|�d�k�rZd�S�d�S�t�d���d�k�rj|�d�k�rhd�S�d�S�t�d�d���t�d�������d�������)�z@
Some distros have a specific location for config files
Z os_familyZ�RedHatr����z�/etc/sysconfig/ip6tablesz�/etc/sysconfig/iptablesZ�Archz�/etc/iptables/ip6tables.rulesz�/etc/iptables/iptables.rulesZ�Debianz�/etc/iptables/rules.v6z�/etc/iptables/rules.v4��osZ�Gentooz�/var/lib/ip6tables/rules-savez�/var/lib/iptables/rules-saveZ�Susez+/etc/sysconfig/scripts/SuSEfirewall2-customZ�Voidr
���Z�Alpinez�/etc/iptables/rules6-savez�/etc/iptables/rules-saveZ NILinuxRTz!/etc/natinst/share/ip6tables.confz /etc/natinst/share/iptables.confz�Saving iptables to file is notz� supported on {}.z$ Please file an issue with SaltStack)�Z
__grains__r������formatr����r
���r
���r������_confR���sJ�����������������������������������������������������������������������������r����c��������������������C���s����t�d���d�g���}�|�S�)�a����
Return array of strings from `save_filters` in config.
This array will be pulled from minion config, minion grains,
minion pillar, or master config. The default value returned is [].
.. code-block:: python
_conf_save_filters()
z
config.option��iptables.save_filters)�r����)�Z�configr
���r
���r������_conf_save_filters����s��������r����c��������������������C���s����d�t�v�r6g�t�d�<�|�p�t���D�](}�z�t�d�����t���|�������W�q
��t�j�y5��}���z
t���d�|�|�����W�Y�d�}�~�q
d�}�~�w�w�t�d���rId�d���|���d���D���}�d�� |���S�|�S�)�ar���
Return string with `save_filter` regex entries removed. For example:
If `filters` is not provided, it will be pulled from minion config,
minion grains, minion pillar, or master config. Default return value
if no filters found is the original cmd_output string.
.. code-block:: python
_regex_iptables_save(cmd_output, ['-A DOCKER*'])
r����z�Skipping regex rule: '%s': %sNc������������������������s*���g�|�]���t���f�d�d���t�d���D�����s�����q�S�)�c��������������������3���s������|�]�}�|�������V���q�d�S���N)���search)���.0Z�reg����liner
���r����� <genexpr>����s��������z2_regex_iptables_save.<locals>.<listcomp>.<genexpr>r����)���any��__context__)�r ���r
���r!���r�����
<listcomp>����s����������������z(_regex_iptables_save.<locals>.<listcomp>T��)
r%���r������append��re��compile��error��log��warning�
splitlines��join)�Z
cmd_output��filters��pattern��eZ�_filtered_cmd_outputr
���r
���r������_regex_iptables_save����s ����
��������������������������
���r3���c��������������������C���s&���t�|�����d���}�t�d���|�������}�|�d���S�)�z�
Return version from iptables --version
CLI Example:
.. code-block:: bash
salt '*' iptables.version
IPv6:
salt '*' iptables.version family=ipv6
z
--versionr���������)�r����r������split)�r����r������outr
���r
���r������version����s�����
����r7�����filterr'���c������������������������s����d���v�r�����d�����d�<�����d�d���������d�d�����t�t���g�d�����D�] }�|���v�r(��|�=�q�g�}�d�} t���d���������f�d d
��}
d���v�rM|���d���|
d�����d�����������d�=�d
��v�ra|���d���|
d
����d
����������d
=�d���v�ru����d���d�k�ru��d�����d�<���d�=�d���v�r�| s�|���d���|
d�����d���������d�} ��d�=�d���v�r��d���}�t�|�t���s�|�� d���}�|�D�]!}�|���d�|���������d���v�r�|��
��d�v�r�|���d�����d�����������d�=�q�d���v�rވ���d���d�k�r�|���d���|
d�����d�����������d�=���d�=�d���v���r t���d���t���r��d���g���d�<���d���D�]$}
d�}�|
��d�����s�|
��d�����r�d�}�t��
��d�|
��}
|���d |���d!|
��������q���d�=�d"��v���r?d#|�v���r/|���d#����|���d$��|
d"����d"����������d"=�d%��v���rT|���d&��|
d%����d%����������d%=�d'��v���ri|���d(��|
d'����d'����������d'=�d)D�]r}�|���v���r�d*|�v���r�|���d*����| ��s���d+S���|���}�t�|�t�����r�t�d,d-��|�D�������r���f�d.d/��|�D���}�|���d�����d���d0d-��|�D�����}�n�t�|�����d�����s�t�|�����d�����r�t��
��d�|���}�|���d�����n�|�}�|���d1|���d2|�����������|�=���qkd3��v���r�d4|�v���r�|���d4����|���d5����d3����������d3=�d6��v���r���d6����r�|���d7��|
d6����d6����������d6=�g�}�d8}�|�D�]B}�|���v���r[��|�������d9v���r3|���d1|���������n%t���f�d:d-��t�j�D�������rM|���d1|���d;����d<������n�|���d1|���d2������������|�=���q���D�]/}�|
|���}���|�����t�|���d=k���rrd>n�d1}���d9v���r{d�n�d2��������|���|���|���|���������������q_|�|�7�}�|���r�|���s�d?S�|���s�d@S�|���s�dAS�|�dBv���r�d>}�n�d1}�t�dC|�����r�dCn�d�}�dD��t�|���|�|�|�|�|�|�d2��|�����S�d2��|���S�)Ea����
Build a well-formatted iptables rule based on kwargs. A `table` and `chain`
are not required, unless `full` is True.
