403

������is������������������	���@���s`��d�dl�mZ�d�dlZd�dlZd�dlZd�dlmZ�d�dlmZm	Z	m
Z
mZmZ�d�dl
mZmZmZmZmZmZmZ�d�dlmZmZmZmZmZmZmZmZmZ�d�dlm Z �d�dl!m"Z"m#Z#�d�d	l$m%Z%�d
Z&e&d�d�Z'e&d�d
�Z(dZ)dZ*i�ddde*�fidde*�fdde*�fdde*�fd�dd�e*�fdd�e*�fdd�e*�fdd�e*�fd�d�Z+G�dd��de,�Z-dS�)�����)�GLibN)�log)�	check_mac�getPortRange�normalizeIP6�check_single_address�
check_address)�
FirewallError�
UNKNOWN_ERROR�INVALID_RULE�INVALID_ICMPTYPE�INVALID_TYPE�
INVALID_ENTRY�INVALID_PORT)	�Rich_Accept�Rich_Reject�	Rich_Drop�	Rich_Mark�Rich_Masquerade�Rich_ForwardPort�Rich_IcmpBlock�Rich_Tcp_Mss_Clamp�
Rich_NFLog)�DEFAULT_ZONE_TARGET)�
ICMP_TYPES�ICMPV6_TYPES)�NftablesZ	firewalld�_Zpolicy_dropZprobeZpolicy_�
����
PREROUTING�
preroutingij���i����Zpostrouting�d����output)r����POSTROUTING�OUTPUT�inputZforward)r����INPUT�FORWARDr$���)�raw�mangle�nat�filterc�������������������@���sr��e�Zd�Zd�ZdZdd��Zdd��Zdd��Zdd	��Zd
d��Z	dd
��Z
dd��Zdd��Zdd��Z
d�dd�Zdd��Zdd��Zdd��Zdd��Zdd ��Zd�d!d"�Zd#d$��Zd�d&d'�Zd(d)��Zd*d+��Zd�d-d.�Zd/d0��Zd1d2��Zd3d4��Zd5d6��Zd7d8��Zd9d:��Zd;d<��Z d=d>��Z!d?d@��Z"dAdB��Z#dCdD��Z$dEdF��Z%dGdH��Z&dIdJ��Z'dKdL��Z(dMdN��Z)d�dOdP�Z*dQdR��Z+dSdT��Z,dUdV��Z-dWdX��Z.d�dYdZ�Z/d�d[d\�Z0d�d]d^�Z1d�d_d`�Z2dadb��Z3d�dcdd�Z4d�dedf�Z5d�dgdh�Z6d�didj�Z7dkdl��Z8d�dmdn�Z9dodp��Z:d�dqdr�Z;dsdt��Z<dudv��Z=dwdx��Z>dydz��Z?d�d{d|�Z@d�d}d~�ZAdd���ZBd�d�d��ZCd�d���ZDd�d���ZEd�d���ZFd�d���ZGd�d���ZHd�d���ZId�d���ZJd�d�d��ZKdS�)��nftablesTc�����������������C���sZ���||�_�d|�_d|�_g�|�_i�|�_i�|�_i�|�_i�|�_i�|�_t	��|�_
|�j
�d��|�j
�d��d�S�)NTF)
�_fwZrestore_command_exists�supports_table_ownerZavailable_tables�rule_to_handle�rule_ref_count�rich_rule_priority_counts�policy_priority_counts�zone_source_index_cacher���r,����set_echo_outputZset_handle_output)�self�fw��r7����:/usr/lib/python3.9/site-packages/firewall/core/nftables.py�__init__\���s����znftables.__init__c�����������������C���s��z�ddddiidddt�dd	gd
�iigi}|�j�|�\}}}|rHtd��ddddiidddt�d
�iigi}|�j�d��|�j�|�\}}}|�j�d��|d�d�d�d�}|��dddt�d
�ii|�j�����d|vs�d	|vr�td��t�	d��d|�_
W�n���t�	d��d|�_
Y�n0�d�S�)Nr,����metainfo�json_schema_version�����add�table�inet�owner�persist)�family�name�flagsz!nftables probe table owner failed�list�rB���rC���FTrD����deletez3nftables: probe_support(): owner flag is supported.z7nftables: probe_support(): owner flag is NOT supported.)�TABLE_NAME_PROBEr,����json_cmd�
ValueErrorr4����set_ruler-����get_log_deniedr����debug2r.���)r5����rules�rcr"���r���rD���r7���r7���r8����_probe_support_table_ownerk���sH����
�����
���

z#nftables._probe_support_table_ownerc�����������������C���s���|������d�S��N)rP����r5���r7���r7���r8����
probe_support����s����znftables.probe_supportc�����������������C���sx��dD�]}||v�r�qqd||�d�v�r^||�d�d�d�||�d�d�d�f}||�d�d=�n(d||�d�v�r�d�}||�d�d=�nd�S�||�d�d�}|r�|dkr�||v�r�|||�v�r�||���|��n�|dk�rt||vr�g�||<�|�r&|||�v�r||��|��||�jd	d
��d��||��|�}nt||��}||�}||=�|dk�rT||d
<�n |d8�}||d<�||d�d�d<�d�S�)N�r=����insertrG����%%ZONE_SOURCE%%�rule�zone�address�%%ZONE_INTERFACE%%rB���rG���c�����������������S���s���|�d�S�)Nr���r7�����xr7���r7���r8����<lambda>���������z3nftables._run_replace_zone_source.<locals>.<lambda>)�keyr���rU���r<���r=����index)�remove�append�sortr`����len)r5���rW���r3����verbZzone_sourcerB���r`����
_verb_snippetr7���r7���r8����_run_replace_zone_source����sD�����
�

z!nftables._run_replace_zone_sourcec�����������������C���sB���d|v�rdt��|d��iS�d|v�r4dt��|d��iS�ttd��d�S�)NrU���rG���r=���zFailed to reverse rule)�copy�deepcopyr	���r
���)r5����dictr7���r7���r8����reverse_rule����s
����znftables.reverse_rulec�����������
������C���s���dD�]}||v�r�qq|||�d�v��r�||�d�|�}||�d�|=�t�|�tkr\ttd��||�d�d�||�d�d�f}|dkr�||vs�|||�vs�||�|�dkr�ttd��||�|��d	8��<�n�||vr�i�||<�|||�vr�d||�|<�d}t||�����D�]J}||k�r"|d
k�r"��qP|||�|�7�}||k�r|dk�r��qP�q||�|��d	7��<�||�}	||=�|dk�r�|	|d
<�n |d	8�}|	|d<�||d�d�d<�d�S�)
NrT���rW���z%priority must be followed by a numberrB����chainrG���r���z*nonexistent or underflow of priority countr<���rU���r=���r`���)�type�intr	���r���r
����sorted�keys)
r5���rW���Zpriority_counts�tokenre����priorityrl���r`����prf���r7���r7���r8����_set_rule_replace_priority����sH����
 
