开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Linux/Unix编程 > 查看源码
ip_nat_helper.c
资源名称:linux-2.4.20.tar.gz [点击查看]
上传用户:jlfgdled
上传日期:2013-04-10
资源大小:33168k
文件大小:12k
源码类别:

Linux/Unix编程

开发平台:

Unix_Linux

ip_nat_helper.c:源码内容
  1. /* ip_nat_mangle.c - generic support functions for NAT helpers 
  2.  *
  3.  * (C) 2000-2002 by Harald Welte <laforge@gnumonks.org>
  4.  *
  5.  * distributed under the terms of GNU GPL
  6.  *
  7.  *  14 Jan 2002 Harald Welte <laforge@gnumonks.org>:
  8.  * - add support for SACK adjustment 
  9.  * 14 Mar 2002 Harald Welte <laforge@gnumonks.org>:
  10.  * - merge SACK support into newnat API
  11.  */
  12. #include <linux/version.h>
  13. #include <linux/config.h>
  14. #include <linux/module.h>
  15. #include <linux/kmod.h>
  16. #include <linux/types.h>
  17. #include <linux/timer.h>
  18. #include <linux/skbuff.h>
  19. #include <linux/netfilter_ipv4.h>
  20. #include <linux/brlock.h>
  21. #include <net/checksum.h>
  22. #include <net/icmp.h>
  23. #include <net/ip.h>
  24. #include <net/tcp.h>
  26. #define ASSERT_READ_LOCK(x) MUST_BE_READ_LOCKED(&ip_nat_lock)
  27. #define ASSERT_WRITE_LOCK(x) MUST_BE_WRITE_LOCKED(&ip_nat_lock)
  29. #include <linux/netfilter_ipv4/ip_conntrack.h>
  30. #include <linux/netfilter_ipv4/ip_conntrack_helper.h>
  31. #include <linux/netfilter_ipv4/ip_nat.h>
  32. #include <linux/netfilter_ipv4/ip_nat_protocol.h>
  33. #include <linux/netfilter_ipv4/ip_nat_core.h>
  34. #include <linux/netfilter_ipv4/ip_nat_helper.h>
  35. #include <linux/netfilter_ipv4/listhelp.h>
  37. #if 0
  38. #define DEBUGP printk
  39. #define DUMP_OFFSET(x) printk("offset_before=%d, offset_after=%d, correction_pos=%un", x->offset_before, x->offset_after, x->correction_pos);
  40. #else
  41. #define DEBUGP(format, args...)
  42. #define DUMP_OFFSET(x)
  43. #endif
  45. DECLARE_LOCK(ip_nat_seqofs_lock);
  46.  
  47. static inline int 
  48. ip_nat_resize_packet(struct sk_buff **skb,
  49.      struct ip_conntrack *ct, 
  50.      enum ip_conntrack_info ctinfo,
  51.      int new_size)
  52. {
  53. struct iphdr *iph;
  54. struct tcphdr *tcph;
  55. void *data;
  56. int dir;
  57. struct ip_nat_seq *this_way, *other_way;
  59. DEBUGP("ip_nat_resize_packet: old_size = %u, new_size = %un",
  60. (*skb)->len, new_size);
  62. iph = (*skb)->nh.iph;
  63. tcph = (void *)iph + iph->ihl*4;
  64. data = (void *)tcph + tcph->doff*4;
  66. dir = CTINFO2DIR(ctinfo);
  68. this_way = &ct->nat.info.seq[dir];
  69. other_way = &ct->nat.info.seq[!dir];
  71. if (new_size > (*skb)->len + skb_tailroom(*skb)) {
  72. struct sk_buff *newskb;
  73. newskb = skb_copy_expand(*skb, skb_headroom(*skb),
  74.  new_size - (*skb)->len,
  75.  GFP_ATOMIC);
  77. if (!newskb) {
  78. printk("ip_nat_resize_packet: oomn");
  79. return 0;
  80. } else {
  81. kfree_skb(*skb);
  82. *skb = newskb;
  83. }
  84. }
  86. iph = (*skb)->nh.iph;
  87. tcph = (void *)iph + iph->ihl*4;
  88. data = (void *)tcph + tcph->doff*4;
  90. DEBUGP("ip_nat_resize_packet: Seq_offset before: ");
  91. DUMP_OFFSET(this_way);
  93. LOCK_BH(&ip_nat_seqofs_lock);
  95. /* SYN adjust. If it's uninitialized, of this is after last 
  96.  * correction, record it: we don't handle more than one 
  97.  * adjustment in the window, but do deal with common case of a 
  98.  * retransmit */
  99. if (this_way->offset_before == this_way->offset_after
  100.     || before(this_way->correction_pos, ntohl(tcph->seq))) {
  101. this_way->correction_pos = ntohl(tcph->seq);
  102. this_way->offset_before = this_way->offset_after;
  103. this_way->offset_after = (int32_t)
  104. this_way->offset_before + new_size - (*skb)->len;
  105. }
  107. UNLOCK_BH(&ip_nat_seqofs_lock);
  109. DEBUGP("ip_nat_resize_packet: Seq_offset after: ");
  110. DUMP_OFFSET(this_way);
  112. return 1;
  113. }
  116. /* Generic function for mangling variable-length address changes inside
  117.  * NATed connections (like the PORT XXX,XXX,XXX,XXX,XXX,XXX command in FTP).
