开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Linux/Unix编程 > 查看源码
ip_nat_standalone.c
资源名称:linux-2.4.20.tar.gz [点击查看]
上传用户:jlfgdled
上传日期:2013-04-10
资源大小:33168k
文件大小:10k
源码类别:

Linux/Unix编程

开发平台:

Unix_Linux

ip_nat_standalone.c:源码内容
  1. /* This file contains all the functions required for the standalone
  2.    ip_nat module.
  4.    These are not required by the compatibility layer.
  5. */
  7. /* (c) 1999 Paul `Rusty' Russell.  Licenced under the GNU General
  8.  * Public Licence.
  9.  *
  10.  * 23 Apr 2001: Harald Welte <laforge@gnumonks.org>
  11.  *  - new API and handling of conntrack/nat helpers
  12.  *  - now capable of multiple expectations for one master
  13.  * */
  15. #include <linux/config.h>
  16. #include <linux/types.h>
  17. #include <linux/ip.h>
  18. #include <linux/netfilter.h>
  19. #include <linux/netfilter_ipv4.h>
  20. #include <linux/module.h>
  21. #include <linux/skbuff.h>
  22. #include <linux/proc_fs.h>
  23. #include <net/checksum.h>
  24. #include <linux/spinlock.h>
  25. #include <linux/version.h>
  26. #include <linux/brlock.h>
  28. #define ASSERT_READ_LOCK(x) MUST_BE_READ_LOCKED(&ip_nat_lock)
  29. #define ASSERT_WRITE_LOCK(x) MUST_BE_WRITE_LOCKED(&ip_nat_lock)
  31. #include <linux/netfilter_ipv4/ip_nat.h>
  32. #include <linux/netfilter_ipv4/ip_nat_rule.h>
  33. #include <linux/netfilter_ipv4/ip_nat_protocol.h>
  34. #include <linux/netfilter_ipv4/ip_nat_core.h>
  35. #include <linux/netfilter_ipv4/ip_nat_helper.h>
  36. #include <linux/netfilter_ipv4/ip_tables.h>
  37. #include <linux/netfilter_ipv4/ip_conntrack_core.h>
  38. #include <linux/netfilter_ipv4/listhelp.h>
  40. #if 0
  41. #define DEBUGP printk
  42. #else
  43. #define DEBUGP(format, args...)
  44. #endif
  46. #define HOOKNAME(hooknum) ((hooknum) == NF_IP_POST_ROUTING ? "POST_ROUTING"  
  47.    : ((hooknum) == NF_IP_PRE_ROUTING ? "PRE_ROUTING" 
  48.       : ((hooknum) == NF_IP_LOCAL_OUT ? "LOCAL_OUT"  
  49.          : ((hooknum) == NF_IP_LOCAL_IN ? "LOCAL_IN"  
  50.     : "*ERROR*")))
  52. static inline int call_expect(struct ip_conntrack *master,
  53.       struct sk_buff **pskb,
  54.       unsigned int hooknum,
  55.       struct ip_conntrack *ct,
  56.       struct ip_nat_info *info)
  57. {
  58. return master->nat.info.helper->expect(pskb, hooknum, ct, info);
  59. }
  61. static unsigned int
  62. ip_nat_fn(unsigned int hooknum,
  63.   struct sk_buff **pskb,
  64.   const struct net_device *in,
  65.   const struct net_device *out,
  66.   int (*okfn)(struct sk_buff *))
  67. {
  68. struct ip_conntrack *ct;
  69. enum ip_conntrack_info ctinfo;
  70. struct ip_nat_info *info;
  71. /* maniptype == SRC for postrouting. */
  72. enum ip_nat_manip_type maniptype = HOOK2MANIP(hooknum);
  74. /* We never see fragments: conntrack defrags on pre-routing
  75.    and local-out, and ip_nat_out protects post-routing. */
  76. IP_NF_ASSERT(!((*pskb)->nh.iph->frag_off
  77.        & htons(IP_MF|IP_OFFSET)));
  79. (*pskb)->nfcache |= NFC_UNKNOWN;
  81. /* If we had a hardware checksum before, it's now invalid */
  82. if ((*pskb)->ip_summed == CHECKSUM_HW)
  83. (*pskb)->ip_summed = CHECKSUM_NONE;