If `full` is `True`, then `table`, `chain` and `command` are required.
`command` may be specified as either a short option ('I') or a long option
(`--insert`). This will return the iptables command, exactly as it would
be used from the command line.
If a position is required (as with `-I` or `-D`), it may be specified as
`position`. This will only be useful if `full` is True.
If `state` is passed, it will be ignored, use `connstate`.
If `connstate` is passed in, it will automatically be changed to `state`.
To pass in jump options that doesn't take arguments, pass in an empty
string.
.. note::
Whereas iptables will accept ``-p``, ``--proto[c[o[l]]]`` as synonyms
of ``--protocol``, if ``--proto`` appears in an iptables command after
the appearance of ``-m policy``, it is interpreted as the ``--proto``
option of the policy extension (see the iptables-extensions(8) man
page).
CLI Examples:
.. code-block:: bash
salt '*' iptables.build_rule match=state \
connstate=RELATED,ESTABLISHED jump=ACCEPT
salt '*' iptables.build_rule filter INPUT command=I position=3 \
full=True match=state connstate=RELATED,ESTABLISHED jump=ACCEPT
salt '*' iptables.build_rule filter INPUT command=A \
full=True match=state connstate=RELATED,ESTABLISHED \
source='127.0.0.1' jump=ACCEPT
.. Invert Rules
salt '*' iptables.build_rule filter INPUT command=A \
full=True match=state connstate=RELATED,ESTABLISHED \
source='!127.0.0.1' jump=ACCEPT
salt '*' iptables.build_rule filter INPUT command=A \
full=True match=state connstate=RELATED,ESTABLISHED \
destination='not 127.0.0.1' jump=ACCEPT
IPv6:
salt '*' iptables.build_rule match=state \
connstate=RELATED,ESTABLISHED jump=ACCEPT \
family=ipv6
salt '*' iptables.build_rule filter INPUT command=I position=3 \
full=True match=state connstate=RELATED,ESTABLISHED jump=ACCEPT \
family=ipv6
��target��jump��nameN��state)���chain��save��tableFz
(!|not)\s?c������������������������s:���t���|�����}�|���d���s�|���d���r�t�����d�|�����|�<�d�S�d�S�)�z�
Will check if the defined argument is intended to be negated,
(i.e. prefixed with '!' or 'not'), and add a '! ' to the rule.
The prefix will be removed from the value in the kwargs dict.
��!��notr'�����! )���str�
startswithr)�����sub)���arg��value)���bang_not_pat��kwargsr
���r������maybe_add_negation����s
�������������z&build_rule.<locals>.maybe_add_negation��ifz�{}-i {}Z�ofz�{}-o {}��proto��match��policy��protocolz�{}-p {}T��,z�-m Z�name_)�Z�pknockZ�quota2Z�recentz --name {}z�{}--proto {}� match-setr'���r@���rA���rB���z�-m set z�--match-set Z connstatez�-m statez�{}--state {}Z�dportz�{}--dport {}Z�sportz�{}--sport {})���dportsZ�sportsz�-m multiportz!Error: protocol must be specifiedc��������������������s���s0�����|�]�}�t�|�����d���s�t�|�����d���r�|�V���q�d�S�)�r@���rA���N)�rC���rD�����r �����ir
���r
���r����r#���p���s��������������������
�z�build_rule.<locals>.<genexpr>c������������������������s����g�|�]�}�t�����d�t�|�������q�S�)�r'���)�r)���rE���rC���)�r �����item)�rH���r
���r����r&���u���s����������z�build_rule.<locals>.<listcomp>c��������������������s���s������|�]�}�t�|���V���q�d�S�r������rC���rS���r
���r
���r����r#���y���s��������z�--�� ��commentz
-m commentz�--comment "{}"��setz�{}--match-set {})p��jr:�����add-set��and-mark��and-tos�
checksum-fill��clamp-mss-to-pmtu�
clustermac��ctevents��ctmask��del-set��ecn-tcp-remove��exist� expevents��gateway� hash-init��hashmode��helper��label�
local-node��log-ip-options� log-level�
log-prefix��log-tcp-options��log-tcp-sequence��log-uid��mask��new��nfmask��nflog-group��nflog-prefix��nflog-range��nflog-threshold��nodst��notrack��on-ip��on-port��or-mark��or-tos�
persistent�
queue-balance��queue-bypass� queue-num��random��rateest-ewmalog��rateest-interval��rateest-name��reject-with��restore��restore-mark� save-mark��selctx� set-class��set-dscp��set-dscp-class��set-mark��set-mss��set-tos� set-xmark�
strip-options��timeout��to��to-destination��to-ports� to-source��total-nodes��tproxy-mark��ttl-dec��ttl-inc��ttl-set��type��ulog-cprange��ulog-nlgroup��ulog-prefix��ulog-qthreshold��xor-mark��xor-tos��zone��dst-pfx��hl-dec��hl-inc��hl-set��hmark-dport-mask��hmark-dst-prefix� hmark-mod��hmark-offset��hmark-proto-mask� hmark-rnd��hmark-spi-mask��hmark-sport-mask��hmark-src-prefix��hmark-tuple��led-always-blink� led-delay��led-trigger-id��queue-cpu-fanout��src-pfxz�to-port��addr��and-mask��delude��honeypot��or-mask��prefix��reset��reuse��set-mac��shift��static��tarpit��tname��ttl)�Nr'���c��������������������3���s������|�] }�|�t�����v�V���q�d�S�r����rV���)�r ���Z�ws_char)�rG���r
