git.sesse.net Git - vlc/blob - src/network/acl.c

   1 /*****************************************************************************
   2  * acl.c:
   3  *****************************************************************************
   4  * Copyright (C) 2005 Rémi Denis-Courmont
   5  * $Id$
   6  *
   7  * Authors: Rémi Denis-Courmont <rem # videolan.org>
   8  *
   9  * This program is free software; you can redistribute it and/or modify
  10  * it under the terms of the GNU General Public License as published by
  11  * the Free Software Foundation; either version 2 of the License, or
  12  * (at your option) any later version.
  13  *
  14  * This program is distributed in the hope that it will be useful,
  15  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  16  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  17  * GNU General Public License for more details.
  18  *
  19  * You should have received a copy of the GNU General Public License
  20  * along with this program; if not, write to the Free Software
  21  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston MA 02110-1301, USA.
  22  *****************************************************************************/
  23
  24 /*****************************************************************************
  25  * Preamble
  26  *****************************************************************************/
  27 #include <stdlib.h>
  28 #include <string.h>
  29 #include <ctype.h>
  30 #include <vlc/vlc.h>
  31
  32 #include <vlc_acl.h>
  33
  34 #include <errno.h>
  35
  36 #include <vlc_network.h>
  37 #include <vlc_charset.h>
  38
  39 /* FIXME: rwlock on acl, but libvlc doesn't implement rwlock */
  40 typedef struct vlc_acl_entry_t
  41 {
  42     uint8_t    host[17];
  43     uint8_t    i_bytes_match;
  44     uint8_t    i_bits_mask;
  45     vlc_bool_t b_allow;
  46 } vlc_acl_entry_t;
  47
  48 struct vlc_acl_t
  49 {
  50     vlc_object_t    *p_owner;
  51     unsigned         i_size;
  52     vlc_acl_entry_t *p_entries;
  53     vlc_bool_t       b_allow_default;
  54 };
  55
  56 static int ACL_Resolve( vlc_object_t *p_this, uint8_t *p_bytes,
  57                         const char *psz_ip )
  58 {
  59     struct addrinfo hints, *res;
  60     int i_family;
  61
  62     memset (&hints, 0, sizeof (hints));
  63     hints.ai_socktype = SOCK_STREAM; /* doesn't matter */
  64     hints.ai_flags = AI_NUMERICHOST;
  65
  66     if( vlc_getaddrinfo( p_this, psz_ip, 0, &hints, &res ) )
  67     {
  68         msg_Err( p_this, "invalid IP address %s", psz_ip );
  69         return -1;
  70     }
  71
  72     p_bytes[16] = 0; /* avoids overflowing when i_bytes_match = 16 */
  73
  74     i_family = res->ai_addr->sa_family;
  75     switch( i_family )
  76     {
  77         case AF_INET:
  78         {
  79             struct sockaddr_in *addr;
  80
  81             addr = (struct sockaddr_in *)res->ai_addr;
  82             memset( p_bytes, 0, 12 );
  83             memcpy( p_bytes + 12, &addr->sin_addr, 4 );
  84             break;
  85         }
  86
  87 #if defined (HAVE_GETADDRINFO) || defined (WIN32)
  88         /* unfortunately many people define AF_INET6
  89            though they don't have struct sockaddr_in6 */
  90         case AF_INET6:
  91         {
  92             struct sockaddr_in6 *addr;
  93
  94             addr = (struct sockaddr_in6 *)res->ai_addr;
  95             memcpy( p_bytes, &addr->sin6_addr, 16 );
  96             break;
  97         }
  98 #endif
  99
 100         default:
 101             msg_Err( p_this, "unknown address family" );
 102             vlc_freeaddrinfo( res );
 103             return -1;
 104     }
 105
 106     vlc_freeaddrinfo( res );
 107     return i_family;
 108 }
 109
 110
 111 /**
 112  * Check if a given address passes an access control list.
 113  *
 114  * @param p_acl pre-existing ACL to match the address against
 115  * @param psz_ip numeric IPv4/IPv6 address
 116  *
 117  * @return 0 if the first matching ACL entry is an access grant,
 118  * 1 if the first matching ACL entry is a denial of access,
 119  * -1 on error.