  85. ct = ip_conntrack_get(*pskb, &ctinfo);
  86. /* Can't track?  It's not due to stress, or conntrack would
  87.    have dropped it.  Hence it's the user's responsibilty to
  88.    packet filter it out, or implement conntrack/NAT for that
  89.    protocol. 8) --RR */
  90. if (!ct) {
  91. /* Exception: ICMP redirect to new connection (not in
  92.                    hash table yet).  We must not let this through, in
  93.                    case we're doing NAT to the same network. */
  94. struct iphdr *iph = (*pskb)->nh.iph;
  95. struct icmphdr *hdr = (struct icmphdr *)
  96. ((u_int32_t *)iph + iph->ihl);
  97. if (iph->protocol == IPPROTO_ICMP
  98.     && hdr->type == ICMP_REDIRECT)
  99. return NF_DROP;
  100. return NF_ACCEPT;
  101. }
  103. switch (ctinfo) {
  104. case IP_CT_RELATED:
  105. case IP_CT_RELATED+IP_CT_IS_REPLY:
  106. if ((*pskb)->nh.iph->protocol == IPPROTO_ICMP) {
  107. return icmp_reply_translation(*pskb, ct, hooknum,
  108.       CTINFO2DIR(ctinfo));
  109. }
  110. /* Fall thru... (Only ICMPs can be IP_CT_IS_REPLY) */
  111. case IP_CT_NEW:
  112. #ifdef CONFIG_IP_NF_NAT_LOCAL
  113. /* LOCAL_IN hook doesn't have a chain and thus doesn't care
  114.  * about new packets -HW */
  115. if (hooknum == NF_IP_LOCAL_IN)
  116. return NF_ACCEPT;
  117. #endif
  118. info = &ct->nat.info;
  120. WRITE_LOCK(&ip_nat_lock);
  121. /* Seen it before?  This can happen for loopback, retrans,
  122.    or local packets.. */
  123. if (!(info->initialized & (1 << maniptype))) {
  124. int in_hashes = info->initialized;
  125. unsigned int ret;
  127. if (ct->master
  128.     && master_ct(ct)->nat.info.helper
  129.     && master_ct(ct)->nat.info.helper->expect) {
  130. ret = call_expect(master_ct(ct), pskb, 
  131.   hooknum, ct, info);
  132. } else {
  133. ret = ip_nat_rule_find(pskb, hooknum, in, out,
  134.        ct, info);
  135. }
  137. if (ret != NF_ACCEPT) {
  138. WRITE_UNLOCK(&ip_nat_lock);
  139. return ret;
  140. }
  142. if (in_hashes) {
  143. IP_NF_ASSERT(info->bysource.conntrack);
  144. replace_in_hashes(ct, info);
  145. } else {
  146. place_in_hashes(ct, info);
  147. }
  148. } else
  149. DEBUGP("Already setup manip %s for ct %pn",
  150.        maniptype == IP_NAT_MANIP_SRC ? "SRC" : "DST",
  151.        ct);
  152. WRITE_UNLOCK(&ip_nat_lock);
  153. break;
  155. default:
  156. /* ESTABLISHED */
  157. IP_NF_ASSERT(ctinfo == IP_CT_ESTABLISHED
  158.      || ctinfo == (IP_CT_ESTABLISHED+IP_CT_IS_REPLY));
  159. info = &ct->nat.info;
  160. }
  162. IP_NF_ASSERT(info);
  163. return do_bindings(ct, ctinfo, info, hooknum, pskb);
  164. }
  166. static unsigned int
  167. ip_nat_out(unsigned int hooknum,
  168.    struct sk_buff **pskb,
  169.    const struct net_device *in,
  170.    const struct net_device *out,
  171.    int (*okfn)(struct sk_buff *))
  172. {
  173. /* root is playing with raw sockets. */
  174. if ((*pskb)->len < sizeof(struct iphdr)
  175.     || (*pskb)->nh.iph->ihl * 4 < sizeof(struct iphdr))
  176. return NF_ACCEPT;
  178. /* We can hit fragment here; forwarded packets get
  179.    defragmented by connection tracking coming in, then
  180.    fragmented (grr) by the forward code.