���r����r#�������s��������z� "��"r4�����-z"Error: Table needs to be specified�"Error: Chain needs to be specifiedz$Error: Command needs to be specifiedZ
ACDIRLSFZNXPE��--waitz�{} {} -t {} {}{} {} {} {})���pop��list��_STATE_INTERNAL_KEYWORDSr)���r*���r(���r������get�
isinstancer5�����striprC���rD���rE���r$���r/�����string�
whitespace��lenr����r����)�r?���r=���Z�command��position��fullr����rI�����ignore��rulerO���rJ���Z�match_valuerM���Z match_setZ�negative_match_setZ
multiport_argZ�mp_valuerR���Z
after_jumpZ�after_jump_argumentsZ�after_jump_argument��keyZ�negation��flag��waitr
���)�rH���rI���rG���r�����
build_rule����s�����B������������������
����
����������������������������������
�
�������������������������
�������������������
�
�
���������
�����
�������
�
�
�������������
�
�����
��� �������������
�
�
����������������w
���
�����������������������������������������
���������������������������
�r����c��������������������C���s����t�|�|�d���S�)�z�
Return a data structure of the rules in the conf file
CLI Example:
.. code-block:: bash
salt '*' iptables.get_saved_rules
IPv6:
salt '*' iptables.get_saved_rules family=ipv6
��� conf_filer��������_parse_confr����r
���r
���r������get_saved_rules@���s�����
r����c��������������������C���s����t�d�|�d���S�)�z�
Return a data structure of the current, in-memory rules
CLI Example:
.. code-block:: bash
salt '*' iptables.get_rules
IPv6:
salt '*' iptables.get_rules family=ipv6
T����in_memr����r����r����r
���r
���r����� get_rulesP���s������r����c��������������������C���s<���|�s�d�S�t�|�|�d���}�z |�|���|���d���W�S���t�y�������Y�d�S�w�)�a����
Return the current policy for the specified table/chain
CLI Examples:
.. code-block:: bash
salt '*' iptables.get_saved_policy filter INPUT
salt '*' iptables.get_saved_policy filter INPUT \
conf_file=/etc/iptables.saved
IPv6:
salt '*' iptables.get_saved_policy filter INPUT family=ipv6
salt '*' iptables.get_saved_policy filter INPUT \
conf_file=/etc/iptables.saved family=ipv6
r����r����rN���N��r������KeyError)�r?���r=���r����r������rulesr
���r
���r������get_saved_policya���s��������������������r����c��������������������C���s<���|�s�d�S�t�d�|�d���}�z |�|���|���d���W�S���t�y�������Y�d�S�w�)�z�
Return the current policy for the specified table/chain
CLI Example:
.. code-block:: bash
salt '*' iptables.get_policy filter INPUT
IPv6:
salt '*' iptables.get_policy filter INPUT family=ipv6
r����Tr����rN���Nr����)�r?���r=���r����r����r
���r
���r�����
get_policy}���s�����
��������������r����c��������������������C���sH���|�s�d�S�|�s�d�S�t�d�|���r�d�n�d�}�d���t�|���|�|�|�|���}�t�d���|���}�|�S�)�z�
Set the current policy for the specified table/chain
CLI Example:
.. code-block:: bash
salt '*' iptables.set_policy filter INPUT ACCEPT
IPv6:
salt '*' iptables.set_policy filter INPUT ACCEPT family=ipv6
r����z#Error: Policy needs to be specifiedr����r'���z�{} {} -t {} -P {} {}��cmd.run_stderr)�r����r����r����r����)�r?���r=���rN���r����r����r����r6���r
���r
���r�����
set_policy����s�����
������������������r����c��������������������C���sz���t���r |�s t�|���}�t���d�|�����t�j���|���}�t�j���|���s t���|�����t�|�����d���}�t d���|���}�t
��r4t�|���}�t d���|�|���}�|�S�)�z�
Save the current in-memory rules to disk
CLI Example:
.. code-block:: bash
salt '*' iptables.save /etc/sysconfig/iptables
IPv6:
salt '*' iptables.save /etc/sysconfig/iptables family=ipv6
z�Saving rules to %s��-saver����z
file.write)�r����r,�����debugr����r������dirname��isdir��makedirsr����r����r����r3���)���filenamer����Z
parent_dirr����Z�iptr6���r
���r
���r����r>�������s����
��������
�������������r>���c������������ �������C���s&���|�s�d�S�|�s�d�S�t�|���}�t�d�|���r+|���d�|���d�|���d�|�����}�t�d���|�d�d ����t�d
����S�t�t�������}�t�d���|���d�|���d�|���������t�d���|���d�|���d
|���d�|���������t�d���|���d�����}�t�d���|���d�|���d�|���������t�d���|���d�|���d�|���������|�����D�]�}�|���d�|�������r�|�� |�|���|�����v�r���d�S�qyd�S�)�a����
Check for the existence of a rule in the table and chain
This function accepts a rule in a standard iptables command format,
starting with the chain. Trying to force users to adapt to a new
method of creating rules would be irritating at best, and we
already have a parser that can handle it.
