git.oblomov.eu Git - linux-2.6/blob - net/ipv4/netfilter/ipt_conntrack.c

   1 /* Kernel module to match connection tracking information.
   2  * Superset of Rusty's minimalistic state match.
   3  *
   4  * (C) 2001  Marc Boucher (marc@mbsi.ca).
   5  *
   6  * This program is free software; you can redistribute it and/or modify
   7  * it under the terms of the GNU General Public License version 2 as
   8  * published by the Free Software Foundation.
   9  */
  10
  11 #include <linux/module.h>
  12 #include <linux/skbuff.h>
  13
  14 #if defined(CONFIG_IP_NF_CONNTRACK) || defined(CONFIG_IP_NF_CONNTRACK_MODULE)
  15 #include <linux/netfilter_ipv4/ip_conntrack.h>
  16 #include <linux/netfilter_ipv4/ip_conntrack_tuple.h>
  17 #else
  18 #include <net/netfilter/nf_conntrack.h>
  19 #endif
  20
  21 #include <linux/netfilter_ipv4/ip_tables.h>
  22 #include <linux/netfilter_ipv4/ipt_conntrack.h>
  23
  24 MODULE_LICENSE("GPL");
  25 MODULE_AUTHOR("Marc Boucher <marc@mbsi.ca>");
  26 MODULE_DESCRIPTION("iptables connection tracking match module");
  27
  28 #if defined(CONFIG_IP_NF_CONNTRACK) || defined(CONFIG_IP_NF_CONNTRACK_MODULE)
  29
  30 static int
  31 match(const struct sk_buff *skb,
  32       const struct net_device *in,
  33       const struct net_device *out,
  34       const void *matchinfo,
  35       int offset,
  36       int *hotdrop)
  37 {
  38         const struct ipt_conntrack_info *sinfo = matchinfo;
  39         struct ip_conntrack *ct;
  40         enum ip_conntrack_info ctinfo;
  41         unsigned int statebit;
  42
  43         ct = ip_conntrack_get((struct sk_buff *)skb, &ctinfo);
  44
  45 #define FWINV(bool,invflg) ((bool) ^ !!(sinfo->invflags & invflg))
  46
  47         if (ct == &ip_conntrack_untracked)
  48                 statebit = IPT_CONNTRACK_STATE_UNTRACKED;
  49         else if (ct)
  50                 statebit = IPT_CONNTRACK_STATE_BIT(ctinfo);
  51         else
  52                 statebit = IPT_CONNTRACK_STATE_INVALID;
  53
  54         if(sinfo->flags & IPT_CONNTRACK_STATE) {
  55                 if (ct) {
  56                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.ip !=
  57                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.ip)
  58                                 statebit |= IPT_CONNTRACK_STATE_SNAT;
  59
  60                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.ip !=
  61                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.ip)
  62                                 statebit |= IPT_CONNTRACK_STATE_DNAT;
  63                 }
  64
  65                 if (FWINV((statebit & sinfo->statemask) == 0, IPT_CONNTRACK_STATE))
  66                         return 0;
  67         }
  68
  69         if(sinfo->flags & IPT_CONNTRACK_PROTO) {
  70                 if (!ct || FWINV(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.protonum != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.protonum, IPT_CONNTRACK_PROTO))
  71                         return 0;
  72         }
  73
  74         if(sinfo->flags & IPT_CONNTRACK_ORIGSRC) {
  75                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.ip&sinfo->sipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].src.ip, IPT_CONNTRACK_ORIGSRC))
  76                         return 0;
  77         }
  78
  79         if(sinfo->flags & IPT_CONNTRACK_ORIGDST) {
  80                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.ip&sinfo->dipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.ip, IPT_CONNTRACK_ORIGDST))
  81                         return 0;
  82         }
  83
  84         if(sinfo->flags & IPT_CONNTRACK_REPLSRC) {
  85                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.ip&sinfo->sipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].src.ip, IPT_CONNTRACK_REPLSRC))
  86                         return 0;
  87         }
  88
  89         if(sinfo->flags & IPT_CONNTRACK_REPLDST) {
  90                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.ip&sinfo->dipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].dst.ip, IPT_CONNTRACK_REPLDST))
  91                         return 0;
  92         }
  93
  94         if(sinfo->flags & IPT_CONNTRACK_STATUS) {
  95                 if (!ct || FWINV((ct->status & sinfo->statusmask) == 0, IPT_CONNTRACK_STATUS))
  96                         return 0;
  97         }
  98
  99         if(sinfo->flags & IPT_CONNTRACK_EXPIRES) {
 100                 unsigned long expires;
 101
 102                 if(!ct)
 103                         return 0;
 104
 105                 expires = timer_pending(&ct->timeout) ? (ct->timeout.expires - jiffies)/HZ : 0;
 106
 107                 if (FWINV(!(expires >= sinfo->expires_min && expires <= sinfo->expires_max), IPT_CONNTRACK_EXPIRES))
 108                         return 0;
 109         }