  118.  *
  119.  * Takes care about all the nasty sequence number changes, checksumming,
  120.  * skb enlargement, ...
  121.  *
  122.  * */
  123. int 
  124. ip_nat_mangle_tcp_packet(struct sk_buff **skb,
  125.  struct ip_conntrack *ct,
  126.  enum ip_conntrack_info ctinfo,
  127.  unsigned int match_offset,
  128.  unsigned int match_len,
  129.  char *rep_buffer,
  130.  unsigned int rep_len)
  131. {
  132. struct iphdr *iph = (*skb)->nh.iph;
  133. struct tcphdr *tcph;
  134. unsigned char *data;
  135. u_int32_t tcplen, newlen, newtcplen;
  137. tcplen = (*skb)->len - iph->ihl*4;
  138. newtcplen = tcplen - match_len + rep_len;
  139. newlen = iph->ihl*4 + newtcplen;
  141. if (newlen > 65535) {
  142. if (net_ratelimit())
  143. printk("ip_nat_mangle_tcp_packet: nat'ed packet "
  144. "exceeds maximum packet sizen");
  145. return 0;
  146. }
  148. if ((*skb)->len != newlen) {
  149. if (!ip_nat_resize_packet(skb, ct, ctinfo, newlen)) {
  150. printk("resize_packet failed!!n");
  151. return 0;
  152. }
  153. }
  155. /* Alexey says: if a hook changes _data_ ... it can break
  156.    original packet sitting in tcp queue and this is fatal */
  157. if (skb_cloned(*skb)) {
  158. struct sk_buff *nskb = skb_copy(*skb, GFP_ATOMIC);
  159. if (!nskb) {
  160. if (net_ratelimit())
  161. printk("Out of memory cloning TCP packetn");
  162. return 0;
  163. }
  164. /* Rest of kernel will get very unhappy if we pass it
  165.    a suddenly-orphaned skbuff */
  166. if ((*skb)->sk)
  167. skb_set_owner_w(nskb, (*skb)->sk);
  168. kfree_skb(*skb);
  169. *skb = nskb;
  170. }
  172. /* skb may be copied !! */
  173. iph = (*skb)->nh.iph;
  174. tcph = (void *)iph + iph->ihl*4;
  175. data = (void *)tcph + tcph->doff*4;
  177. /* move post-replacement */
  178. memmove(data + match_offset + rep_len,
  179.  data + match_offset + match_len,
  180.  (*skb)->tail - (data + match_offset + match_len));
  182. /* insert data from buffer */
  183. memcpy(data + match_offset, rep_buffer, rep_len);
  185. /* update skb info */
  186. if (newlen > (*skb)->len) {
  187. DEBUGP("ip_nat_mangle_tcp_packet: Extending packet by "
  188. "%u to %u bytesn", newlen - (*skb)->len, newlen);
  189. skb_put(*skb, newlen - (*skb)->len);
  190. } else {
  191. DEBUGP("ip_nat_mangle_tcp_packet: Shrinking packet from "
  192. "%u to %u bytesn", (*skb)->len, newlen);
  193. skb_trim(*skb, newlen);
  194. }
  196. /* fix checksum information */
  198. iph->tot_len = htons(newlen);
  199. (*skb)->csum = csum_partial((char *)tcph + tcph->doff*4,
  200.     newtcplen - tcph->doff*4, 0);
  202. tcph->check = 0;
  203. tcph->check = tcp_v4_check(tcph, newtcplen, iph->saddr, iph->daddr,
  204.    csum_partial((char *)tcph, tcph->doff*4,
  205.    (*skb)->csum));
  206. ip_send_check(iph);
  208. return 1;
  209. }
  211. /* Adjust one found SACK option including checksum correction */
  212. static void
  213. sack_adjust(struct tcphdr *tcph, 
  214.     unsigned char *ptr, 
  215.     struct ip_nat_seq *natseq)
  216. {
  217. struct tcp_sack_block *sp = (struct tcp_sack_block *)(ptr+2);
  218. int num_sacks = (ptr[1] - TCPOLEN_SACK_BASE)>>3;
  219. int i;
  221. for (i = 0; i < num_sacks; i++, sp++) {
  222. u_int32_t new_start_seq, new_end_seq;
  224. if (after(ntohl(sp->start_seq) - natseq->offset_before,
  225.   natseq->correction_pos))
  226. new_start_seq = ntohl(sp->start_seq) 
  227. - natseq->offset_after;
  228. else
  229. new_start_seq = ntohl(sp->start_seq) 
  230. - natseq->offset_before;
  231. new_start_seq = htonl(new_start_seq);