CLI Example:
.. code-block:: bash
salt '*' iptables.check filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
IPv6:
salt '*' iptables.check filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT' \
family=ipv6
r�����!Error: Rule needs to be specifiedz�--check�� -t z� -C rW���r����r����r������retcodez�cmd.run�� -N �� -A r����r������ -F �� -X z�-A TF)
r����r����r����r%�����hex��uuidZ�getnoder.���rD�����replace) r?���r=���r����r����Z�ipt_cmdr����Z�_chain_namer6���rT���r
���r
���r������check����s*�������������
�����
�����"�������������������r����c��������������������C���sL���|�s�d�S�t�|�����d�|�����}�t�d���|�����d�|���d�����}�|�d�k�r"d�}�|�S�d�}�|�S�) a����
.. versionadded:: 2014.1.0
Check for the existence of a chain in the table
CLI Example:
.. code-block:: bash
salt '*' iptables.check_chain filter INPUT
IPv6:
salt '*' iptables.check_chain filter INPUT family=ipv6
r����z -save -t r������:rW������TF)�r����r������find)�r?���r=���r����r����r6���r
���r
���r������check_chain����s����������������������r����c��������������������C����P���|�s�d�S�t�d�|���r�d�n�d�}�t�|�����d�|���d�|���d�|�����}�t�d���|���}�|�s&d�}�|�S�) a����
.. versionadded:: 2014.1.0
Create new custom chain to the specified table.
CLI Example:
.. code-block:: bash
salt '*' iptables.new_chain filter CUSTOM_CHAIN
IPv6:
salt '*' iptables.new_chain filter CUSTOM_CHAIN family=ipv6
r����r����r'���rW���r����r����r����T��r����r����r������r?���r=���r����r����r����r6���r
���r
���r����� new_chain$������������������������r����c��������������������C���r����) a����
.. versionadded:: 2014.1.0
Delete custom chain to the specified table.
CLI Example:
.. code-block:: bash
salt '*' iptables.delete_chain filter CUSTOM_CHAIN
IPv6:
salt '*' iptables.delete_chain filter CUSTOM_CHAIN family=ipv6
r����r����r'���rW���r����r����r����Tr����r����r
���r
���r������delete_chain@���r����r����c���������������� ���C���sx���|�s�d�S�|�s�d�S�t�d�|���r�d�n�d�}�t�|�|�|�|���}�t�|�t���r!|�r!d�S�t�|�����d�|���d�|���d�|���d�|���� }�t�d ��|���}�|���S�)
ax���
Append a rule to the specified table/chain.
This function accepts a rule in a standard iptables command format,
starting with the chain. Trying to force users to adapt to a new
method of creating rules would be irritating at best, and we
already have a parser that can handle it.
CLI Example:
.. code-block:: bash
salt '*' iptables.append filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
IPv6:
salt '*' iptables.append filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT' \
family=ipv6
r����r����r����r'���FrW���r����r����r����)�r����r����r������boolr����r����)�r?���r=���r����r����r������returnCheckr����r6���r
���r
���r����r(���\���s��������������������$�����r(���c��������������������C���s����|�s�d�S�|�s�d�S�|�s�d�S�|�d�k�r+t�|�d���}�t�|�|���|���d�����}�|�|���d���}�|�d�k�r+d�}�t�d�|���r2d�n�d }�t�|�|�|�|���}�t�|�t���rD|�rDd
S�d���t�|���|�|�|�|�|���} t�d���| ��}
|
S�)
a����
Insert a rule into the specified table/chain, at the specified position.
This function accepts a rule in a standard iptables command format,
starting with the chain. Trying to force users to adapt to a new
method of creating rules would be irritating at best, and we
already have a parser that can handle it.
If the position specified is a negative number, then the insert will be
performed counting from the end of the list. For instance, a position
of -1 will insert the rule as the second to last rule. To insert a rule
in the last position, use the append function instead.
CLI Examples:
.. code-block:: bash
salt '*' iptables.insert filter INPUT position=3 \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
IPv6:
salt '*' iptables.insert filter INPUT position=3 \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT' \
family=ipv6
r����z8Error: Position needs to be specified or use append (-A)r����r����r����r����r4���r����r'���Fz�{} {} -t {} -I {} {} {}r����) r����r����r����r����r����r����r����r����r����)�r?���r=���r����r����r����r������sizer����r����r����r6���r
���r
���r������insert���s*�����������������
���������������������������r
���c���������������� ���C���sZ���|�r�|�r�d�S�|�r
|�}�t�d�|���r�d�n�d�}�t�|�����d�|���d�|���d�|���d�|���� }�t�d���|���}�|�S�)�aR���
Delete a rule from the specified table/chain, specifying either the rule
in its entirety, or the rule's position in the chain.
This function accepts a rule in a standard iptables command format,
starting with the chain. Trying to force users to adapt to a new
method of creating rules would be irritating at best, and we
already have a parser that can handle it.
CLI Examples:
.. code-block:: bash
salt '*' iptables.delete filter INPUT position=3
salt '*' iptables.delete filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
IPv6:
salt '*' iptables.delete filter INPUT position=3 family=ipv6
salt '*' iptables.delete filter INPUT \
rule='-m state --state RELATED,ESTABLISHED -j ACCEPT' \
family=ipv6
z2Error: Only specify a position or a rule, not bothr����r'���rW���r����z� -D r����r����)�r?���r=���r����r����r����r����r����r6���r
���r
���r������delete����s��������������$�����r����c��������������������C���s@���t�d�|���r�d�n�d�}�t�|�����d�|���d�|���d�|�����}�t�d���|���}�|�S�)�a����
Flush the chain in the specified table, flush all chains in the specified
table if not specified chain.