 120  */
 121 int ACL_Check( vlc_acl_t *p_acl, const char *psz_ip )
 122 {
 123     const vlc_acl_entry_t *p_cur, *p_end;
 124     uint8_t host[17];
 125
 126     if( p_acl == NULL )
 127         return -1;
 128
 129     p_cur = p_acl->p_entries;
 130     p_end = p_cur + p_acl->i_size;
 131
 132     if( ACL_Resolve( p_acl->p_owner, host, psz_ip ) < 0 )
 133         return -1;
 134
 135     while (p_cur < p_end)
 136     {
 137         unsigned i;
 138
 139         i = p_cur->i_bytes_match;
 140         if( (memcmp( p_cur->host, host, i ) == 0)
 141          && (((p_cur->host[i] ^ host[i]) & p_cur->i_bits_mask) == 0) )
 142             return !p_cur->b_allow;
 143
 144         p_cur++;
 145     }
 146
 147     return !p_acl->b_allow_default;
 148 }
 149
 150 /**
 151  * Adds an item to an ACL.
 152  * Items are always matched in the same order as they are added.
 153  */
 154 int ACL_AddNet( vlc_acl_t *p_acl, const char *psz_ip, int i_len,
 155                 vlc_bool_t b_allow )
 156 {
 157     vlc_acl_entry_t *p_ent;
 158     unsigned i_size;
 159     div_t d;
 160     int i_family;
 161
 162     i_size = p_acl->i_size;
 163     p_ent = (vlc_acl_entry_t *)realloc( p_acl->p_entries,
 164                                         ++p_acl->i_size * sizeof( *p_ent ) );
 165
 166     if( p_ent == NULL )
 167         return -1;
 168
 169     p_acl->p_entries = p_ent;
 170     p_ent += i_size;
 171
 172     i_family = ACL_Resolve( p_acl->p_owner, p_ent->host, psz_ip );
 173     if( i_family < 0 )
 174     {
 175         /*
 176          * I'm lazy : memory space will be re-used in the next ACL_Add call...
 177          * or not.
 178          */
 179         p_acl->i_size--;
 180         return -1;
 181     }
 182
 183     if( i_len >= 0 )
 184     {
 185         if( i_family == AF_INET )
 186             i_len += 96;
 187
 188         if( i_len > 128 )
 189             i_len = 128;
 190         else
 191         if( i_len < 0 )
 192             i_len = 0;
 193     }
 194     else
 195         i_len = 128; /* ACL_AddHost */
 196
 197     d = div( i_len, 8 );
 198     p_ent->i_bytes_match = d.quot;
 199     p_ent->i_bits_mask = 0xff << (8 - d.rem);
 200
 201     p_ent->b_allow = b_allow;
 202     return 0;
 203 }
 204
 205
 206 /**
 207  * Creates an empty ACL.
 208  *
 209  * @param b_allow whether to grant (VLC_TRUE) or deny (VLC_FALSE) access
 210  * by default (ie if none of the ACL entries matched).
 211  *
 212  * @return an ACL object. NULL in case of error.
 213  */
 214 vlc_acl_t *__ACL_Create( vlc_object_t *p_this, vlc_bool_t b_allow )
 215 {
 216     vlc_acl_t *p_acl;
 217
 218     p_acl = (vlc_acl_t *)malloc( sizeof( *p_acl ) );
 219     if( p_acl == NULL )
 220         return NULL;
 221
 222     vlc_object_yield( p_this );
 223     p_acl->p_owner = p_this;
 224     p_acl->i_size = 0;
 225     p_acl->p_entries = NULL;
 226     p_acl->b_allow_default = b_allow;
 227
 228     return p_acl;
 229 }
 230
 231
 232 /**
 233  * Perform a deep copy of an existing ACL.
 234  *
 235  * @param p_this object to attach the copy to.
 236  * @param p_acl ACL object to be copied.
 237  *
 238  * @return a new ACL object, or NULL on error.
 239  */
 240 vlc_acl_t *__ACL_Duplicate( vlc_object_t *p_this, const vlc_acl_t *p_acl )
 241 {
 242     vlc_acl_t *p_dupacl;
 243
 244     if( p_acl == NULL )
 245         return NULL;
 246
 247     p_dupacl = (vlc_acl_t *)malloc( sizeof( *p_dupacl ) );
 248     if( p_dupacl == NULL )
 249         return NULL;
 250
 251     if( p_acl->i_size )
 252     {
 253         p_dupacl->p_entries = (vlc_acl_entry_t *)
 254             malloc( p_acl->i_size * sizeof( vlc_acl_entry_t ) );
 255
 256         if( p_dupacl->p_entries == NULL )
 257         {
 258             free( p_dupacl );
 259             return NULL;
 260         }
 261
 262         memcpy( p_dupacl->p_entries, p_acl->p_entries,
 263                 p_acl->i_size * sizeof( vlc_acl_entry_t ) );
 264     }
 265     else
 266         p_dupacl->p_entries = NULL;
 267
 268     vlc_object_yield( p_this );
 269     p_dupacl->p_owner = p_this;
 270     p_dupacl->i_size = p_acl->i_size;
 271     p_dupacl->b_allow_default = p_acl->b_allow_default;
 272
 273     return p_dupacl;
 274 }
 275
 276
 277 /**
 278  * Releases all resources associated with an ACL object.