  233. if (after(ntohl(sp->end_seq) - natseq->offset_before,
  234.   natseq->correction_pos))
  235. new_end_seq = ntohl(sp->end_seq)
  236.       - natseq->offset_after;
  237. else
  238. new_end_seq = ntohl(sp->end_seq)
  239.       - natseq->offset_before;
  240. new_end_seq = htonl(new_end_seq);
  242. DEBUGP("sack_adjust: start_seq: %d->%d, end_seq: %d->%dn",
  243. ntohl(sp->start_seq), new_start_seq,
  244. ntohl(sp->end_seq), new_end_seq);
  246. tcph->check = 
  247. ip_nat_cheat_check(~sp->start_seq, new_start_seq,
  248.    ip_nat_cheat_check(~sp->end_seq, 
  249.           new_end_seq,
  250.       tcph->check));
  252. sp->start_seq = new_start_seq;
  253. sp->end_seq = new_end_seq;
  254. }
  255. }
  258. /* TCP SACK sequence number adjustment, return 0 if sack found and adjusted */
  259. static inline int
  260. ip_nat_sack_adjust(struct sk_buff *skb,
  261. struct ip_conntrack *ct,
  262. enum ip_conntrack_info ctinfo)
  263. {
  264. struct iphdr *iph;
  265. struct tcphdr *tcph;
  266. unsigned char *ptr;
  267. int length, dir, sack_adjusted = 0;
  269. iph = skb->nh.iph;
  270. tcph = (void *)iph + iph->ihl*4;
  271. length = (tcph->doff*4)-sizeof(struct tcphdr);
  272. ptr = (unsigned char *)(tcph+1);
  274. dir = CTINFO2DIR(ctinfo);
  276. while (length > 0) {
  277. int opcode = *ptr++;
  278. int opsize;
  280. switch (opcode) {
  281. case TCPOPT_EOL:
  282. return !sack_adjusted;
  283. case TCPOPT_NOP:
  284. length--;
  285. continue;
  286. default:
  287. opsize = *ptr++;
  288. if (opsize > length) /* no partial opts */
  289. return !sack_adjusted;
  290. if (opcode == TCPOPT_SACK) {
  291. /* found SACK */
  292. if((opsize >= (TCPOLEN_SACK_BASE
  293.        +TCPOLEN_SACK_PERBLOCK)) &&
  294.    !((opsize - TCPOLEN_SACK_BASE)
  295.      % TCPOLEN_SACK_PERBLOCK))
  296. sack_adjust(tcph, ptr-2,
  297.     &ct->nat.info.seq[!dir]);
  299. sack_adjusted = 1;
  300. }
  301. ptr += opsize-2;
  302. length -= opsize;
  303. }
  304. }
  305. return !sack_adjusted;
  306. }
  308. /* TCP sequence number adjustment */
  309. int 
  310. ip_nat_seq_adjust(struct sk_buff *skb, 
  311.   struct ip_conntrack *ct, 
  312.   enum ip_conntrack_info ctinfo)
  313. {
  314. struct iphdr *iph;
  315. struct tcphdr *tcph;
  316. int dir, newseq, newack;
  317. struct ip_nat_seq *this_way, *other_way;
  319. iph = skb->nh.iph;
  320. tcph = (void *)iph + iph->ihl*4;
  322. dir = CTINFO2DIR(ctinfo);
  324. this_way = &ct->nat.info.seq[dir];
  325. other_way = &ct->nat.info.seq[!dir];
  327. if (after(ntohl(tcph->seq), this_way->correction_pos))
  328. newseq = ntohl(tcph->seq) + this_way->offset_after;
  329. else
  330. newseq = ntohl(tcph->seq) + this_way->offset_before;
  331. newseq = htonl(newseq);
  333. if (after(ntohl(tcph->ack_seq) - other_way->offset_before,
  334.   other_way->correction_pos))
  335. newack = ntohl(tcph->ack_seq) - other_way->offset_after;
  336. else
  337. newack = ntohl(tcph->ack_seq) - other_way->offset_before;
  338. newack = htonl(newack);
  340. tcph->check = ip_nat_cheat_check(~tcph->seq, newseq,
  341.  ip_nat_cheat_check(~tcph->ack_seq, 
  342.       newack, 
  343.     tcph->check));
  345. DEBUGP("Adjusting sequence number from %u->%u, ack from %u->%un",
  346. ntohl(tcph->seq), ntohl(newseq), ntohl(tcph->ack_seq),
  347. ntohl(newack));
  349. tcph->seq = newseq;
  350. tcph->ack_seq = newack;
  352. ip_nat_sack_adjust(skb, ct, ctinfo);
  354. return 0;
  355. }
  357. static inline int
  358. helper_cmp(const struct ip_nat_helper *helper,
  359.    const struct ip_conntrack_tuple *tuple)