CLI Example:
.. code-block:: bash
salt '*' iptables.flush filter INPUT
IPv6:
salt '*' iptables.flush filter INPUT family=ipv6
r����r'���rW���r����r����r����r����r����r
���r
���r������flush����s������������r����Fc���������������� ���C���s����t���r�|�s�|�s�t�|���}�d�}�|�r,t�j�j���|�d�����}�|�����}�W�d���������n�1�s&w�������Y���n�|�r<t�|�����d���}�t�d���|���}�n�t�d�����i�}�d�}�t ��}�|��
��D���]�} t�j�j���| ��} | �
d���re| ��d�d���}�i�|�|�<�qK| �
d���r�| ����}
|
d ����d�d���}�i�|�|���|�<�|
d
��|�|���|���d�<�|
d�����d
d�����d�d���}�|���d���\�}
}�|
|�|���|���d�<�|�|�|���|���d�<�g�|�|���|���d�<�i�|�|���|���d�<�qK| �
d�����r�t�j�j���| ��}�d }�|�d
��t�|���k���rm|�|���d�k�o�|�|�d
�����
d���}�|�r�|�|�d
����|�|�����|�|�<�|�|�d
��<�|�|����
d�����ra|�d
7�}�|�|����
d�����s�|�|���d�k���r�|���s�|���|�d�����nH|�d
��t�|���k���ra|�|�d
����d�k���ra|�|�d
�����
d�����sa|�|�����d�|���|�d
��������7���<�|�d
��t�|���k���ra|�|�d
����d�k���ra|�|�d
�����
d�����r5|�d
7�}�|�d
��t�|���k�s�|�d����
d�����rz|���d�����g�}�|���|���\�}�}�t�|���}�i�}�|�d���}�|�D�]�}�|�|�����r�|�d�k���r�|�|���|�|�<���q�|�d���d�u���r�|�d���d ����d���}�|�|�|���|�d ����d���|�<�|�|���|�d ����d�����|�����qK|�S�)�zg
If a file is not passed in, and the correct one for this OS is not
detected, return False
r'�����rNr����r����z�A file was not found to parse��*r����r����r4���rN����������[��]z�packet countz
byte countr����Z
rules_comment��-Ar@���r����rW���r����r(���rX���r����)�r����r����r������filesZ�fopen��readr����r����r������_parserr.���Z�stringutilsZ
to_unicoderD���r����r5�����argsZ�shlex_splitr����r
���r����r(�����parse_known_args��varsr����)�r����r����r����r����Z�ifiler������retr?�����parserr"�����compsr=���Z�countersZ�pcountZ�bcountr������indexZ�swapZ�parsed_args��opts��_Z�ret_argsrF���rX���r
���r
���r����r��������s��������������
�����������������������
���
�
���������������������������������"�����$����������� ���������������
�������������������������������r����c��������������������C���sL���t�����}�|�j�}�|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d d
d�d�����|�d�d�d
d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d d!d"d�d�����|�d#d$d%d�d�����|�d&d'd(d�d�����|�d)d*d+d�d�����|�d,d-d.d�d�����|�d/d0d1d�d�����|�d2d3d4d�d�����|�d5d6d7d�d�����|�d8d9d:d�d�����|�d;d<d=d�d�����|�d>d?d@d�d�����|�dAdBd�d�����|�dCdDd�d�����|�dEdFd�d�����|�dGdHd�d�����|�dIdJd�d�����|�dKdLd�d�����|�dMdNd�d�����|�dOdPd�d�����|�dQdRd�d�����|�dSdTd�d�����|�dUdVd�d�����|�dWdXd�d�����|�dYdZd�d�����|�d[d\d�d�����|�d]d^d�d�����|�d_d`d�d�����|�dadbd�d�����|�dcddd�d�����|�dedfd�d�����|�dgdhd�d�����|�didjd�d�����|�dkdld�d�����|�dmdnd�d�����|�dodpd�d�����|�dqdrd�d�����|�dsdtd�d�����|�dudvd�d�����|�dwdxd�d�����|�dydzd�d�����|�d{d|d�d�����|�d}d~d�d�����|�dd�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d�d�d�d�����|�d���d�d�d�����|���d���d�d�d�����|���d���d���d�d�d�����|���d���d���d�d�d�����|���d ��d
d�d�����|���d���d�d�d�����|���d
��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d d�d�����|���d!��d"d�d�����|���d#��d$d�d�����|���d%��d&d�d�����|���d'��d(d�d�����|���d)��d*d�d�����|���d+��d,d�d�����|���d-��d.d�d�����|���d/��d0d�d�����|���d1��d2d�d�����|���d3��d4d�d�����|���d5��d6d�d�����|���d7��d8d�d�����|���d9��d:d�d�����|���d;��d<d�d�����|���d=��d>d�d�����|���d?��d@d�d�����|���dA��dBd�d�����|���dC��dDd�d�����|���dE��dFd�d�����|���dG��dHd�d�����|���dI��dJd�d�����|���dK��dLd�d�����|���dM��dNd�d�����|���dO��dPd�d�����|���dQ��dRd�d�����|���dS��dTd�d�����|���dU��dVd�d�����|���dW��dXd�d�����|���dY��dZd�d�����|���d[��d\d�d�����|���d]��d^d�d�����|���d_��d`d�d�����|���da��dbd�d�����|���dc��ddd�d�����|���de��dfd�d�����|���dg��dhd�d�����|���di��djd�d�����|���dk��dld�d�����|���dm��dnd�d�����|���do��dpd�d�����|���dq��drd�d�����|���ds��dtd�d�����|���du��dvd�d�����|���dw��dxd�d�����|���dy��dzd�d�����|���d{��d|d�d�����|���d}��d~d�d�����|���d��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���dÐ�d�d�d�����|���dŐ�d�d�d�����|���dǐ�d�d�d�����|���dɐ�d�d�d�����|���dː�d�d�d�����|���d͐�d�d�d�����|���dϐ�d�d�d�����|���dѐ�d�d�d�����|���dӐ�d�d�d�����|���dՐ�d�d�d�����|���dא�d�d�d�����|���dِ�d�d�d�����|���dې�d�d�d�����|���dݐ�d�d�d�����|���dߐ�d�d�d�����|���d��d�d�d�����|���d��d��d�d�d�����|���d��d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d ��d