��

z#nftables._set_rule_replace_priorityc�����������������C���sb���dD�]X}||v�rd||�v�rt��||�d��}dD�]}||v�r2||=�q2tj|dd�}|��S�qd�S�)NrT���rW���)r`����handleZpositionT)Z	sort_keys)rh���ri����json�dumps)r5���rW���re����rule_keyZnon_keyr7���r7���r8����
_get_rule_key���s����
znftables._get_rule_keyc�����������������C���sX��g�d�}g�d�}g�}g�}t��|�j�}t��|�j�}t��|�j�}	|�j����}
|D��]�}t|�tkrjtt	d|���|D�]}||v�rn�q�qn||vr�tt
d|���|��|�}
|
|
v��r4t�
d|�j|
|
�|
��|dkr�|
|
��d7��<�qJnV|
|
�dkr�|
|
��d8��<�qJn6|
|
�dk�r|
|
��d8��<�ntt	d|
|
|
�f���n|
�rL|dk�rLd|
|
<�|�|��t��|�}|
�r�ttd�||�d	�d
���||�d	�d
<�|��||d��|��||d��|��||	��|dk�r�dd	|d�d	�d
�|d�d	�d�|d�d	�d�|�j|
�d�ii}|�|��qJddddiig|�i}t���dk�rDt�d|�jt�|���|�j�|�\}}}|dk�rxtdd|t�|�f���||�_||�_|	|�_|
|�_d}|D�]�}|d7�}|��|�}
|
�s��q�d|v��r�|�j|
=�|�j|
=��q�|D�]}||d�|�v��r���q��q�||d�|�v�r�q�t|d�|�|�d	�d�k�r2�q�|d�|�|�d	�d�|�j|
<��q�d�S�)N)r=���rU���rG����flush�replace)r=���rU���r{���z#rule must be a dictionary, rule: %szno valid verb found, rule: %sz%s: prev rule ref cnt %d, %srG���r<���z)rule ref count bug: rule_key '%s', cnt %drW����expr�%%RICH_RULE_PRIORITY%%�%%POLICY_PRIORITY%%rB���r>���rl���)rB���r>���rl���ru���r,���r:���r;�������z.%s: calling python-nftables with JSON blob: %sr���z'%s' failed: %s
JSON blob:
%szpython-nftablesru���)rh���ri���r1���r2���r3���r0���rm���rj���r	���r
���r���ry���r���rM����	__class__rb���rE���r+���rt���rg���r/���ZgetDebugLogLevelZdebug3rv���rw���r,���rI���rJ����TABLE_NAME_POLICY)r5���rN����
log_deniedZ_valid_verbsZ_valid_add_verbsZ_deduplicated_rulesZ_executed_rulesr1���r2���r3���r0���rW���re���rx���Z_ruleZ	json_blobrO���r"����errorr`���r7���r7���r8����	set_rules��s�����

�
�

&
�

�

znftables.set_rulesc�����������������C���s���|���|g|��dS�)N��)r����)r5���rW���r����r7���r7���r8���rK���s��s����znftables.set_ruleNc�����������������C���s���|r
|gS�t����S�rQ���)�IPTABLES_TO_NFT_HOOKrp����r5���r>���r7���r7���r8����get_available_tablesw��s����znftables.get_available_tablesc�����������������C���sB���ddd|d�ii}|t�kr<|�jjr<|�jr<ddg|d�d�d<�|gS�)Nr=���r>���r?���rF���r@���rA���rD���)�
TABLE_NAMEr-���Z_nftables_table_ownerr.���)r5���r>���rW���r7���r7���r8����_build_add_table_rules{��s�������znftables._build_add_table_rulesc�����������������C���s���|���|�ddd|d�iig�S�)NrG���r>���r?���rF���)r����r����r7���r7���r8����_build_delete_table_rules���s�����z"nftables._build_delete_table_rulesc�����������������C���s(���i�|�_�i�|�_i�|�_i�|�_i�|�_|��t�S�rQ���)r/���r0���r1���r2���r3���r����r����rR���r7���r7���r8����build_flush_rules���s����znftables.build_flush_rulesc�����������������C���sP���ddd�|�}|ddt�dd|f�dd	d
diidd
ddgid�idd�igd�iiS�)Nr=���rG����TFrW���r?����%s_%sr+����match�ctr_����state�in�set�established�related��left�op�right�accept�rB���r>���rl���r|���)r����)r5����enable�hook�add_delr7���r7���r8����_build_set_policy_rules_ct_rule���s����

���z(nftables._build_set_policy_rules_ct_rulec��������������
���C���s\��g�}|dkrZ|��|��t���dD�]6}|�dddtdd|f�d|d	t�d
�dd�ii��q n�|d
k�r4|��|��t���dD�]�}||�}|dv�s�J��|���}d|���}|�dddt|d|dt�d
�dd�ii��|�|��d|���|dkr�dd�i}n"|d
k�rdd�i}ndddd�i}|�dddt||gd�ii��qxn$|dk�rN||��t�7�}n
tt	d��|S�)NZPANIC)r ���r"���r=���rl���r?���r����r(���r+���i���r<����drop)rB���r>���rC���rm���r�����prio�policy�DROP)r&���r'���r$���)�ACCEPT�REJECTr����Zfilter_r���Tr����r�����reject�icmpx�admin-prohibited�rm���r|���rW���r����znot implemented)
�extendr����r����rb����NFT_HOOK_OFFSET�lowerr����r����r	���r
���)r5���r����Zpolicy_detailsrN���r����Zd_policyZ
chain_nameZ
expr_fragmentr7���r7���r8����build_set_policy_rules���sb����

�

�����

znftables.build_set_policy_rulesc�����������������C���sJ���t���}|d�u�s|dkr$|�t�����|d�u�s4|dkrB|�t�����t|�S�)N�ipv4�ipv6)r�����updater���rp���r���rE���)r5����ipvZ	supportedr7���r7���r8����supported_icmp_types���s����znftables.supported_icmp_typesc�����������������C���s
���|���t�S�rQ���)r����r����rR���r7���r7���r8����build_default_tables���s����znftables.build_default_tables�offc�����������������C���s"��g�}t�d����D�]�}|�dddtd|�ddt�d�|�d��t�d�|�d	�d
�ii��dD�]&}|�dddtd||f�d
�ii��qXdD�]6}|�dddtd|�ddd||f�iigd�ii��q�qt�d����D��]}|�dddtd|�ddt�d�|�d��t�d�|�d	�d
�ii��|dv��r|dD�]Z}|�dddtd||f�d
�ii��|�dddtd|�ddd||f�iigd�ii���qq�dD�](}|�dddtd||f�d
�ii���q�dD�]8}|�dddtd|�ddd||f�iigd�ii���q�q�t�d����D�]F}|�dddtd|�ddt�d�|�d��t�d�|�d	�d
�ii���q�|�dddtdd�ddddiiddd d!gid"�id#d�igd�ii��|�dddtdd�dddd$iidd%d"�id#d�igd�ii��|�dddtdd�dd&dd'iid(d)d"�id#d�igd�ii��|d*k�rR|�dddtdd�ddddiiddd+gid"�i|��|�d,d-d.iigd�ii��|�dddtdd�ddddiiddd+gid"�id/d�igd�ii��dD�](}|�dddtd0d|f�d
�ii���q�dD�]8}|�dddtdd�ddd0d|f�iigd�ii���q�|d*k�r<|�dddtdd�|��|�d,d-d1iigd�ii��|�dddtdd�d2d3d4d5�igd�ii��|�dddtdd6�ddddiiddd d!gid"�id#d�igd�ii��|�dddtdd6�dddd$iidd%d"�id#d�igd�ii��|�dddtdd6�dd&dd'iid(d)d"�id#d�igd�ii��|d*k�r||�dddtdd6�ddddiiddd+gid"�i|��|�d,d-d.iigd�ii��|�dddtdd6�ddddiiddd+gid"�id/d�igd�ii��d7D�](}|�dddtd0d6|f�d
�ii���q�dD�]Z}|�dddtd0d6|f�d
�ii��|�dddtdd6�ddd0d6|f�iigd�ii���q�d8D�](}|�dddtd0d6|f�d
�ii���qP|d*k�r�|�dddtdd6�|��|�d,d-d1iigd�ii��|�dddtdd6�d2d3d4d5�igd�ii��|�dddtdd9�ddddiiddd d!gid"�id#d�igd�ii��|�dddtd:dd&dd;iid(d)d"�id#d�igd�ii��d7D�]Z}|�dddtd0d9|f�d
�ii��|�dddtdd9�ddd0d9|f�iigd�ii���qbd8D�]Z}|�dddtd0d9|f�d
�ii��|�dddtdd9�ddd0d9|f�iigd�ii���q�|S�)<Nr)���r=���rl���r?���z	mangle_%sr+����%sr���r<���)rB���r>���rC���rm���r����r����)�POLICIES_pre�ZONES�
POLICIES_postzmangle_%s_%s�rB���r>���rC���)r����rW����jump�targetr����r*���znat_%s)r$���)r����r�����	nat_%s_%sz	filter_%sr&���r����r����r_���r����r����r����r����r����r����r�����status�dnat�meta�iifname�==�lor����Zinvalidr����prefixzSTATE_INVALID_DROP: r�����filter_%s_%szFINAL_REJECT: r����r����r����r����r'���)r����)r����r$����
filter_OUTPUT�oifname)r����rp���rb���r�����_pkttype_match_fragment)r5���r����Z
default_rulesrl���Zdispatch_suffixr7���r7���r8����build_default_rules���s���
�

�
�
�

�
�

�
�
�

���
���
���

�
��
���

�
�

��
�

���
���
���

�
��
���

�

�
�

�

��
�

���
���

�
�

�
�znftables.build_default_rulesc�����������������C���s2���|dkrddgS�|dkrdgS�|dkr.ddgS�g�S�)Nr+���r&���r'���r)���r���r*���r#���r7���r����r7���r7���r8����get_zone_table_chains���s����znftables.get_zone_table_chainsc	��������������
������sJ���j�j�|���jdk�rdnd��dkr4�dkr4dnd}	�j�j�|�t|	���g�}
g�}g�}g�}
|D�]V}|t|�d��d	kr�|
�d
ddd
iid|d�t|�d���d�d�i��q`|�|��q`|D�]X}|t|�d��d	k�r
|�d
dddiid|d�t|�d���d�d�i��q�|
�|��q�|�r>|
�d
ddd
iidd|id�i��|
�rf|�d
dddiidd|
id�i��|�r�|D�]}|
���d|����qp|�r�|D�]}|���d|����q���������fdd�}g�}|
�r|
D�]:}|�r�|D�]}|�|||����q�n|�||d�����q�n4|�r6|D�]}|�|d�|����qn|�|d�d����|S�)Nr����pre�postr*���r#���TFr<����+r����r����r_���r����r�����*r����r����r�����saddr�daddrc��������������������s����|�rT|rTd|�d�d�v�rTd|d�d�v�rT|�d�d�d�d�|d�d�d�d�krTd�S�g�}|�rf|��|���|rt|��|��|��ddd���f�ii��dtd	���f�|d
�}|��������r�dd|iiS�d
d|iiS�d�S�)N�payloadr����r�����protocolr����r����r����r?���z%s_%s_POLICIES_%sr����r=���rW���rG���)rb���r����r�����_policy_priority_fragment)�ingress_fragment�egress_fragment�expr_fragmentsrW�����_policyrl����chain_suffixr�����p_objr5���r>���r7���r8����_generate_policy_dispatch_rule��s0�������

�zRnftables.build_policy_ingress_egress_rules.<locals>._generate_policy_dispatch_rule)	r-���r�����
get_policyrr����policy_base_chain_name�POLICY_CHAIN_PREFIXrd���rb����_rule_addr_fragment)r5���r����r����r>���rl���Zingress_interfacesZegress_interfacesZingress_sourcesZegress_sources�isSNATZingress_fragmentsZegress_fragmentsZ$ingress_interfaces_without_wildcardsZ#egress_interfaces_without_wildcardsZingress_interfaceZegress_interface�src�dstr����rN���r����r����r7���r����r8����!build_policy_ingress_egress_rules���sf�������
�
z*nftables.build_policy_ingress_egress_rulesFc�����������������C���sN��|dkr|dkrdnd}|�j�jj||t|d�}	dddddd�|�}
|t|�d	��d
krn|d�t|�d	���d�}d}|dkr�|d
d||	f�iig}n,ddd|
iid|d�i|d
d||	f�iig}|r�|s�d}
dtd||f�|d�}|�|������nP|�rd}
dtd||f�|d�}n.d}
dtd||f�|d�}|�s@|�|������|
d|iigS�)Nr*���r#���TF�r����r����r�����r���r#���r&���r'���r$���r<���r����r�����gotor����r����r����r����r_���r����r����rU���r?����%s_%s_ZONESr����r=���rG���rW���)r-���r����r����r����rd���r����r�����_zone_interface_fragment)r5���r����rX���r�����	interfacer>���rl���rb���r����r�����opt�actionr����re���rW���r7���r7���r8����!build_zone_source_interface_rules5��sZ��������
�
�
�z*nftables.build_zone_source_interface_rulesc�����������
���	���C���s����|dkr|dkrdnd}|�j�jj||t|d�}ddd�|�}	d	d
d	d	d
d�|�}
d}d
td||f�|��|
|�|dd||f�iigd�}|�|��||���|	d|iigS�)Nr*���r#���TFr����rU���rG���r����r����r����r����r����r?���r����r����r����r����rW���)r-���r����r����r����r����r����r�����_zone_source_fragment)
r5���r����rX���r����rY���r>���rl���r����r����r����r����r����rW���r7���r7���r8����build_zone_source_address_rulesg��s*������

��z(nftables.build_zone_source_address_rulesc�����������������C���sp��ddd�|�}|dkr"|dkr"dnd}|�j�jj||t|d�}|�j�j�|�}g�}	|	�|d	d
td||f�d�ii��d
D�](}
|	�|d	d
td|||
f�d�ii��qt|jr�|	�ddd
td||f�ddd||df�iigd�ii��d
D�]<}
|	�|dd
td||f�ddd|||
f�iigd�ii��q�|j�r^|	�ddd
td||f�ddd||df�iigd�ii��|�j�jj|�j	}|�j��
��dk�r�|dk�r�|tdddfv��r�|}|tdfv��r�d}|	�|dd
td||f�|��|�j��
���ddd||f�iigd�ii��|dk�r^|tddddfv��r^|tddfv��r,|��
��}
n|���d�i}
|	�|dd
td||f�|
gd�ii��|�sl|	����|	S�)Nr=���rG���r����r*���r#���TFr����rl���r?���r����r����)r����r����deny�allowr�����%s_%s_%srW���r����r����r����r����r����r����r+���r����z
%%REJECT%%r����r���r����zfilter_%s_%s: r����)r-���r����r����r����r����rb���r����Zderived_from_zoneZ	_policiesr����rL���r���r�����_reject_fragmentr�����reverse)r5���r����r����r>���rl���r����r����r����r����rN���r����r����Z
log_suffix�target_fragmentr7���r7���r8����build_policy_chain_rules��sx����

�
�

�

��
�

�z!nftables.build_policy_chain_rulesc�����������������C���s<���|dkri�S�|dv�r,ddddiid|d�iS�t�td	|��d�S�)
N�all)�unicast�	broadcastZ	multicastr����r����r_����pkttyper����r����zInvalid pkttype "%s"�r	���r���)r5���r����r7���r7���r8���r�������s�����z nftables._pkttype_match_fragmentc�����������������C���s��dddd�idddd�idddd�idddd�idddd�idddd�idddd�idddd�idddd�idddd�iddd	d�iddd	d�iddd
d�iddd
d�iddd
d�idddd�idddd�iddd
d�iddd
d�idddd�idddd�idddiidddiid�}||�S�)Nr�����icmpzhost-prohibitedr����znet-prohibitedr�����icmpv6znet-unreachablezhost-unreachablezport-unreachabler����zprot-unreachablezaddr-unreachable�no-routerm���z	tcp reset)zicmp-host-prohibitedzhost-prohibzicmp-net-prohibitedz
net-prohibzicmp-admin-prohibitedzadmin-prohibzicmp6-adm-prohibitedzadm-prohibitedzicmp-net-unreachableznet-unreachzicmp-host-unreachablezhost-unreachzicmp-port-unreachablezicmp6-port-unreachablezport-unreachzicmp-proto-unreachablez
proto-unreachzicmp6-addr-unreachable�addr-unreachzicmp6-no-router����z	tcp-resetztcp-rstr7���)r5���Zreject_typeZfragsr7���r7���r8����_reject_types_fragment���s2����

�znftables._reject_types_fragmentc�����������������C���s���dddd�iS�)Nr����r����r����r����r7���rR���r7���r7���r8���r�������s�����znftables._reject_fragmentc�����������������C���s ���ddddiiddddgid	�iS�)
Nr����r����r_����l4protor����r����r����r����r����r7���rR���r7���r7���r8����_icmp_match_fragment���s����
�znftables._icmp_match_fragmentc�����������������C���sn���|si�S�ddddd�}z|j��d�}W�n�tyB���ttd��Y�n0�dt|j�d	|���||j�|d
���d�iS�)N�secondZminuteZhourZday)�s�m�h�d�/zExpected '/' in limit�limitr���r<���)ZrateZper)�valuer`���rJ���r	���r���rn���)r5���r��Zrich_to_nft�ir7���r7���r8����_rich_rule_limit_fragment���s������z"nftables._rich_rule_limit_fragmentc�����������������C���s����t�|j�ttttfv�rn<|jrJt�|j�ttt	t
fvrTttdt�|j����n
ttd��|j
dkr�t�|j�tttfv�s�t�|j�tt
fv�r�dS�t�|j�tfv�s�t�|j�tt	fv�r�dS�n|j
dk�r�dS�dS�d�S�)N�Unknown action %szNo rule action specified.r���r����r����r����r����)rm����elementr���r���r���r���r����r���r���r���r���r	���r���rr����r5����	rich_ruler7���r7���r8����_rich_rule_chain_suffix��s$����

��
z nftables._rich_rule_chain_suffixc�����������������C���s:���|j�s|jsttd��|jdkr$dS�|jdk�r2dS�dS�d�S�)NzNot log or auditr���r���r����r����)r����auditr	���r���rr���r
��r7���r7���r8���� _rich_rule_chain_suffix_from_log��s����

z)nftables._rich_rule_chain_suffix_from_logc�����������������C���s���dd�iS�)NrZ���r7���rR���r7���r7���r8���r����(��s����z!nftables._zone_interface_fragmentc�����������������C���sN���t�d|�rt|�}n,td|�r@|�d�}t|d��d�|d��}d||d�iS�)Nr����r��r���r<���rV���)rX���rY���)r���r���r����split)r5���rX���rY���Z
addr_splitr7���r7���r8���r����+��s����

znftables._zone_source_fragmentc�����������������C���s
���d|j�iS�)Nr~����rr���)r5���r����r7���r7���r8���r����3��s����z"nftables._policy_priority_fragmentc�����������������C���s���|r|j�dkri�S�d|j�iS�)Nr���r}���r��r
��r7���r7���r8����_rich_rule_priority_fragment6��s����z%nftables._rich_rule_priority_fragmentc�����������������C���s
��|j�s
i�S�|�jj�||t�}ddd�|�}|��|�}i�}	t|j��tkr||j�jrZt	|j�j�nd|	d<�|j�j
r�t	|j�j
�|	d<�n,|j�jr�d|j�jkr�dn|j�j}
d	|
�|	d
<�|j�jr�d	|j�j�|	d<�dt
d
|||f�||��|j�j�d|	ig�d�}|�|��|���|d|iiS�)Nr=���rG���r����r����groupzqueue-thresholdZwarning�warnr�����levelr����r?���r����r���r����rW���)r���r-���r����r����r����r��rm���r���r��rn���Z	thresholdr��r����r����r
��r��r����r��)r5���r����r��r����r>���r����r����r����r����Zlog_optionsr��rW���r7���r7���r8����_rich_rule_log;��s4����
���znftables._rich_rule_logc�����������
������C���s����|j�s
i�S�|�jj�||t�}ddd�|�}|��|�}dtd|||f�||��|j�j�dddiig�d	�}	|	�	|��
|���|d
|	iiS�)Nr=���rG���r����r?���r����r���r��r��r����rW���)r��r-���r����r����r����r��r����r
��r��r����r��)
r5���r����r��r����r>���r����r����r����r����rW���r7���r7���r8����_rich_rule_audit[��s ����

���znftables._rich_rule_auditc�����������
������C���s���|j�s
i�S�|�jj�||t�}ddd�|�}|��|�}d|||f�}	t|j��tkr\dd�i}
�n�t|j��tkr�|j�jr�|��	|j�j�}
ndd�i}
n�t|j��t
kr�dd�i}
n�t|j��tk�rHd}|�jj�||t�}d|||f�}	|j�j�
d	�}t|�d
k�r,dddd
iiddddd
ii|d
�gi|d�gid�i}
ndddd
ii|d�d�i}
nttdt|j�����dt|	||��|j�j�|
g�d�}|�|��|���|d|iiS�)Nr=���rG���r����r����r����r����r����r)���r��r<���r����r_����mark�^�&r����r_���r��r��r?���r����rW���)r����r-���r����r����r����r��rm���r���r���r����r���r���r����r��rd���r	���r���r����r
��r��r����r��)
r5���r����r��r����r>���r����r����r����r����rl���Zrule_actionr��rW���r7���r7���r8����_rich_rule_actionm��sL����

"�
�
���znftables._rich_rule_actionc�����������������C���s����|��d�r0|��|td�d���d|kr(dnd|�S�t|�r>d}n�td|�rNd}nvtd|�r�d}tj|dd�}d	|jj	|j
d
�i}nDtd|�r�d}t|�}n,d}|�d
�}d	t|d��t
|d��d
�i}dd||d�i|r�dnd|d�iS�d�S�)N�ipset:r����TF�etherr�����ip)�strictr������addrrd���r�����ip6r��r���r<���r����r�����r�����field�!=r����r����)�
startswith�_set_match_fragmentrd���r���r���r����	ipaddress�IPv4Network�network_address�
compressed�	prefixlenr���r��rn���)r5���Z
addr_fieldrY����invertrB���Znormalized_addressZaddr_lenr7���r7���r8���r�������s,����
&

�
�znftables._rule_addr_fragmentc�����������������C���s6���|si�S�|dvrt�td|���ddddiid|d�iS�)	N�r����r����zInvalid familyr����r����r_����nfprotor����r����r����)r5���Zrich_familyr7���r7���r8����_rich_rule_family_fragment���s������z#nftables._rich_rule_family_fragmentc�����������������C���s8���|si�S�|j�r|j�}n|jr&d|j�}|�jd||jd�S�)Nr��r�����r0��)r$���ipsetr����r0��)r5���Z	rich_destrY���r7���r7���r8����_rich_rule_destination_fragment���s����
z(nftables._rich_rule_destination_fragmentc�����������������C���sZ���|si�S�|j�r|j�}n2t|d�r.|jr.|j}nt|d�rH|jrHd|j�}|�jd||jd�S�)N�macr5��r��r����r4��)r$���hasattrr7��r5��r����r0��)r5���Zrich_sourcerY���r7���r7���r8����_rich_rule_source_fragment���s����
z#nftables._rich_rule_source_fragmentc�����������������C���sP���t�|�}t|t�r$|dk�r$tt��n(t|�dkr8|d�S�d|d�|d�giS�d�S�)Nr���r<����range)r����
isinstancern���r	���r���rd���)r5����portr:��r7���r7���r8����_port_fragment���s����
znftables._port_fragmentc��������������
���C���s&��ddd�|�}d}|�j�j�||t�}	g�}
|r>|
�|��|j���|rT|
�|��d|���|r||
�|��|j	���|
�|��
|j���|
�dd|dd	�id
|��|�d�i��g�}|r�|�|��
|||||
���|�|��|||||
���|�|��|||||
���n.|�|dd
td||	f�|
dd�ig�d�ii��|S�)Nr=���rG���r����r+���r����r����r�����dportr&��r����r����rW���r?����%s_%s_allowr����r�����r-���r����r����r����rb���r3��rB���r����r6���destinationr9���sourcer=��r��r��r��r�����r5���r����r�����protor<��rA��r��r����r>���r����r����rN���r7���r7���r8����build_policy_ports_rules���s8����
��

