acl.c

   1 /*
   2  * Copyright (C) 2005-2009 Andre Noll <maan@systemlinux.org>
   3  *
   4  * Licensed under the GPL v2. For licencing details see COPYING.
   5  */
   6
   7 /** \file acl.c Access control lists for paraslash senders. */
   8
   9 #include "para.h"
  10 #include "error.h"
  11 #include "string.h"
  12 #include "list.h"
  13 #include "net.h"
  14
  15 /**
  16  * Describes one entry in the blacklist/whitelist of a paraslash sender.
  17  */
  18 struct access_info {
  19         /** The address to be black/whitelisted. */
  20         struct in_addr addr;
  21         /** The netmask for this entry. */
  22         unsigned netmask;
  23         /** The position of this entry in the acl. */
  24         struct list_head node;
  25 };
  26
  27 /**
  28  * Return true if addr_1 matches addr_2 in the first `netmask' bits.
  29  */
  30 static int v4_addr_match(uint32_t addr_1, uint32_t addr_2, uint8_t netmask)
  31 {
  32         uint32_t mask = ~0U;
  33
  34         if (netmask < 32)
  35                 mask <<= (32 - netmask);
  36         return (htonl(addr_1) & mask) == (htonl(addr_2) & mask);
  37 }
  38
  39 /**
  40  * Find out whether the peer name of a given fd belongs to an acl.
  41  *
  42  * \param fd File descriptor.
  43  * \param acl The access control list.
  44  *
  45  * \return One if \a fd belongs to \a acl, zero otherwise.
  46  */
  47 static int acl_lookup(int fd, struct list_head *acl)
  48 {
  49         struct access_info *ai, *tmp;
  50         struct sockaddr_storage ss;
  51         socklen_t sslen = sizeof(ss);
  52         struct in_addr v4_addr;
  53
  54         if (getpeername(fd, (struct sockaddr *)&ss, &sslen) < 0) {
  55                 PARA_ERROR_LOG("Can not determine peer address: %s\n", strerror(errno));
  56                 goto no_match;
  57         }
  58         v4_addr = extract_v4_addr(&ss);
  59         if (!v4_addr.s_addr)
  60                 goto no_match;
  61
  62         list_for_each_entry_safe(ai, tmp, acl, node)
  63                 if (v4_addr_match(v4_addr.s_addr, ai->addr.s_addr, ai->netmask))
  64                         return 1;
  65 no_match:
  66         return 0;
  67 }
  68
  69 /**
  70  * Add an entry to an access control list.
  71  *
  72  * \param acl The access control list.
  73  * \param addr The address to add.
  74  * \param netmask The netmask to use for this entry.
  75  */
  76 static void acl_add_entry(struct list_head *acl, char *addr, int netmask)
  77 {
  78         struct access_info *ai = para_malloc(sizeof(struct access_info));
  79
  80         inet_pton(AF_INET, addr, &ai->addr);
  81         ai->netmask = netmask;
  82         PARA_INFO_LOG("adding %s/%i to access list\n", addr, ai->netmask);
  83         para_list_add(&ai->node, acl);
  84 }
  85
  86 /**
  87  * Delete an entry from an access control list.
  88  *
  89  * \param acl The access control list.
  90  * \param addr The address to delete.
  91  * \param netmask The netmask of the entry to be removed from the list.
  92  */
  93 static void acl_del_entry(struct list_head *acl, char *addr, int netmask)
  94 {
  95         struct access_info *ai, *tmp;
  96
  97         list_for_each_entry_safe(ai, tmp, acl, node) {
  98                 if (!strcmp(addr, inet_ntoa(ai->addr)) &&
  99                                 ai->netmask == netmask) {
 100                         PARA_NOTICE_LOG("removing %s/%i from access list\n",
 101                                         addr, ai->netmask);
 102                         list_del(&ai->node);
 103                         free(ai);
 104                 }
 105         }
 106 }
 107
 108 /**
 109  * Compute a string containing the contents of an acl.
 110  *
 111  * \param acl The access control list.
 112  *
 113  * \return A string containing the contents of \a acl, or \p NULL
 114  * if \a acl is empty.
 115  */
 116 char *acl_get_contents(struct list_head *acl)
 117 {
 118         struct access_info *ai, *tmp_ai;
 119         char *ret = NULL;
 120
 121         list_for_each_entry_safe(ai, tmp_ai, acl, node) {
 122                 char *tmp = make_message("%s%s/%d ", ret? ret : "",
 123                         inet_ntoa(ai->addr), ai->netmask);
 124                 free(ret);
 125                 ret = tmp;
 126         }
 127         return ret;
 128 }
 129
 130 /**
 131  * Initialize an access control list.
 132  *
 133  * \param acl The list to initialize.
 134  * \param acl_info An array of strings of the form ip/netmask.
 135  * \param num The number of strings in \a acl_info.
 136  */
 137 void acl_init(struct list_head *acl, char * const *acl_info, int num)
 138 {
 139         int i;
 140
 141         INIT_LIST_HEAD(acl);
 142         for (i = 0; i < num; i++) {
 143                 char *arg = para_strdup(acl_info[i]);
 144                 char *p = strchr(arg, '/');
 145                 int netmask;
 146
 147                 if (!p)
 148                         goto err;
 149                 *p = '\0';
 150                 if (!is_valid_ipv4_address(arg))
 151                         goto err;
 152                 netmask = atoi(++p);
 153                 if (netmask < 0 || netmask > 32)
 154                         goto err;
 155                 acl_add_entry(acl, arg, netmask);
 156                 goto success;
 157 err:
 158                 PARA_CRIT_LOG("syntax error: %s\n", acl_info[i]);
 159 success:
 160                 free(arg);
 161                 continue;
 162         }
 163 }
 164
 165 /**
 166  * Check whether the peer name of a given fd is allowed by an acl.
 167  *
 168  * \param fd File descriptor.
 169  * \param acl The access control list.
 170  * \param default_deny Whether \a acl is a whitelist.
 171  *
 172  * \return Positive if the peer of \a fd is permitted by \a acl, \p -E_ACL_PERM
 173  * otherwise.
 174  */
 175 int acl_check_access(int fd, struct list_head *acl, int default_deny)
 176 {
 177         int match = acl_lookup(fd, acl);
 178
 179         return (!match || default_deny) && (match || !default_deny)?
 180                 1 : -E_ACL_PERM;
 181 }
 182
 183 /**
 184  * Permit access for a range of IP addresses.
 185  *
 186  * \param addr The address to permit.
 187  * \param netmask The netmask of the entry to be permitted.
 188  * \param acl The access control list.
 189  * \param default_deny Whether \a acl is a whitelist.
 190  */
 191 void acl_allow(char *addr, int netmask,
 192                struct list_head *acl, int default_deny)
 193 {
 194         if (default_deny)
 195                 acl_add_entry(acl, addr, netmask);
 196         else
 197                 acl_del_entry(acl, addr, netmask);
 198 }
 199
 200 /**
 201  * Deny access for a range of IP addresses.
 202  *
 203  * \param addr The address to deny.
 204  * \param netmask The netmask of the entry to be denied.
 205  * \param acl The access control list.
 206  * \param default_deny Whether \a acl is a whitelist.
 207  */
 208 void acl_deny(char *addr, int netmask,
 209               struct list_head *acl, int default_deny)
 210 {
 211         acl_allow(addr, netmask, acl, !default_deny);
 212 }