d�d�����|���d���d�d�d�����|���d
��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d d�d�����|���d!��d"d�d�����|���d#��d$d�d�����|���d%��d&d�d�����|���d'��d(d�d�����|���d)��d*d�d�����|���d+��d,d�d�����|���d-��d.d�d�����|���d/��d0d�d�����|���d1��d2d�d�����|���d3��d4d�d�����|���d5��d6d�d�����|���d7��d8d�d�����|���d9��d:d�d�����|���d;��d<d�d�����|���d=��d>d�d�����|���d?��d@d�d�����|���dA��dBd�d�����|���dC��dDd�d�����|���dE��dFd�d�����|���dG��dHd�d�����|���dI��dJd�d�����|���dK��dLd�d�����|���dM��dNd�d�����|���dO��dPd�d�����|���dQ��dRd�d�����|���dS��dTd�d�����|���dU��dVd�d�����|���dW��dXd�d�����|���dY��dZd�d�����|���d[��d\d�d�����|���d]��d^d�d�����|���d_��d`d�d�����|���da��dbd�d�����|���dc��ddd�d�����|���de��dfd�d�����|���dg��dhd�d�����|���di��djd�d�����|���dk��dld�d�����|���dm��dnd�d�����|���do��dpd�d�����|���dq��drd�d�����|���ds��dtd�d�����|���du��dvd�d�����|���dw��dxd�d�����|���dy��dzd�d�����|���d{��d|d�d�����|���d}��d~d�d�����|���d��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���dÐ�d�d�d�����|���dŐ�d�d�d�����|���dǐ�d�d�d�����|���dɐ�d�d�d�����|���dː�d�d�d�����|���d͐�d�d�d�����|���dϐ�d�d�d�����|���dѐ�d�d�d�����|���dӐ�d�d�d�����|���dՐ�d�d�d�����|���dא�d�d�d�����|���dِ�d�d�d�����|���dې�d�d�d�����|���dݐ�d�d�d�����|���dߐ�d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d ��d
d�d�����|���d���d�d�d�����|���d
��d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|���d���d�d�d�����|�S�(����z�
This function attempts to list all the options documented in the
iptables(8) and iptables-extensions(8) man pages. They will not all be
used by all parts of the module; use them intelligently and appropriately.
r����z�--appendr(���)���dest��actionz�-Dz�--deleter����z�-Iz�--insertr
���z�-Rz --replacer����z�-Lz�--listr����z�-Fz�--flushr����z�-Zz�--zeroZ�zeroz�-Nz�--new-chainz new-chainz�-Xz�--delete-chainz�delete-chainz�-Pz�--policyrN���z�-Ez�--rename-chainz�rename-chainz�-pz
--protocolrO���z�-sz�--source��sourcez�-dz
--destinationZ�destinationz�-jz�--jumpr:���z�-gz�--gotoZ�gotoz�-iz�--in-interfacez�in-interfacez�-oz�--out-interfacez
out-interfacez�-fz
--fragment��fragmentz�-cz�--set-countersz�set-countersz�-mz�--matchrM���z
--src-typez�src-typez
--dst-typez�dst-typez�--limit-iface-inz�limit-iface-inz�--limit-iface-outz�limit-iface-outz�--ahspiZ�ahspiz�--ahlenZ�ahlenz�--ahresZ�ahresz
--bytecode��bytecodez�--cgroupZ�cgroupz�--cluster-total-nodesz�cluster-total-nodesz�--cluster-local-nodez�cluster-local-nodez�--cluster-local-nodemaskz�cluster-local-nodemaskz�--cluster-hash-seedz�cluster-hash-seedz
--h-lengthz�h-lengthz�--mangle-mac-sz�mangle-mac-sz�--mangle-mac-dz�mangle-mac-dz --commentrX���z�--connbytesZ connbytesz�--connbytes-dirz
connbytes-dirz�--connbytes-modez�connbytes-modez�--labelrk���z�--connlimit-uptoz�connlimit-uptoz�--connlimit-abovez�connlimit-abovez�--connlimit-maskz�connlimit-maskz�--connlimit-saddrz�connlimit-saddrz�--connlimit-daddrz�connlimit-daddrz�--markZ�markz --ctstateZ�ctstatez --ctprotoZ�ctprotoz�--ctorigsrcZ ctorigsrcz�--ctorigdstZ ctorigdstz�--ctreplsrcZ ctreplsrcz�--ctrepldstZ ctrepldstz�--ctorigsrcportZ
ctorigsrcportz�--ctorigdstportZ
ctorigdstportz�--ctreplsrcportZ
ctreplsrcportz�--ctrepldstportZ
ctrepldstportz
--ctstatusZ�ctstatusz
--ctexpireZ�ctexpirez�--ctdirZ�ctdirz�--cpuZ�cpuz�--sportz