  360. {
  361. return ip_ct_tuple_mask_cmp(tuple, &helper->tuple, &helper->mask);
  362. }
  364. #define MODULE_MAX_NAMELEN 32
  366. int ip_nat_helper_register(struct ip_nat_helper *me)
  367. {
  368. int ret = 0;
  370. if (me->me && !(me->flags & IP_NAT_HELPER_F_STANDALONE)) {
  371. struct ip_conntrack_helper *ct_helper;
  373. if ((ct_helper = ip_ct_find_helper(&me->tuple))
  374.     && ct_helper->me) {
  375. __MOD_INC_USE_COUNT(ct_helper->me);
  376. } else {
  378. /* We are a NAT helper for protocol X.  If we need
  379.  * respective conntrack helper for protoccol X, compute
  380.  * conntrack helper name and try to load module */
  381. char name[MODULE_MAX_NAMELEN];
  382. const char *tmp = me->me->name;
  384. if (strlen(tmp) + 6 > MODULE_MAX_NAMELEN) {
  385. printk(__FUNCTION__ ": unable to "
  386.        "compute conntrack helper name "
  387.        "from %sn", tmp);
  388. return -EBUSY;
  389. }
  390. tmp += 6;
  391. sprintf(name, "ip_conntrack%s", tmp);
  392. #ifdef CONFIG_KMOD
  393. if (!request_module(name)
  394.     && (ct_helper = ip_ct_find_helper(&me->tuple))
  395.     && ct_helper->me) {
  396. __MOD_INC_USE_COUNT(ct_helper->me);
  397. } else {
  398. printk("unable to load module %sn", name);
  399. return -EBUSY;
  400. }
  401. #else
  402. printk("unable to load module %s automatically "
  403.        "because kernel was compiled without kernel "
  404.        "module loader supportn", name);
  405. return -EBUSY;
  406. #endif
  407. }
  408. }
  409. WRITE_LOCK(&ip_nat_lock);
  410. if (LIST_FIND(&helpers, helper_cmp, struct ip_nat_helper *,&me->tuple))
  411. ret = -EBUSY;
  412. else {
  413. list_prepend(&helpers, me);
  414. MOD_INC_USE_COUNT;
  415. }
  416. WRITE_UNLOCK(&ip_nat_lock);
  418. return ret;
  419. }
  421. static int
  422. kill_helper(const struct ip_conntrack *i, void *helper)
  423. {
  424. int ret;
  426. READ_LOCK(&ip_nat_lock);
  427. ret = (i->nat.info.helper == helper);
  428. READ_UNLOCK(&ip_nat_lock);
  430. return ret;
  431. }
  433. void ip_nat_helper_unregister(struct ip_nat_helper *me)
  434. {
  435. int found = 0;
  437. WRITE_LOCK(&ip_nat_lock);
  438. /* Autoloading conntrack helper might have failed */
  439. if (LIST_FIND(&helpers, helper_cmp, struct ip_nat_helper *,&me->tuple)) {
  440. LIST_DELETE(&helpers, me);
  441. found = 1;
  442. }
  443. WRITE_UNLOCK(&ip_nat_lock);
  445. /* Someone could be still looking at the helper in a bh. */
  446. br_write_lock_bh(BR_NETPROTO_LOCK);
  447. br_write_unlock_bh(BR_NETPROTO_LOCK);
  449. /* Find anything using it, and umm, kill them.  We can't turn
  450.    them into normal connections: if we've adjusted SYNs, then
  451.    they'll ackstorm.  So we just drop it.  We used to just
  452.    bump module count when a connection existed, but that
  453.    forces admins to gen fake RSTs or bounce box, either of
  454.    which is just a long-winded way of making things
  455.    worse. --RR */
  456. ip_ct_selective_cleanup(kill_helper, me);
  458. if (found)
  459. MOD_DEC_USE_COUNT;
  461. /* If we are no standalone NAT helper, we need to decrement usage count
  462.  * on our conntrack helper */
  463. if (me->me && !(me->flags & IP_NAT_HELPER_F_STANDALONE)) {
  464. struct ip_conntrack_helper *ct_helper;
  466. if ((ct_helper = ip_ct_find_helper(&me->tuple))
  467.     && ct_helper->me) {
  468. __MOD_DEC_USE_COUNT(ct_helper->me);
  469. } else 
  470. printk(__FUNCTION__ ": unable to decrement usage count"
  471.        " of conntrack helper %sn", me->me->name);
  472. }
  473. }