pjsip configuration: Make transport TOS values consistent with endpoints
[asterisk/asterisk.git] / include / asterisk / acl.h
1 /*
2  * Asterisk -- An open source telephony toolkit.
3  *
4  * Copyright (C) 1999 - 2012, Digium, Inc.
5  *
6  * Mark Spencer <markster@digium.com>
7  *
8  * See http://www.asterisk.org for more information about
9  * the Asterisk project. Please do not directly contact
10  * any of the maintainers of this project for assistance;
11  * the project provides a web site, mailing lists and IRC
12  * channels for your use.
13  *
14  * This program is free software, distributed under the terms of
15  * the GNU General Public License Version 2. See the LICENSE file
16  * at the top of the source tree.
17  */
18
19 /*! \file
20  * \brief Access Control of various sorts
21  */
22
23 #ifndef _ASTERISK_ACL_H
24 #define _ASTERISK_ACL_H
25
26
27 #if defined(__cplusplus) || defined(c_plusplus)
28 extern "C" {
29 #endif
30
31 #include "asterisk/network.h"
32 #include "asterisk/linkedlists.h"
33 #include "asterisk/netsock2.h"
34 #include "asterisk/io.h"
35
36 enum ast_acl_sense {
37         AST_SENSE_DENY,
38         AST_SENSE_ALLOW
39 };
40
41 /* Host based access control */
42
43 /*! \brief internal representation of ACL entries
44  * In principle user applications would have no need for this,
45  * but there is sometimes a need to extract individual items,
46  * e.g. to print them, and rather than defining iterators to
47  * navigate the list, and an externally visible 'struct ast_ha_entry',
48  * at least in the short term it is more convenient to make the whole
49  * thing public and let users play with them.
50  */
51 struct ast_ha {
52         /* Host access rule */
53         struct ast_sockaddr addr;
54         struct ast_sockaddr netmask;
55         enum ast_acl_sense sense;
56         struct ast_ha *next;
57 };
58
59 #define ACL_NAME_LENGTH 80
60
61 /*!
62  * \brief an ast_acl is a linked list node of ast_ha structs which may have names.
63  *
64  * \note These shouldn't be used directly by ACL consumers. Consumers should handle
65  *       ACLs via ast_acl_list structs.
66  */
67 struct ast_acl {
68         struct ast_ha *acl;             /*!< Rules contained by the ACL */
69         int is_realtime;                /*!< If raised, this named ACL was retrieved from realtime storage */
70         int is_invalid;                 /*!< If raised, this is an invalid ACL which will automatically reject everything. */
71         char name[ACL_NAME_LENGTH];     /*!< If this was retrieved from the named ACL subsystem, this is the name of the ACL. */
72         AST_LIST_ENTRY(ast_acl) list;
73 };
74
75 /*! \brief Wrapper for an ast_acl linked list. */
76 AST_LIST_HEAD(ast_acl_list, ast_acl);
77
78 /*!
79  * \brief Free a list of HAs
80  *
81  * \details
82  * Given the head of a list of HAs, it and all appended
83  * HAs are freed
84  *
85  * \param ha The head of the list of HAs to free
86  * \retval void
87  */
88 void ast_free_ha(struct ast_ha *ha);
89
90 /*!
91  * \brief Free a list of ACLs
92  *
93  * \details
94  * Given the head of a list of ast_acl structs, it and all appended
95  * acl structs will be freed. This includes the ast_ha structs within
96  * the individual nodes.
97  * \param acl The list of ACLs to free
98  * \retval NULL
99  */
100 struct ast_acl_list *ast_free_acl_list(struct ast_acl_list *acl);
101
102 /*!
103  * \brief Copy the contents of one HA to another
104  *
105  * \details
106  * This copies the internals of the 'from' HA to the 'to'
107  * HA. It is important that the 'to' HA has been allocated
108  * prior to calling this function
109  *
110  * \param from Source HA to copy
111  * \param to Destination HA to copy to
112  * \retval void
113  */
114 void ast_copy_ha(const struct ast_ha *from, struct ast_ha *to);
115
116 /*!