--source-portZ�source_portz�--dportz�--destination-portZ�destination_portz�--dccp-typesz
dccp-typesz
--dccp-optionz�dccp-optionz�--src-groupz src-groupz�--dst-groupz dst-groupz�--dscpZ�dscpz�--dscp-classz
dscp-classz --dst-lenz�dst-lenz
--dst-optsz�dst-optsz
--ecn-tcp-cwrz�ecn-tcp-cwrz
--ecn-tcp-ecez�ecn-tcp-ecez�--ecn-ip-ectz
ecn-ip-ectz�--espspiZ�espspiz�--fragidZ�fragidz --fraglenZ�fraglenz --fragresZ�fragresz�--fragfirstZ fragfirstz
--fragmoreZ�fragmorez
--fraglastZ�fraglastz�--hashlimit-uptoz�hashlimit-uptoz�--hashlimit-abovez�hashlimit-abovez�--hashlimit-burstz�hashlimit-burstz�--hashlimit-modez�hashlimit-modez�--hashlimit-srcmaskz�hashlimit-srcmaskz�--hashlimit-dstmaskz�hashlimit-dstmaskz�--hashlimit-namez�hashlimit-namez�--hashlimit-htable-sizez�hashlimit-htable-sizez�--hashlimit-htable-maxz�hashlimit-htable-maxz�--hashlimit-htable-expirez�hashlimit-htable-expirez�--hashlimit-htable-gcintervalz�hashlimit-htable-gcintervalz --hbh-lenz�hbh-lenz
--hbh-optsz�hbh-optsz�--helperrj���z�--hl-eqz�hl-eqz�--hl-ltz�hl-ltz�--hl-gtz�hl-gtz�--icmp-typez icmp-typez
--icmpv6-typez�icmpv6-typez�--src-rangez src-rangez�--dst-rangez dst-rangez�--softZ�softz�--header��headerz�--ipvsZ�ipvsz�--vprotoZ�vprotoz�--vaddrZ�vaddrz�--vportZ�vportz�--vdirZ�vdirz --vmethodZ�vmethodz
--vportctlZ�vportctlz�--length��lengthz�--limit��limitz
--limit-burstz�limit-burstz�--mac-sourcez
mac-sourcez --mh-typez�mh-typez�--sportsz�--source-portsz�source-portsz�--dportsz�--destination-portsz�destination-portsz�--portsZ�portsz
--nfacct-namez�nfacct-namez�--genreZ�genrez�--ttlr����z�--logr,���z�--uid-ownerz uid-ownerz�--gid-ownerz gid-ownerz�--socket-existsz
socket-existsz�--physdev-inz
physdev-inz
--physdev-outz�physdev-outz�--physdev-is-inz
physdev-is-inz�--physdev-is-outz�physdev-is-outz�--physdev-is-bridgedz�physdev-is-bridgedz
--pkt-typez�pkt-typez�--dir��dirz�--polZ�polz�--strict��strictz�--reqidZ�reqidz�--spiZ�spiz�--protorL���z�--mode��modez�--tunnel-srcz
tunnel-srcz�--tunnel-dstz
tunnel-dstz�--next��nextz�--quotaZ�quotaz --rateestZ�rateestz
--rateest1Z�rateest1z
--rateest2Z�rateest2z�--rateest-deltaz
rateest-deltaz
--rateest-bpsz�rateest-bpsz�--rateest-bps1z�rateest-bps1z�--rateest-bps2z�rateest-bps2z
--rateest-ppsz�rateest-ppsz�--rateest-pps1z�rateest-pps1z�--rateest-pps2z�rateest-pps2z�--rateest-ltz
rateest-ltz�--rateest-gtz
rateest-gtz�--rateest-eqz
rateest-eqz�--rateest-namer����z�--rateest-intervalr����z�--rateest-ewmaz�rateest-ewmaz�--realmZ�realmz�--namer;���z�--setrY���z --rsourceZ�rsourcez�--rdestZ�rdestz�--maskrs���z�--rcheckZ�rcheckz�--update��updatez�--remove��removez --seconds��secondsz�--reapZ�reapz
--hitcountZ�hitcountz�--rttlZ�rttlz�--looseZ�loosez�--validmarkZ validmarkz�--accept-localz�accept-localz�--invert��invertz --rt-typez�rt-typez
--rt-segsleftz�rt-segsleftz�--rt-lenz�rt-lenz
--rt-0-resz�rt-0-resz�--rt-0-addrsz
rt-0-addrsz�--rt-0-not-strictz�rt-0-not-strictz
--chunk-typesz�chunk-typesz�--match-setrQ���z�--return-nomatchz�return-nomatchz�--update-countersz�update-countersz�--update-subcountersz�update-subcountersz�--packets-eqz
packets-eqz�--packets-ltz
packets-ltz�--packets-gtz
packets-gtz
--bytes-eqz�bytes-eqz
--bytes-ltz�bytes-ltz
--bytes-gtz�bytes-gtz
--transparentZ�transparentz�--nowildcardZ
nowildcardz�--stater<���z
--probabilityZ�probabilityz�--everyZ�everyz�--packetZ�packetz�--algoZ�algoz�--from��fromz�--tor����z�--stringr����z�--hex-stringz
hex-stringz�--tcp-flagsz tcp-flagsz�--synZ�synz�--tcp-optionz
tcp-optionz�--mssZ�mssz�--datestartZ datestartz
--datestopZ�datestopz�--timestartZ timestartz
--timestopZ�timestopz�--monthdaysZ monthdaysz
--weekdaysZ�weekdaysz�--contiguous�
contiguousz
--kerneltzZ�kerneltzz�--utc��utcz --localtzZ�localtzz�--tosZ�tosz�--ttl-eqz�ttl-eqz�--ttl-gtz�ttl-gtz�--ttl-ltz�ttl-ltz�--u32��u32z�--conditionZ conditionz�--macZ�macz
