bundles/openssh: move iptables rules to metadata reactor

bundles/iptables/files/00-defaults

@@ -1 +0,0 @@
-iptables_both -A INPUT -p tcp --dport 22 -j ACCEPT

bundles/iptables/items.py

@@ -21,11 +21,6 @@ files = {
             'action:iptables_enforce',
         },
     },
-    '/etc/iptables-rules.d/00-defaults': {
-        'triggers': {
-            'action:iptables_enforce',
-        },
-    },
 }
 
 for bundle, rules in node.metadata.get('iptables/bundle_rules', {}).items():

bundles/openssh/metadata.py

@@ -1,3 +1,5 @@
+from bundlewrap.metadata import atomic
+
 defaults = {
     'apt': {
         'packages': {
@@ -12,3 +14,15 @@ defaults = {
         },
     },
 }
+
+@metadata_reactor.provides(
+    'iptables/port_rules/22',
+)
+def iptables(metadata):
+    return {
+        'iptables': {
+            'port_rules': {
+                '22': atomic(metadata.get('openssh/restrict-to', set('*'))),
+            },
+        },
+    }