Merge master.kernel.org:/pub/scm/linux/kernel/git/davem/sparc-2.6
[linux-2.6] / net / ipv4 / netfilter / ipt_conntrack.c
1 /* Kernel module to match connection tracking information.
2  * Superset of Rusty's minimalistic state match.
3  *
4  * (C) 2001  Marc Boucher (marc@mbsi.ca).
5  *
6  * This program is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License version 2 as
8  * published by the Free Software Foundation.
9  */
10
11 #include <linux/module.h>
12 #include <linux/skbuff.h>
13
14 #if defined(CONFIG_IP_NF_CONNTRACK) || defined(CONFIG_IP_NF_CONNTRACK_MODULE)
15 #include <linux/netfilter_ipv4/ip_conntrack.h>
16 #include <linux/netfilter_ipv4/ip_conntrack_tuple.h>
17 #else
18 #include <net/netfilter/nf_conntrack.h>
19 #endif
20
21 #include <linux/netfilter_ipv4/ip_tables.h>
22 #include <linux/netfilter_ipv4/ipt_conntrack.h>
23
24 MODULE_LICENSE("GPL");
25 MODULE_AUTHOR("Marc Boucher <marc@mbsi.ca>");
26 MODULE_DESCRIPTION("iptables connection tracking match module");
27
28 #if defined(CONFIG_IP_NF_CONNTRACK) || defined(CONFIG_IP_NF_CONNTRACK_MODULE)
29
30 static int
31 match(const struct sk_buff *skb,
32       const struct net_device *in,
33       const struct net_device *out,
34       const void *matchinfo,
35       int offset,
36       int *hotdrop)
37 {
38         const struct ipt_conntrack_info *sinfo = matchinfo;
39         struct ip_conntrack *ct;
40         enum ip_conntrack_info ctinfo;
41         unsigned int statebit;
42
43         ct = ip_conntrack_get((struct sk_buff *)skb, &ctinfo);
44
45 #define FWINV(bool,invflg) ((bool) ^ !!(sinfo->invflags & invflg))
46
47         if (ct == &ip_conntrack_untracked)
48                 statebit = IPT_CONNTRACK_STATE_UNTRACKED;
49         else if (ct)
50                 statebit = IPT_CONNTRACK_STATE_BIT(ctinfo);
51         else
52                 statebit = IPT_CONNTRACK_STATE_INVALID;
53  
54         if(sinfo->flags & IPT_CONNTRACK_STATE) {
55                 if (ct) {
56                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.ip !=
57                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.ip)
58                                 statebit |= IPT_CONNTRACK_STATE_SNAT;
59
60                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.ip !=
61                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.ip)
62                                 statebit |= IPT_CONNTRACK_STATE_DNAT;
63                 }
64
65                 if (FWINV((statebit & sinfo->statemask) == 0, IPT_CONNTRACK_STATE))
66                         return 0;
67         }
68
69         if(sinfo->flags & IPT_CONNTRACK_PROTO) {
70                 if (!ct || FWINV(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.protonum != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.protonum, IPT_CONNTRACK_PROTO))
71                         return 0;
72         }
73
74         if(sinfo->flags & IPT_CONNTRACK_ORIGSRC) {
75                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.ip&sinfo->sipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].src.ip, IPT_CONNTRACK_ORIGSRC))
76                         return 0;
77         }
78
79         if(sinfo->flags & IPT_CONNTRACK_ORIGDST) {
80                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.ip&sinfo->dipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.ip, IPT_CONNTRACK_ORIGDST))
81                         return 0;
82         }
83
84         if(sinfo->flags & IPT_CONNTRACK_REPLSRC) {
85                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.ip&sinfo->sipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].src.ip, IPT_CONNTRACK_REPLSRC))
86                         return 0;
87         }
88
89         if(sinfo->flags & IPT_CONNTRACK_REPLDST) {
90                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.ip&sinfo->dipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].dst.ip, IPT_CONNTRACK_REPLDST))
91                         return 0;
92         }
93
94         if(sinfo->flags & IPT_CONNTRACK_STATUS) {
95                 if (!ct || FWINV((ct->status & sinfo->statusmask) == 0, IPT_CONNTRACK_STATUS))
96                         return 0;
97         }
98
99         if(sinfo->flags & IPT_CONNTRACK_EXPIRES) {
100                 unsigned long expires;
101
102                 if(!ct)
103                         return 0;
104
105                 expires = timer_pending(&ct->timeout) ? (ct->timeout.expires - jiffies)/HZ : 0;
106
107                 if (FWINV(!(expires >= sinfo->expires_min && expires <= sinfo->expires_max), IPT_CONNTRACK_EXPIRES))
108                         return 0;
109         }
110