 279  */
 280 void ACL_Destroy( vlc_acl_t *p_acl )
 281 {
 282     if( p_acl != NULL )
 283     {
 284         if( p_acl->p_entries != NULL )
 285             free( p_acl->p_entries );
 286
 287         vlc_object_release( p_acl->p_owner );
 288         free( p_acl );
 289     }
 290 }
 291
 292 #ifndef isblank
 293 #   define isblank(c) ((c) == ' ' || (c) == '\t')
 294 #endif
 295
 296 /**
 297  * Reads ACL entries from a file.
 298  *
 299  * @param p_acl ACL object in which to insert parsed entries.
 300  * @param psz_patch filename from which to parse entries.
 301  *
 302  * @return 0 on success, -1 on error.
 303  */
 304 int ACL_LoadFile( vlc_acl_t *p_acl, const char *psz_path )
 305 {
 306     FILE *file;
 307
 308     if( p_acl == NULL )
 309         return -1;
 310
 311     file = utf8_fopen( psz_path, "r" );
 312     if( file == NULL )
 313         return -1;
 314
 315     msg_Dbg( p_acl->p_owner, "find .hosts in dir=%s", psz_path );
 316
 317     while( !feof( file ) )
 318     {
 319         char line[1024], *psz_ip, *ptr;
 320
 321         if( fgets( line, sizeof( line ), file ) == NULL )
 322         {
 323             if( ferror( file ) )
 324             {
 325                 msg_Err( p_acl->p_owner, "error reading %s : %s\n", psz_path,
 326                         strerror( errno ) );
 327                 goto error;
 328             }
 329             continue;
 330         }
 331
 332         /* fgets() is cool : never overflow, always nul-terminate */
 333         psz_ip = line;
 334
 335         /* skips blanks - cannot overflow given '\0' is not space */
 336         while( isspace( *psz_ip ) )
 337             psz_ip++;
 338
 339         if( *psz_ip == '\0' ) /* empty/blank line */
 340             continue;
 341
 342         ptr = strchr( psz_ip, '\n' );
 343         if( ptr == NULL )
 344         {
 345             msg_Warn( p_acl->p_owner, "skipping overly long line in %s\n",
 346                       psz_path);
 347             do
 348             {
 349                 fgets( line, sizeof( line ), file );
 350                 if( ferror( file ) || feof( file ) )
 351                 {
 352                     msg_Err( p_acl->p_owner, "error reading %s : %s\n",
 353                              psz_path, strerror( errno ) );
 354                     goto error;
 355                 }
 356             }
 357             while( strchr( line, '\n' ) == NULL);
 358
 359             continue; /* skip unusable line */
 360         }
 361
 362         /* skips comment-only line */
 363         if( *psz_ip == '#' )
 364             continue;
 365
 366         /* looks for first space, CR, LF, etc. or end-of-line comment */
 367         /* (there is at least a linefeed) */
 368         for( ptr = psz_ip; ( *ptr != '#' ) && !isspace( *ptr ); ptr++ );
 369
 370         *ptr = '\0';
 371
 372         msg_Dbg( p_acl->p_owner, "restricted to %s", psz_ip );
 373
 374         ptr = strchr( psz_ip, '/' );
 375         if( ptr != NULL )
 376             *ptr++ = '\0'; /* separate address from mask length */
 377
 378         if( (ptr != NULL)
 379             ? ACL_AddNet( p_acl, psz_ip, atoi( ptr ), VLC_TRUE )
 380             : ACL_AddHost( p_acl, psz_ip, VLC_TRUE ) )
 381         {
 382             msg_Err( p_acl->p_owner, "cannot add ACL from %s", psz_path );
 383             goto error;
 384         }
 385     }
 386
 387     fclose( file );
 388     return 0;
 389
 390 error:
 391     fclose( file );
 392     return -1;
 393 }
 394