�z!nftables.build_policy_ports_rulesc��������������
���C���s��ddd�|�}d}|�j�j�||t�}g�}	|r>|	�|��|j���|rT|	�|��d|���|r||	�|��|j	���|	�|��
|j���|	�dddd	iid
|d�i��g�}
|r�|
�|��|||||	���|
�|��
|||||	���|
�|��|||||	���n.|
�|dd
td||f�|	dd�ig�d�ii��|
S�)Nr=���rG���r����r+���r����r����r����r_���r����r����r����rW���r?���r?��r����r����)r-���r����r����r����rb���r3��rB���r����r6��rA��r9��rB��r��r��r��r����)r5���r����r����r����rA��r��r����r>���r����r����rN���r7���r7���r8����build_policy_protocol_rules���s4�����

�z$nftables.build_policy_protocol_rulesc�����������������C���s����d}d}|�j�j�||t�}ddd�|�}	g�}
|r^|
�|��|j���|
�|��|j���|��	|�}|
�dddd	d
d�idd
�i��|dks�|d�u�r�|
�ddddd�idddiid�i��n|
�ddddd�i|d�i��|	ddt
d||f�|
d�iigS�)Nr����r+���r=���rG���r����r����r����r�����tcprD���r&��Zsyn)r����r����r����Zpmtur)���z
tcp optionZmaxseg�size)rC���r'��Zrtr_���Zmtur��rW���r?���r����r����)r-���r����r����r����rb���r6��rA��r9��rB��r��r����)r5���r����r����Ztcp_mss_clamp_valuerA��r��r����r>���r����r����r����r7���r7���r8���� build_policy_tcp_mss_clamp_rules��s2����
�

��

�z)nftables.build_policy_tcp_mss_clamp_rulesc��������������
���C���s&��ddd�|�}d}|�j�j�||t�}	g�}
|r>|
�|��|j���|rT|
�|��d|���|r||
�|��|j	���|
�|��
|j���|
�dd|dd	�id
|��|�d�i��g�}|r�|�|��
|||||
���|�|��|||||
���|�|��|||||
���n.|�|dd
td||	f�|
dd�ig�d�ii��|S�)Nr=���rG���r����r+���r����r����r�����sportr&��r����r����rW���r?���r?��r����r����r@��rC��r7���r7���r8����build_policy_source_ports_rules8��s8����
��

�z(nftables.build_policy_source_ports_rulesc�����������
���
���C���s����d}|�j�j�||t�}	ddd�|�}
g�}|rR|�dddtd||f�||d�ii��g�}|rl|�|��d	|���|�d
d|dd
�id|��|�d�i��|�dd||f�i��|�|
ddtd|	�|d�ii��|S�)Nr+���r=���rG���r����z	ct helperr?���zhelper-%s-%s)rB���r>���rC���rm���r����r����r����r����r>��r&��r����r����rW����filter_%s_allowr����)r-���r����r����r����rb���r����r����r=��)
r5���r����r����rD��r<��rA��Zhelper_nameZmodule_short_namer>���r����r����rN���r����r7���r7���r8����build_policy_helper_ports_rulesY��s6����

�
��

�z(nftables.build_policy_helper_ports_rulesc�����������������C���s����ddd�|�}|�j�j�||t�}g�}	|rv|t|�d��dkrT|d�t|�d���d�}ddd	d
iid|d�id
d�ig}
n|��d|�d
d�ig}
dtd|�|
d�}|	�|d|ii��|	S�)Nr=���rG���r����r<���r����r����r����r����r_���r����r����r����r����r����r?���rL��r����rW���)r-���r����r����r����rd���r����r����rb���)r5���r����rX���r����r>���r����rB��r����r����rN���r|���rW���r7���r7���r8����build_zone_forward_rulesv��s(�������z!nftables.build_zone_forward_rulesc��������������	���C���s����ddd�|�}g�}g�}|r\|��|��|j���|��|��|j���|��|��|j���|��|�}n"|��ddddiidd	d
�i��d}d}|�jj	j
||td
d�}	dtd|	|f�|ddddiiddd
�idd�ig�d�}
|
�
|��|���|��|d|
ii��|S�)Nr=���rG���r����r����r����r_���r2��r����r����r����r����r*���Tr����r?���r����r����r(��r����Z
masquerader����rW���)rb���r3��rB���r6��rA��r9��rB��r��r-���r����r����r����r����r����r��)r5���r����r����r��r����rN���r����r����r>���r����rW���r7���r7���r8����build_policy_masquerade_rules���s<�����

����z&nftables.build_policy_masquerade_rulesc�����������������C���sp��d}|�j�j�||t�}	ddd�|�}
g�}|rn|�|��|j���|�|��|j���|�|��	|j
���|��|�}n8d}
|r�td|�r�d}
|�ddd	d
iid|
d�i��d
}|�dd|dd�id|��
|�d�i��|�r$td|�r�t|�}|�r|dk�r|�d||��
|�d�i��n|�dd|ii��n|�dd|��
|�ii��dtd|	|f�|d�}|�|��|���|
d|iigS�)Nr*���r=���rG���r����r����r����r����r����r_���r2��r����r����r����r����r>��r&��r����r����)r$��r<��r$��Zredirectr<��r?���r����r����rW���)r-���r����r����r����rb���r3��rB���r6��rA��r9��rB��r��r���r=��r���r����r����r��)r5���r����r����r<��r����ZtoportZtoaddrr��r>���r����r����r����r����r2��rW���r7���r7���r8����build_policy_forward_port_rules���sJ�����

��

�z(nftables.build_policy_forward_port_rulesc�����������������C���sH���dd|dd�id|d�ig}|d�urD|��dd|dd�id|d�i��|S�)Nr����r����rm���r&��r����r�����code)rb���)r5���r����rm���rQ���	fragmentsr7���r7���r8����_icmp_types_fragments���s�����
�
znftables._icmp_types_fragmentsc�����������������C���s����|dkr4|t�v�r4t�|�\}}}|��d||r.d�n|�S�|dkrh|tv�rht|�\}}}|��d||rbd�n|�S�ttd||�j|f���d�S�)Nr����r����r����r����z)ICMP type '%s' not supported by %s for %s)r���rS��r���r	���r���rC���)r5���r����Z	icmp_typeZ_type�_codeZ
_omit_coder7���r7���r8����_icmp_types_to_nft_fragments���s�������z%nftables._icmp_types_to_nft_fragmentsc�����������������C���s:��d}|�j�j�||t�}ddd�|�}|r6|jr6|j}n<|jrjg�}d|jv�rT|�d��d|jv�rr|�d��nddg}g�}	|D��]�}
|�j�j�|�r�d||f�}dd�i}nd	||f�}|����}g�}
|r�|
�|��	|j
���|
�|��|j���|
�|��|j
���|
�|��|
|j���|�r�|	�|��|||||
���|	�|��|||||
���|j�rb|	�|��|||||
���nN|��|�}d
td|||f�|
|����g�d�}|�|��|���|	�|d
|ii��qz|�j����dk�r|�j�j�|��s|	�|d
d
t||
|��|�j�����ddd||f�iig�d�ii��|	�|d
d
t||
|g�d�ii��qz|	S�)Nr+���r=���rG���r����r����r����r?��r����z
%s_%s_denyr?���r����r����rW���r����r���r�����%s_%s_ICMP_BLOCK: )r-���r����r����r�����ipvsrA��rb����query_icmp_block_inversionr����r3��rB���r6��r9��rB��r����rU��rC���r��r��r����r��r��r����r����r��rL���r����)r5���r����r����Zictr��r>���r����r����rW��rN���r����Zfinal_chainr����r����r����rW���r7���r7���r8����build_policy_icmp_block_rules���sl����

� 
���
�z&nftables.build_policy_icmp_block_rulesc�����������������C���s����d}|�j�j�||t�}g�}ddd�|�}|�j�j�|�r@|����}ndd�i}|�|ddtd||f�d	|����|gd
�ii��|�j��	��dkr�|�j�j�|�r�|�|ddtd||f�d	|����|��
|�j��	���dd
d||f�iigd
�ii��|S�)Nr+���r=���rG���r����r����rW���r?���r���������rB���r>���rl���r`���r|���r����r���r����rV��)r-���r����r����r����rX��r����rb���r����r���rL���r����)r5���r����r����r>���r����rN���r����r����r7���r7���r8����'build_policy_icmp_block_inversion_rules/��s4����

��

��z0nftables.build_policy_icmp_block_inversion_rulesc��������������
���C���s$��g�}d}|�j�jdkrddg}n<|�j�jdkr8ddg}d}n"|�j�jdkrRg�d�}d}ng�d�}d	d
ddiid
dd�id	d|dd�id
dd�ig}|dkr�|�dddii��|�dd�i��|�dddt||d�ii��|�j�jdv�r |�dddt|d	ddd d!�id
d"d#d$gid�id%d�igd�ii��|S�)&NZfilter_PREROUTINGZlooser����r���
loose-forward�filter_FORWARD�strict-forward)r����r��Ziifr����r����r_���r2��r����r����r����ZfibZoif)rD����resultFr����r���r����zrpfilter_DROP: r����rU���rW���r?���r�����r]��r_��r����r����rm���r&��r����znd-router-advertznd-neighbor-solicitr����)r-����_ipv6_rpfilterrb���r����)r5���r����rN���Zrpfilter_chainZ	fib_flagsr����r7���r7���r8����build_rpfilter_rulesN��sX����
����
�
�
���znftables.build_rpfilter_rulesc��������������
���C���s����g�d�}dd��|D��}ddddd�id	d
|id�ig}|�j�jdv�rT|�d
ddii��|�|��d���g�}|�dddtdd|d�ii��d}|�j����dkr�|d7�}|�j�jdv�r�|d7�}|�dddtd||d�ii��|S�)N)	z::0.0.0.0/96z::ffff:0.0.0.0/96z2002:0000::/24z2002:0a00::/24z2002:7f00::/24z2002:ac10::/28z2002:c0a8::/32z2002:a9fe::/32z2002:e000::/19c�����������������S���s2���g�|�]*}d�|��d�d�t|��d�d��d�i�qS�)r����r��r���r<���r#��)r��rn���)�.0r\���r7���r7���r8����
<listcomp>���r^���z5nftables.build_rfc3964_ipv4_rules.<locals>.<listcomp>r����r����r%��r����r&��r����r����r����)r����r����r���r����zRFC3964_IPv4_REJECT: r����r=���rW���r?���r����r<���r[��r���r����ra��r^��)r-���Z_log_deniedrb���r����r����rL���rb��)r5���Z	daddr_setr����rN���Z
forward_indexr7���r7���r8����build_rfc3964_ipv4_rulesy��s<����
��

�
�z!nftables.build_rfc3964_ipv4_rulesc��������������	���C���s����d}g�}|��|��|j���|��|��|j���|��|��|j���g�}|��|��|||||���|��|��|||||���|��|��	|||||���|S�)Nr+���)
rb���r3��rB���r6��rA��r9��rB��r��r��r��)r5���r����r����r��r>���r����rN���r7���r7���r8����*build_policy_rich_source_destination_rules���s����z3nftables.build_policy_rich_source_destination_rulesc�����������������C���s���|dv�rdS�dS�)N)r����r����ZebTFr7���)r5���r����r7���r7���r8����is_ipv_supported���s����znftables.is_ipv_supportedc��������������
���C���s����ddd�}||�||�ddg||�dd||�g||�dd||�g||�dg||�||�||�g||�ddg||�dd||�g||�dgdd	�}||v�r�||�S�t�td
|���d�S�)NZ	ipv4_addrZ	ipv6_addrr1��Z
inet_protoZinet_servicer��ZifnameZ
ether_addr)zhash:ipzhash:ip,portzhash:ip,port,ipzhash:ip,port,netzhash:ip,markzhash:netzhash:net,netz
hash:net,portzhash:net,port,netzhash:net,iface�hash:macz!ipset type name '%s' is not valid)r	���r
���)r5���r����rm���Zipv_addr�typesr7���r7���r8����_set_type_list���s(�����

��znftables._set_type_listc�����������������C���s����|rd|v�r|d�dkrd}nd}dt�||��||�d�}|�d�d��d	�D�]}|d
v�rLdg|d<��qhqL|r�d
|v�r�t|d
��|d
<�d|v�r�t|d��|d<�dd|iigS�)NrB����inet6r����r����r?���)rB���r>���rC���rm����:r<����,)r!���netr<���intervalrD����timeoutZmaxelemrH��r=���r����)r����rk��r��rn���)r5���rC���rm����optionsr����Zset_dict�tr7���r7���r8����build_set_create_rules���s$����
�
znftables.build_set_create_rulesc�����������������C���s$���|���|||�}|��||�j�����d�S�rQ���)rt��r����r-���rL���)r5���rC���rm���rr��rN���r7���r7���r8����
set_create���s����znftables.set_createc�����������������C���s*���dddt�|d�ii}|��||�j�����d�S�)NrG���r����r?���r����)r����rK���r-���rL���)r5���rC���rW���r7���r7���r8����set_destroy���s
�����
znftables.set_destroyc�����������������C���s��|�j�j�|�j�d�d��d�}g�}|D�]�}|dkrd|�dddii��|�dd	|rVd
ndd�i��q(|d
v�r�|�d|��|�|r�dndd�i��q(|dkr�|�dd|r�dndii��q(|dkr�|�dddii��q(ttd|���q(dt	|�dkr�d|in|d�|�rdndd|�d�iS�)Nrm��r<���rn��r<��r����r_���r����r�����thr>��rJ��r&��)r!��ro��r7��r����r����Zifacer����r����r��z-Unsupported ipset type for match fragment: %sr�����concatr���r(��r�����@r����)
r-���r5���	get_ipsetrm���r��rb����_set_get_familyr	���r
���rd���)r5���rC���Z
match_destr0���type_formatrR���formatr7���r7���r8���r*�����s*���� 
�
��znftables._set_match_fragmentc��������������	���C���s8��|�j�j�|�}|j�d�d��d�}|�d�}t|�t|�krHttd��g�}t|�D��]�\}}|dk�rz||��	d�}	W�n$�t
y����|�d��||�}
Y�n,0�|�||�d�|	����||�|	d�d���}
z|
�	d�}	W�n�t
y����|�|
��Y�n(0�|�d|
d�|	��|
|	d�d���gi��qT|d	v��rd||�v��rP|�d||��d�i��n�z||��	d
�}	W�nJ�t
�y����||�}d|jv��r�|jd�dk�r�t
|�}|�|��Y�n^0�||�d�|	��}d|jv��r�|jd�dk�r�t
|�}|�d
|t||�|	d�d����d�i��qT|�||���qTt|�dk�r4d|igS�|S�)Nrm��r<���rn��z+Number of values does not match ipset type.r<��rG���-r:��)r!��ro��r��rB���rl��r����r#��rx��)r-���r5��rz��rm���r��rd���r	���r����	enumerater`���rJ���rb���rr��r���rn���)r5���rC����entry�objr|��Zentry_tokens�fragmentr	��r}��r`���Zport_strr$��r7���r7���r8����_set_entry_fragment	��sP����
�

(
�znftables._set_entry_fragmentc��������������	���C���s0���g�}|���||�}|�dddt||d�ii��|S�)Nr=���r��r?����rB���r>���rC����elem)r���rb���r����)r5���rC���r���rN���r��r7���r7���r8����build_set_add_rules=��s����
�znftables.build_set_add_rulesc�����������������C���s"���|���||�}|��||�j�����d�S�rQ���)r���r����r-���rL���)r5���rC���r���rN���r7���r7���r8����set_addF��s����znftables.set_addc�����������������C���s8���|���||�}dddt||d�ii}|��||�j�����d�S�)NrG���r��r?���r���)r���r����rK���r-���rL���)r5���rC���r���r��rW���r7���r7���r8����
set_deleteJ��s�����
znftables.set_deletec�����������������C���s���dddt�|d�iigS�)Nrz���r����r?���r����)r����)r5���rC���r7���r7���r8����build_set_flush_rulesR��s�����znftables.build_set_flush_rulesc�����������������C���s ���|���|�}|��||�j�����d�S�rQ���)r���r����r-���rL���)r5���rC���rN���r7���r7���r8����	set_flushW��s����
znftables.set_flushc�����������������C���sJ���|�j�j�|�}|jdkrd}n(|jrBd|jv�rB|jd�dkrBd}nd}|S�)Nri��r ��rB���rl��r%��r!��)r-���r5��rz��rm���rr��)r5���rC���r5��rB���r7���r7���r8���r{��[��s����
�znftables._set_get_familyc�����������	���������s����g�}|����|||���|����|�����|�j������fdd���d}g�}|D�]B}|����||���|d7�}|dkrRt���fdd�|��g�}d}qRt���fdd�|��d�S�)	Nc��������������
������sT���z����|���j�����W�n8�tyN�}�z t�d��t�|��W�Y�d�}~n
d�}~0�0�d�S�)Nz;While restoring ipset entries the following Error occurred:)r����r-���rL����	Exceptionr���r����)rN����erR���r7���r8����_idle_set_add_entrieso��s
����
z3nftables.set_restore.<locals>._idle_set_add_entriesr���r<���i���c��������������������s�����|��S�rQ���r7���r[����r���r7���r8���r]������r^���z&nftables.set_restore.<locals>.<lambda>c��������������������s�����|��S�rQ���r7���r[���r���r7���r8���r]������r^���)	r����rt��r���r����r-���rL���r���r���Zidle_add)	r5���Zset_name�	type_name�entriesZcreate_optionsZ
entry_optionsrN����chunkr���r7���)r���r5���r8����set_restoreh��s����znftables.set_restore)N)N)r����)F)F)NN)NN)NN)NN)NN)N)N)N)N)F)N)N)F)NN)L�__name__�
__module__�__qualname__rC���Zpolicies_supportedr9���rP���rS���rg���rk���rt���ry���r����rK���r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r���r
��r��r��r����r����r����r��r��r��r��r����r3��r6��r9��r=��rE��rF��rI��rK��rM��rN��rO��rP��rS��rU��rY��r\��rc��rf��rg��rh��rk��rt��ru��rv��r*��r���r���r���r���r���r���r{��r���r7���r7���r7���r8���r,���X���s����0,.e

�V
c��
2B
  +

��
��
!

!��
+

<
+(

4	��r,���).Z
gi.repositoryr���rh���rv���r+��Zfirewall.core.loggerr���Zfirewall.functionsr���r���r���r���r���Zfirewall.errorsr	���r
���r���r���r
���r���r���Zfirewall.core.richr���r���r���r���r���r���r���r���r���Zfirewall.core.baser���Zfirewall.core.icmpr���r���Znftables.nftablesr���r����r����rH���r����r����r�����objectr,���r7���r7���r7���r8����<module>���s:���$,�

�

��