--lower-limitz�lower-limitz
--upper-limitz�upper-limitz�--src-ccz�--source-countryz�source-countryz�--dst-ccz�--destination-countryz�destination-countryz --enabled��enabledz
--disabled��disabledz�--ifaceZ�ifacez�--dev-inz�dev-inz --dev-outz�dev-outz�--upZ�upz�--downZ�downz�--broadcast� broadcastz
--loopbackZ�loopbackz�--pointtopointZ�pointtopointz --runningZ�runningz�--noarpZ�noarpz�--arpZ�arpz --promiscZ�promiscz�--multicastZ multicastz --dynamicZ�dynamicz
--lower-upz�lower-upz --dormantZ�dormantz�--edkZ�edkz�--kazaaZ�kazaaz�--gnuZ�gnuz�--dcZ�dcz�--bit��bitz�--appleZ�applez�--soulZ�soulz�--winmxZ�winmxz�--aresZ�aresz�--debugr����z�--flags��flagsz�--anyr$���z�--layer3Z�layer3z�--layer4Z�layer4z�--layer5Z�layer5z --stealthZ�stealthz --synscanZ�synscanz�--cnscanZ�cnscanz�--grscanZ�grscanz�--psd-weight-thresholdz�psd-weight-thresholdz�--psd-delay-thresholdz�psd-delay-thresholdz�--psd-lo-ports-weightz�psd-lo-ports-weightz�--psd-hi-ports-weightz�psd-hi-ports-weightz�--growZ�growz�--no-changez no-changez --packetsZ�packetsz�--knockportsZ
knockportsz�--time��timez�--autocloseZ autoclosez --checkipZ�checkipz�--typer����z�--checksum-fillr^���z�--set-classr����z�--newrt���z
--hashmoderi���z�--clustermacr`���z
--total-nodesr����z�--local-noderl���z�--hash-initrh���z�--set-xmarkr����z�--save-markr����z�--restore-markr����z
--and-markr\���z --or-markr~���z
--xor-markr����z
--set-markr����z�--nfmaskru���z�--ctmaskrb���z�--saver>���z --restorer����z --notrackr{���z
--cteventsra���z�--expeventsrf���z�--zoner����z --timeoutr����z�--to-destinationr����z�--randomr����z�--persistentr����z --src-pfxr����z --dst-pfxr����z
--set-dscpr����z�--set-dscp-classr����z�--ecn-tcp-removerd���z�--hl-setr����z�--hl-decr����z�--hl-incr����z
--hmark-tupler����z�--hmark-modr����z�--hmark-offsetr����z�--hmark-src-prefixr����z�--hmark-dst-prefixr����z�--hmark-sport-maskr����z�--hmark-dport-maskr����z�--hmark-spi-maskr����z�--hmark-proto-maskr����z�--hmark-rndr����z�--led-trigger-idr����z�--led-delayr����z�--led-always-blinkr����z�--log-levelrn���z�--log-prefixro���z�--log-tcp-sequencerq���z�--log-tcp-optionsrp���z�--log-ip-optionsrm���z --log-uidrr���z
--to-portsr����z
--nflog-grouprv���z�--nflog-prefixrw���z
--nflog-rangerx���z�--nflog-thresholdry���z�--queue-numr����z�--queue-balancer����z�--queue-bypassr����z�--queue-cpu-fanoutr����z�--rateest-ewmalogr����z
--reject-withr����z�--nodstrz���z�--selctxr����z --add-setr[���z --del-setrc���z�--existre���z�--to-sourcer����z --set-mssr����z�--clamp-mss-to-pmtur_���z�--strip-optionsr����z --gatewayrg���z --set-tosr����z --and-tosr]���z�--or-tosr���z --xor-tosr����z --on-portr}���z�--on-ipr|���z
--tproxy-markr����z --ttl-setr����z --ttl-decr����z --ttl-incr����z�--ulog-nlgroupr����z
--ulog-prefixr����z�--ulog-cpranger����z�--ulog-qthresholdr����z�--addrr����z�--tnamer����z�--deluder����z�--tarpitr����z --set-macr����z�--prefixr����z�--reuser����z�--staticr����z
--and-maskr����z --or-maskr����z�--shiftr����z
--honeypotr����z�--resetr����)���argparse��ArgumentParser��add_argument)�r����Z�add_argr
���r
���r����r����5���s������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������r����)�r
���r����)�r8���NNr'���Nr
���)�Nr
���)�r8���NNr
���)�r8���Nr
���)�r8���NNNr
���)�NNNr
���)�r8���r'���r
���)�NFr
���)+��__doc__r9�����loggingr����r)���r����r����Z�salt.utils.argsr����Z�salt.utils.filesZ�salt.utils.pathZ�salt.exceptionsr����Z
salt.stater����r����� getLogger��__name__r,���r����r����r����r����r����r3���r7���r����r����r����r����r����r����r>���r����r����r����r����r(���r
���r����r����r����r����r
���r
���r
���r������<module>����sZ���������������������������
���
��3
�
"������������
���
z
�
�
�
�
�
8
�
�
�
#
3
%
��I