home *** CD-ROM | disk | FTP | other *** search
/ CD Actual 25 / CDROM25.iso / Share / linux / apache / contrib / patches / 1.3 / macaddr.patch < prev    next >
Encoding:
Internet Message Format  |  1998-06-11  |  5.1 KB
  1. Date: Tue, 21 Apr 1998 12:47:50 +1000
  2. From: John Holden <johnh@psychvax.psych.usyd.edu.au>
  3. To: brian@hyperreal.org
  4. Subject: Re: mod_access/2079: Enhanced security - Checking IP/hardware address aginst ARP entry in kernel
  5. Cc: apbugs@Apache.Org
  6.  
  7.  
  8. > It'd be great if you could hack up a patch for 1.3
  9.  
  10. I have grafted the required changes to allow for ip/mac address checks in
  11. V1.3. I have allowed an expanded syntax the mac address :-
  12.  
  13.     only from 123.123.123 0123456789av
  14.             or
  15.     only from 123.123.123 01-23-45-67-89-ab
  16.             or
  17.     only from 123.123.123 01:23:45:67:89:ab
  18.  
  19. There may be more work required for different UNix kernels or Windows, for
  20. the ARP lookup.
  21.  
  22. The general .htaccess handling is FAR more efficient that version 1.2.6.
  23. We mere mortals appreciate the excellent work!
  24.  
  25.                 regards John
  26.  
  27. diff -c patch follows :-
  28. :r /user9/t
  29.  
  30. *** src/modules/standard/OLDmod_access.c    Sat Apr 11 22:00:43 1998
  31. --- src/modules/standard/mod_access.c    Tue Apr 21 12:23:11 1998
  32. ***************
  33. *** 68,78 ****
  34. --- 68,88 ----
  35.   #include "http_log.h"
  36.   #include "http_request.h"
  37.   
  38. + #include <sys/file.h>
  39. + #include <sys/socket.h>
  40. + #include <sys/ioctl.h>
  41. +  
  42. + #include <netdb.h>
  43. + #include <netinet/in.h>
  44. + #include <net/if.h>
  45. + #include <netinet/if_ether.h>
  47.   enum allowdeny_type {
  48.       T_ENV,
  49.       T_ALL,
  50.       T_IP,
  51.       T_HOST,
  52. +     T_ONLY,
  53.       T_FAIL
  54.   };
  55.   
  56. ***************
  57. *** 84,89 ****
  58. --- 94,103 ----
  59.           unsigned long net;
  60.           unsigned long mask;
  61.       } ip;
  62. +         struct {
  63. +             unsigned long ipaddr;
  64. +         unsigned char macaddr[6];
  65. +         } ip_mac;
  66.       } x;
  67.       enum allowdeny_type type;
  68.   } allowdeny;
  69. ***************
  70. *** 143,148 ****
  71. --- 157,214 ----
  72.       return (*host == '\0');
  73.   }
  74.   
  75. + /*
  76. + **    get mac address in 12 digit hex form. Allow :-
  77. + **    0123456789ab or 01:23:45:67:89:ab or  01-23-45-67-89-ab
  78. + */
  80. + static int cvt_hex (unsigned char *m, const char *mac)
  81. + {
  82. +     unsigned int val, bin;
  83. +     char c;
  84. +     int c1, c2;
  86. +     for(c1 = 0; c1 < 6; c1++)
  87. +     {
  88. +     val = 0;
  89. +     for(c2 = 0; c2 < 2; c2++)
  90. +     {
  91. +         c = *mac++;
  92. +         if(c == '-' || c == ':')
  93. +             c = *mac++;
  94. +         if(isdigit(c))
  95. +             bin = c - '0';
  96. +         else if(c >= 'a' && c <= 'f')
  97. +             bin = c - 'a' + 10;
  98. +         else if(c >= 'A' && c <= 'F')
  99. +             bin = c - 'A' + 10;
  100. +         else
  101. +             return 0;
  102. +         val = val * 0x10 + bin;
  103. +     }
  104. +     *m++ = val;
  105. +     }
  106. +     return 1;
  107. + }
  108. +         
  109. + const char *only_cmd (cmd_parms *cmd, void *dv, char *from, char *ip, char *mac)
  110. + {
  111. +     access_dir_conf *d = (access_dir_conf *)dv;