  182.    In future: If we have nfct != NULL, AND we have NAT
  183.    initialized, AND there is no helper, then we can do full
  184.    NAPT on the head, and IP-address-only NAT on the rest.
  186.    I'm starting to have nightmares about fragments.  */
  188. if ((*pskb)->nh.iph->frag_off & htons(IP_MF|IP_OFFSET)) {
  189. *pskb = ip_ct_gather_frags(*pskb);
  191. if (!*pskb)
  192. return NF_STOLEN;
  193. }
  195. return ip_nat_fn(hooknum, pskb, in, out, okfn);
  196. }
  198. static unsigned int
  199. ip_nat_local_fn(unsigned int hooknum,
  200. struct sk_buff **pskb,
  201. const struct net_device *in,
  202. const struct net_device *out,
  203. int (*okfn)(struct sk_buff *))
  204. {
  205. u_int32_t saddr, daddr;
  206. unsigned int ret;
  208. /* root is playing with raw sockets. */
  209. if ((*pskb)->len < sizeof(struct iphdr)
  210.     || (*pskb)->nh.iph->ihl * 4 < sizeof(struct iphdr))
  211. return NF_ACCEPT;
  213. saddr = (*pskb)->nh.iph->saddr;
  214. daddr = (*pskb)->nh.iph->daddr;
  216. ret = ip_nat_fn(hooknum, pskb, in, out, okfn);
  217. if (ret != NF_DROP && ret != NF_STOLEN
  218.     && ((*pskb)->nh.iph->saddr != saddr
  219. || (*pskb)->nh.iph->daddr != daddr))
  220. return ip_route_me_harder(pskb) == 0 ? ret : NF_DROP;
  221. return ret;
  222. }
  224. /* We must be after connection tracking and before packet filtering. */
  226. /* Before packet filtering, change destination */
  227. static struct nf_hook_ops ip_nat_in_ops
  228. = { { NULL, NULL }, ip_nat_fn, PF_INET, NF_IP_PRE_ROUTING, NF_IP_PRI_NAT_DST };
  229. /* After packet filtering, change source */
  230. static struct nf_hook_ops ip_nat_out_ops
  231. = { { NULL, NULL }, ip_nat_out, PF_INET, NF_IP_POST_ROUTING, NF_IP_PRI_NAT_SRC};
  232. /* Before packet filtering, change destination */
  233. static struct nf_hook_ops ip_nat_local_out_ops
  234. = { { NULL, NULL }, ip_nat_local_fn, PF_INET, NF_IP_LOCAL_OUT, NF_IP_PRI_NAT_DST };
  236. #ifdef CONFIG_IP_NF_NAT_LOCAL
  237. static struct nf_hook_ops ip_nat_local_in_ops
  238. = { { NULL, NULL }, ip_nat_fn, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_NAT_SRC };
  239. #endif
  241. /* Protocol registration. */
  242. int ip_nat_protocol_register(struct ip_nat_protocol *proto)
  243. {
  244. int ret = 0;
  245. struct list_head *i;
  247. WRITE_LOCK(&ip_nat_lock);
  248. for (i = protos.next; i != &protos; i = i->next) {
  249. if (((struct ip_nat_protocol *)i)->protonum
  250.     == proto->protonum) {
  251. ret = -EBUSY;
  252. goto out;
  253. }
  254. }
  256. list_prepend(&protos, proto);
  257. MOD_INC_USE_COUNT;
  259.  out:
  260. WRITE_UNLOCK(&ip_nat_lock);
  261. return ret;
  262. }
  264. /* Noone stores the protocol anywhere; simply delete it. */