117  * \brief Add a new rule to a list of HAs
118  *
119  * \details
120  * This adds the new host access rule to the end of the list
121  * whose head is specified by the path parameter. Rules are
122  * evaluated in a way such that if multiple rules apply to
123  * a single IP address/subnet mask, then the rule latest
124  * in the list will be used.
125  *
126  * \param sense Either "permit" or "deny" (Actually any 'p' word will result
127  * in permission, and any other word will result in denial)
128  * \param stuff The IP address and subnet mask, separated with a '/'. The subnet
129  * mask can either be in dotted-decimal format or in CIDR notation (i.e. 0-32).
130  * \param path The head of the HA list to which we wish to append our new rule. If
131  * NULL is passed, then the new rule will become the head of the list
132  * \param[out] error The integer error points to will be set non-zero if an error occurs
133  * \return The head of the HA list
134  */
135 struct ast_ha *ast_append_ha(const char *sense, const char *stuff, struct ast_ha *path, int *error);
136
137 /*!
138  * \brief Convert HAs to a comma separated string value
139  * \param ha the starting ha head
140  * \param buf string buffer to convert data to
141  */
142 void ast_ha_join(const struct ast_ha *ha, struct ast_str **buf);
143
144 /*!
145  * \brief Add a rule to an ACL struct
146  *
147  * \details
148  * This adds a named ACL or an ACL rule to an ast_acl container.
149  * It works in a similar way to ast_append_ha.
150  *
151  * \param sense Can be any among "permit", "deny", or "acl"
152  *        this controls whether the rule being added will simply modify the unnamed ACL at the head of the list
153  *        or if a new named ACL will be added to that ast_acl.
154  * \param stuff If sense is 'permit'/'deny', this is the ip address and subnet mask separated with a '/' like in ast_append ha.
155  *        If it sense is 'acl', then this will be the name of the ACL being appended to the container.
156  * \param path Address of the ACL list being appended
157  * \param[out] error The int that error points to will be set to 1 if an error occurs.
158  * \param[out] named_acl_flag This will raise a flag under certain conditions to indicate that a named ACL has been added by this
159  *        operation. This may be used to indicate that an event subscription should be made against the named ACL subsystem.
160  *        Note: This flag may be raised by this function, but it will never be lowered by it.
161  */
162 void ast_append_acl(const char *sense, const char *stuff, struct ast_acl_list **path, int *error, int *named_acl_flag);
163
164 /*!
165  * \brief Determines if an ACL is empty or if it contains entries
166  *
167  * \param acl_list The ACL list being checked
168  * \retval 0 - the list is not empty
169  * \retval 1 - the list is empty
170  */
171 int ast_acl_list_is_empty(struct ast_acl_list *acl_list);
172
173 /*!
174  * \brief Apply a set of rules to a given IP address
175  *
176  * \details
177  * The list of host access rules is traversed, beginning with the
178  * input rule. If the IP address given matches a rule, the "sense"
179  * of that rule is used as the return value. Note that if an IP
180  * address matches multiple rules that the last one matched will be
181  * the one whose sense will be returned.
182  *
183  * \param ha The head of the list of host access rules to follow
184  * \param addr An ast_sockaddr whose address is considered when matching rules
185  * \retval AST_SENSE_ALLOW The IP address passes our ACL
186  * \retval AST_SENSE_DENY The IP address fails our ACL
187  */
188 enum ast_acl_sense ast_apply_ha(const struct ast_ha *ha, const struct ast_sockaddr *addr);
189
190 /*!
191  * \brief Apply a set of rules to a given IP address
192  *
193  * \details
194  * Similar to the above, only uses an acl container, which is a whole slew
195  * of ast_ha lists. It runs ast_apply_ha on each of the ast_ha structs
196  * contained in the acl container. It will deny if any of the ast_ha lists
197  * fail, and it will pass only if all of the rules pass.
198  *
199  * \param acl_list The head of the list of ACLs to evaluate
200  * \param addr An ast_sockaddr whose address is considered when matching rules
201  * \param purpose Context for which the ACL is being applied - Establishes purpose of a notice when rejected
202  *
203  * \retval AST_SENSE_ALLOW The IP address passes our ACLs
204  * \retval AST_SENSE_DENY The IP address fails our ACLs
205  */
206 enum ast_acl_sense ast_apply_acl(struct ast_acl_list *acl_list, const struct ast_sockaddr *addr, const char *purpose);
207
208 /*!