111         return 1;
112 }
113
114 #else /* CONFIG_IP_NF_CONNTRACK */
115 static int
116 match(const struct sk_buff *skb,
117       const struct net_device *in,
118       const struct net_device *out,
119       const void *matchinfo,
120       int offset,
121       int *hotdrop)
122 {
123         const struct ipt_conntrack_info *sinfo = matchinfo;
124         struct nf_conn *ct;
125         enum ip_conntrack_info ctinfo;
126         unsigned int statebit;
127
128         ct = nf_ct_get((struct sk_buff *)skb, &ctinfo);
129
130 #define FWINV(bool,invflg) ((bool) ^ !!(sinfo->invflags & invflg))
131
132         if (ct == &nf_conntrack_untracked)
133                 statebit = IPT_CONNTRACK_STATE_UNTRACKED;
134         else if (ct)
135                 statebit = IPT_CONNTRACK_STATE_BIT(ctinfo);
136         else
137                 statebit = IPT_CONNTRACK_STATE_INVALID;
138  
139         if(sinfo->flags & IPT_CONNTRACK_STATE) {
140                 if (ct) {
141                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip !=
142                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.u3.ip)
143                                 statebit |= IPT_CONNTRACK_STATE_SNAT;
144
145                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.u3.ip !=
146                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.u3.ip)
147                                 statebit |= IPT_CONNTRACK_STATE_DNAT;
148                 }
149
150                 if (FWINV((statebit & sinfo->statemask) == 0, IPT_CONNTRACK_STATE))
151                         return 0;
152         }
153
154         if(sinfo->flags & IPT_CONNTRACK_PROTO) {
155                 if (!ct || FWINV(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.protonum != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.protonum, IPT_CONNTRACK_PROTO))
156                         return 0;
157         }
158
159         if(sinfo->flags & IPT_CONNTRACK_ORIGSRC) {
160                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip&sinfo->sipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].src.ip, IPT_CONNTRACK_ORIGSRC))
161                         return 0;
162         }
163
164         if(sinfo->flags & IPT_CONNTRACK_ORIGDST) {
165                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.u3.ip&sinfo->dipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.ip, IPT_CONNTRACK_ORIGDST))
166                         return 0;
167         }
168
169         if(sinfo->flags & IPT_CONNTRACK_REPLSRC) {
170                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.u3.ip&sinfo->sipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].src.ip, IPT_CONNTRACK_REPLSRC))
171                         return 0;
172         }
173
174         if(sinfo->flags & IPT_CONNTRACK_REPLDST) {
175                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.u3.ip&sinfo->dipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].dst.ip, IPT_CONNTRACK_REPLDST))
176                         return 0;
177         }
178
179         if(sinfo->flags & IPT_CONNTRACK_STATUS) {
180                 if (!ct || FWINV((ct->status & sinfo->statusmask) == 0, IPT_CONNTRACK_STATUS))
181                         return 0;
182         }
183
184         if(sinfo->flags & IPT_CONNTRACK_EXPIRES) {
185                 unsigned long expires;
186
187                 if(!ct)
188                         return 0;
189
190                 expires = timer_pending(&ct->timeout) ? (ct->timeout.expires - jiffies)/HZ : 0;
191
192                 if (FWINV(!(expires >= sinfo->expires_min && expires <= sinfo->expires_max), IPT_CONNTRACK_EXPIRES))
193                         return 0;
194         }
195
196         return 1;
197 }
198
199 #endif /* CONFIG_NF_IP_CONNTRACK */
200
201 static int check(const char *tablename,
202                  const struct ipt_ip *ip,
203                  void *matchinfo,
204                  unsigned int matchsize,
205                  unsigned int hook_mask)
206 {
207         if (matchsize != IPT_ALIGN(sizeof(struct ipt_conntrack_info)))
208                 return 0;
209
210         return 1;
211 }
212
213 static struct ipt_match conntrack_match = {
214         .name           = "conntrack",
215         .match          = &match,
216         .checkentry     = &check,
217         .me             = THIS_MODULE,
218 };
219
220 static int __init init(void)
221 {
222         need_ip_conntrack();
223         return ipt_register_match(&conntrack_match);
224 }
225
226 static void __exit fini(void)
227 {
228         ipt_unregister_match(&conntrack_match);
229 }
230
231 module_init(init);
232 module_exit(fini);