  112. +     allowdeny *a;
  114. +     if (strcasecmp (from, "from"))
  115. +         return "'only' must be followed by 'from'";
  116. +     a = (allowdeny *)ap_push_array (d->allows);
  117. +     a->type = T_FAIL;
  118. +     if(!is_ip(ip) || (a->x.ip_mac.ipaddr = inet_addr(ip)) == -1)
  119. +         return "'only' must have numeric IP address";
  120. +     if (!cvt_hex(a->x.ip_mac.macaddr, mac))
  121. +         return "'only' must have 12 digit hex MAC address";
  122. +     a->limited = cmd->limited;
  123. +     a->type = T_ONLY;
  124. +     return NULL;
  125. + }
  127.   static const char *allow_cmd(cmd_parms *cmd, void *dv, char *from, char *where)
  128.   {
  129.       access_dir_conf *d = (access_dir_conf *) dv;
  130. ***************
  131. *** 263,268 ****
  132. --- 329,336 ----
  133.        "'allow,deny', 'deny,allow', or 'mutual-failure'"},
  134.       {"allow", allow_cmd, &its_an_allow, OR_LIMIT, ITERATE2,
  135.        "'from' followed by hostnames or IP-address wildcards"},
  136. +     { "only", only_cmd, NULL, OR_LIMIT, TAKE3,
  137. +      "'only' followed by IP-address and MAC address" },
  138.       {"deny", allow_cmd, NULL, OR_LIMIT, ITERATE2,
  139.        "'from' followed by hostnames or IP-address wildcards"},
  140.       {NULL}
  141. ***************
  142. *** 291,296 ****
  143. --- 359,406 ----
  144.       return 0;
  145.   }
  146.   
  147. + static int match_mac(const unsigned long ip, const unsigned char *mac)
  148. + {
  149. +     struct sockaddr_in *sin;
  150. +     struct arpreq ar;
  151. +     unsigned char *ptr;
  152. +     int s, err;
  153. + /*
  154. + **    setup buffer
  155. + */
  156. +     bzero((caddr_t)&ar, sizeof ar);
  157. +     ar.arp_pa.sa_family = AF_INET;
  158. +     sin = (struct sockaddr_in *)&ar.arp_pa;
  159. +     sin->sin_family = AF_INET;
  160. +     sin->sin_addr.s_addr = ip;
  161. + /*
  162. + **    get a socket and then collect ARP entry
  163. + */
  164. +     if((s = socket(AF_INET, SOCK_DGRAM, 0)) < 0)
  165. +         return 0;
  166. +     err = ioctl(s, SIOCGARP, (caddr_t)&ar);
  167. +     close(s);
  168. +     if(err < 0)
  169. +         return 0;
  170. + /*
  171. + **    we may have an address. Is it complete ?
  172. + */
  173. +     if (!(ar.arp_flags & ATF_COM))
  174. +         return 0;
  175. + /*
  176. + **    try for match
  177. + */
  178. +     ptr = (unsigned char *)ar.arp_ha.sa_data;
  180. +     for(s = 0; s < 5; s++)
  181. +             if(*ptr++ != *mac++)
  182. +             return 0;
  183. + /*
  184. + **    A hit!
  185. + */
  186. +     return 1;
  187. + }
  189.   static int find_allowdeny(request_rec *r, array_header *a, int method)
  190.   {
  191.       allowdeny *ap = (allowdeny *) a->elts;
  192. ***************
  193. *** 320,326 ****
  194.           return 1;
  195.           }
  196.           break;
  198.       case T_HOST:
  199.           if (!gothost) {
  200.           remotehost = ap_get_remote_host(r->connection, r->per_dir_config,
  201. --- 430,440 ----
  202.           return 1;
  203.           }
  204.           break;
  205. !     case T_ONLY:
  206. !         if(r->connection->remote_addr.sin_addr.s_addr == ap[i].x.ip_mac.ipaddr)
  207. !         if(match_mac(ap[i].x.ip_mac.ipaddr, ap[i].x.ip_mac.macaddr))
  208. !             return 1;
  209. !         break;
  210.       case T_HOST:
  211.           if (!gothost) {
  212.           remotehost = ap_get_remote_host(r->connection, r->per_dir_config,
  213.  
  214.