209  * \brief Get the IP address given a hostname
210  *
211  * \details
212  * Similar in nature to ast_gethostbyname, except that instead
213  * of getting an entire hostent structure, you instead are given
214  * only the IP address inserted into a ast_sockaddr structure.
215  *
216  * \param addr The IP address found.  The address family is used
217  * as an input parameter to filter the returned addresses.  If
218  * it is AST_AF_UNSPEC, both IPv4 and IPv6 addresses can be returned.
219  * \param hostname The hostname to look up
220  *
221  * \retval 0 Success
222  * \retval -1 Failure
223  */
224 int ast_get_ip(struct ast_sockaddr *addr, const char *hostname);
225
226 /*!
227  * \brief Get the IP address given a hostname and optional service
228  *
229  * \details
230  * If the service parameter is non-NULL, then an SRV lookup will be made by
231  * prepending the service to the hostname parameter, separated by a '.'
232  * For example, if hostname is "example.com" and service is "_sip._udp" then
233  * an SRV lookup will be done for "_sip._udp.example.com". If service is NULL,
234  * then this function acts exactly like a call to ast_get_ip.
235  *
236  * \param addr The IP address found.  The address family is used
237  * as an input parameter to filter the returned addresses.  If
238  * it is 0, both IPv4 and IPv6 addresses can be returned.
239  *
240  * \param hostname The hostname to look up
241  * \param service A specific service provided by the host. A NULL service results
242  * in an A-record lookup instead of an SRV lookup
243  * \retval 0 Success
244  * \retval -1 Failure
245  */
246 int ast_get_ip_or_srv(struct ast_sockaddr *addr, const char *hostname, const char *service);
247
248 /*!
249  * \brief Get our local IP address when contacting a remote host
250  *
251  * \details
252  * This function will attempt to connect(2) to them over UDP using a source
253  * port of 5060. If the connect(2) call is successful, then we inspect the
254  * sockaddr_in output parameter of connect(2) to determine the IP address
255  * used to connect to them. This IP address is then copied into us.
256  *
257  * \param them The IP address to which we wish to attempt to connect
258  * \param[out] us The source IP address used to connect to them
259  * \retval -1 Failure
260  * \retval 0 Success
261  */
262 int ast_ouraddrfor(const struct ast_sockaddr *them, struct ast_sockaddr *us);
263
264 /*!
265  * \brief Find an IP address associated with a specific interface
266  *
267  * \details
268  * Given an interface such as "eth0" we find the primary IP address
269  * associated with it using the SIOCGIFADDR ioctl. If the ioctl call
270  * should fail, we populate address with 0s.
271  *
272  * \note
273  * This function is not actually used anywhere
274  *
275  * \param iface The interface name whose IP address we wish to find
276  * \param[out] address The interface's IP address is placed into this param
277  * \retval -1 Failure. address is filled with 0s
278  * \retval 0 Success
279  */
280 int ast_lookup_iface(char *iface, struct ast_sockaddr *address);
281
282 /*!
283  * \brief Duplicate the contents of a list of host access rules
284  *
285  * \details
286  * A deep copy of all ast_has in the list is made. The returned
287  * value is allocated on the heap and must be freed independently
288  * of the input parameter when finished.
289  *
290  * \param original The ast_ha to copy
291  * \retval The head of the list of duplicated ast_has
292  */
293 struct ast_ha *ast_duplicate_ha_list(struct ast_ha *original);
294
295 /*!
296  * \brief Duplicates the contests of a list of lists of host access rules.
297  *
298  * \details
299  * A deep copy of an ast_acl list is made (which in turn means a deep copy of
300  * each of the ast_ha structs contained within). The returned value is allocated
301  * on the heap and must be freed independently of the input paramater when
302  * finished.