 110
 111         return 1;
 112 }
 113
 114 #else /* CONFIG_IP_NF_CONNTRACK */
 115 static int
 116 match(const struct sk_buff *skb,
 117       const struct net_device *in,
 118       const struct net_device *out,
 119       const void *matchinfo,
 120       int offset,
 121       int *hotdrop)
 122 {
 123         const struct ipt_conntrack_info *sinfo = matchinfo;
 124         struct nf_conn *ct;
 125         enum ip_conntrack_info ctinfo;
 126         unsigned int statebit;
 127
 128         ct = nf_ct_get((struct sk_buff *)skb, &ctinfo);
 129
 130 #define FWINV(bool,invflg) ((bool) ^ !!(sinfo->invflags & invflg))
 131
 132         if (ct == &nf_conntrack_untracked)
 133                 statebit = IPT_CONNTRACK_STATE_UNTRACKED;
 134         else if (ct)
 135                 statebit = IPT_CONNTRACK_STATE_BIT(ctinfo);
 136         else
 137                 statebit = IPT_CONNTRACK_STATE_INVALID;
 138
 139         if(sinfo->flags & IPT_CONNTRACK_STATE) {
 140                 if (ct) {
 141                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip !=
 142                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.u3.ip)
 143                                 statebit |= IPT_CONNTRACK_STATE_SNAT;
 144
 145                         if(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.u3.ip !=
 146                             ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.u3.ip)
 147                                 statebit |= IPT_CONNTRACK_STATE_DNAT;
 148                 }
 149
 150                 if (FWINV((statebit & sinfo->statemask) == 0, IPT_CONNTRACK_STATE))
 151                         return 0;
 152         }
 153
 154         if(sinfo->flags & IPT_CONNTRACK_PROTO) {
 155                 if (!ct || FWINV(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.protonum != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.protonum, IPT_CONNTRACK_PROTO))
 156                         return 0;
 157         }
 158
 159         if(sinfo->flags & IPT_CONNTRACK_ORIGSRC) {
 160                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip&sinfo->sipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].src.ip, IPT_CONNTRACK_ORIGSRC))
 161                         return 0;
 162         }
 163
 164         if(sinfo->flags & IPT_CONNTRACK_ORIGDST) {
 165                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.u3.ip&sinfo->dipmsk[IP_CT_DIR_ORIGINAL].s_addr) != sinfo->tuple[IP_CT_DIR_ORIGINAL].dst.ip, IPT_CONNTRACK_ORIGDST))
 166                         return 0;
 167         }
 168
 169         if(sinfo->flags & IPT_CONNTRACK_REPLSRC) {
 170                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.src.u3.ip&sinfo->sipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].src.ip, IPT_CONNTRACK_REPLSRC))
 171                         return 0;
 172         }
 173
 174         if(sinfo->flags & IPT_CONNTRACK_REPLDST) {
 175                 if (!ct || FWINV((ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.u3.ip&sinfo->dipmsk[IP_CT_DIR_REPLY].s_addr) != sinfo->tuple[IP_CT_DIR_REPLY].dst.ip, IPT_CONNTRACK_REPLDST))
 176                         return 0;
 177         }
 178
 179         if(sinfo->flags & IPT_CONNTRACK_STATUS) {
 180                 if (!ct || FWINV((ct->status & sinfo->statusmask) == 0, IPT_CONNTRACK_STATUS))
 181                         return 0;
 182         }
 183
 184         if(sinfo->flags & IPT_CONNTRACK_EXPIRES) {
 185                 unsigned long expires;
 186
 187                 if(!ct)
 188                         return 0;
 189
 190                 expires = timer_pending(&ct->timeout) ? (ct->timeout.expires - jiffies)/HZ : 0;
 191
 192                 if (FWINV(!(expires >= sinfo->expires_min && expires <= sinfo->expires_max), IPT_CONNTRACK_EXPIRES))
 193                         return 0;
 194         }
 195
 196         return 1;
 197 }
 198
 199 #endif /* CONFIG_NF_IP_CONNTRACK */
 200
 201 static int check(const char *tablename,
 202                  const struct ipt_ip *ip,
 203                  void *matchinfo,
 204                  unsigned int matchsize,
 205                  unsigned int hook_mask)
 206 {
 207         if (matchsize != IPT_ALIGN(sizeof(struct ipt_conntrack_info)))
 208                 return 0;
 209
 210         return 1;
 211 }
 212
 213 static struct ipt_match conntrack_match = {
 214         .name           = "conntrack",
 215         .match          = &match,
 216         .checkentry     = &check,
 217         .me             = THIS_MODULE,
 218 };
 219
 220 static int __init init(void)
 221 {
 222         need_ip_conntrack();
 223         return ipt_register_match(&conntrack_match);
 224 }
 225
 226 static void __exit fini(void)
 227 {
 228         ipt_unregister_match(&conntrack_match);
 229 }
 230
 231 module_init(init);
 232 module_exit(fini);