  265. void ip_nat_protocol_unregister(struct ip_nat_protocol *proto)
  266. {
  267. WRITE_LOCK(&ip_nat_lock);
  268. LIST_DELETE(&protos, proto);
  269. WRITE_UNLOCK(&ip_nat_lock);
  271. /* Someone could be still looking at the proto in a bh. */
  272. br_write_lock_bh(BR_NETPROTO_LOCK);
  273. br_write_unlock_bh(BR_NETPROTO_LOCK);
  275. MOD_DEC_USE_COUNT;
  276. }
  278. static int init_or_cleanup(int init)
  279. {
  280. int ret = 0;
  282. if (!init) goto cleanup;
  284. ret = ip_nat_rule_init();
  285. if (ret < 0) {
  286. printk("ip_nat_init: can't setup rules.n");
  287. goto cleanup_nothing;
  288. }
  289. ret = ip_nat_init();
  290. if (ret < 0) {
  291. printk("ip_nat_init: can't setup rules.n");
  292. goto cleanup_rule_init;
  293. }
  294. ret = nf_register_hook(&ip_nat_in_ops);
  295. if (ret < 0) {
  296. printk("ip_nat_init: can't register in hook.n");
  297. goto cleanup_nat;
  298. }
  299. ret = nf_register_hook(&ip_nat_out_ops);
  300. if (ret < 0) {
  301. printk("ip_nat_init: can't register out hook.n");
  302. goto cleanup_inops;
  303. }
  304. ret = nf_register_hook(&ip_nat_local_out_ops);
  305. if (ret < 0) {
  306. printk("ip_nat_init: can't register local out hook.n");
  307. goto cleanup_outops;
  308. }
  309. #ifdef CONFIG_IP_NF_NAT_LOCAL
  310. ret = nf_register_hook(&ip_nat_local_in_ops);
  311. if (ret < 0) {
  312. printk("ip_nat_init: can't register local in hook.n");
  313. goto cleanup_localoutops;
  314. }
  315. #endif
  316. if (ip_conntrack_module)
  317. __MOD_INC_USE_COUNT(ip_conntrack_module);
  318. return ret;
  320.  cleanup:
  321. if (ip_conntrack_module)
  322. __MOD_DEC_USE_COUNT(ip_conntrack_module);
  323. #ifdef CONFIG_IP_NF_NAT_LOCAL
  324. nf_unregister_hook(&ip_nat_local_in_ops);
  325.  cleanup_localoutops:
  326. #endif
  327. nf_unregister_hook(&ip_nat_local_out_ops);
  328.  cleanup_outops:
  329. nf_unregister_hook(&ip_nat_out_ops);
  330.  cleanup_inops:
  331. nf_unregister_hook(&ip_nat_in_ops);
  332.  cleanup_nat:
  333. ip_nat_cleanup();
  334.  cleanup_rule_init:
  335. ip_nat_rule_cleanup();
  336.  cleanup_nothing:
  337. MUST_BE_READ_WRITE_UNLOCKED(&ip_nat_lock);
  338. return ret;
  339. }
  341. static int __init init(void)
  342. {
  343. return init_or_cleanup(1);
  344. }
  346. static void __exit fini(void)
  347. {
  348. init_or_cleanup(0);
  349. }
  351. module_init(init);
  352. module_exit(fini);
  354. EXPORT_SYMBOL(ip_nat_setup_info);
  355. EXPORT_SYMBOL(ip_nat_protocol_register);
  356. EXPORT_SYMBOL(ip_nat_protocol_unregister);
  357. EXPORT_SYMBOL(ip_nat_helper_register);
  358. EXPORT_SYMBOL(ip_nat_helper_unregister);
  359. EXPORT_SYMBOL(ip_nat_cheat_check);
  360. EXPORT_SYMBOL(ip_nat_mangle_tcp_packet);
  361. EXPORT_SYMBOL(ip_nat_used_tuple);
  362. MODULE_LICENSE("GPL");