303  *
304  * \param original The ast_acl_list to copy
305  * \retval The new duplicated ast_acl_list
306  */
307 struct ast_acl_list *ast_duplicate_acl_list(struct ast_acl_list *original);
308
309 /*!
310  * \brief Find our IP address
311  *
312  * \details
313  * This function goes through many iterations in an attempt to find
314  * our IP address. If any step along the way should fail, we move to the
315  * next item in the list. Here are the steps taken:
316  * - If bindaddr has a non-zero IP address, that is copied into ourip
317  * - We use a combination of gethostname and ast_gethostbyname to find our
318  *   IP address.
319  * - We use ast_ouraddrfor with 198.41.0.4 as the destination IP address
320  * - We try some platform-specific socket operations to find the IP address
321  *
322  * \param[out] ourip Our IP address is written here when it is found
323  * \param bindaddr A hint used for finding our IP. See the steps above for
324  * more details
325  * \param family Only addresses of the given family will be returned. Use 0
326  * or AST_SOCKADDR_UNSPEC to get addresses of all families.
327  * \retval 0 Success
328  * \retval -1 Failure
329  */
330 int ast_find_ourip(struct ast_sockaddr *ourip, const struct ast_sockaddr *bindaddr, int family);
331
332 /*!
333  * \brief Convert a string to the appropriate COS value
334  *
335  * \param value The COS string to convert
336  * \param[out] cos The integer representation of that COS value
337  * \retval -1 Failure
338  * \retval 0 Success
339  */
340 int ast_str2cos(const char *value, unsigned int *cos);
341
342 /*!
343  * \brief Convert a string to the appropriate TOS value
344  *
345  * \param value The TOS string to convert
346  * \param[out] tos The integer representation of that TOS value
347  * \retval -1 Failure
348  * \retval 0 Success
349  */
350 int ast_str2tos(const char *value, unsigned int *tos);
351
352 /*!
353  * \brief Convert a TOS value into its string representation
354  *
355  * \param tos The TOS value to look up
356  * \return The string equivalent of the TOS value
357  */
358 const char *ast_tos2str(unsigned int tos);
359
360 /*!
361  * \brief Convert a TOS value into its string representation
362  *        and create a dynamically allocated copy
363  *
364  * \param tos The TOS value to look up
365  * \param buf pointer to character pointer where string will be duplicated to
366  *
367  * \note The string allocated at buf must be free'd
368  */
369 void ast_tos2str_buf(unsigned int tos, char **buf);
370
371 /*!
372  * \brief Retrieve a named ACL
373  *
374  * \details
375  * This function attempts to find a named ACL. If found, a copy
376  * of the requested ACL will be made which must be freed by
377  * the caller.
378  *
379  * \param name Name of the ACL sought
380  * \param[out] is_realtime will be true if the ACL being returned is from realtime
381  * \param[out] is_undefined will be true if no ACL profile can be found for the requested name
382  *
383  * \retval A copy of the named ACL as an ast_ha
384  * \retval NULL if no ACL could be found.
385  */
386 struct ast_ha *ast_named_acl_find(const char *name, int *is_realtime, int *is_undefined);
387
388 /*!
389  * \brief Initialize and configure the named ACL system.
390  *
391  * \details
392  * This function will prepare the named ACL system for use.
393  * For this reason, it needs to be called before other things that use ACLs are initialized.
394  */
395 int ast_named_acl_init(void);
396
397 /*!
398  * \brief reload/reconfigure the named ACL system.
399  *
400  * \details
401  * This function is designed to trigger an event upon a successful reload that may update
402  * ACL consumers.
403  */
404 int ast_named_acl_reload(void);
405
406 /*!
407  * \brief a \ref stasis_message_type for changes against a named ACL or the set of all named ACLs
408  * \since 12
409  *
410  * \retval NULL on error
411  * \retval \ref stasis_message_type for named ACL changes
412  *
413  * \note Messages of this type should always be issued on and expected from the
414  *       \ref ast_security_topic \ref stasis_topic
415  */
416 struct stasis_message_type *ast_named_acl_change_type(void);
417
418 #if defined(__cplusplus) || defined(c_plusplus)
419 }
420 #endif
421
422 #endif /* _ASTERISK_ACL_H */