Branch data     Line data    Source code

       1                 :            : /* SPDX-License-Identifier: GPL-2.0 WITH Linux-syscall-note */
       2                 :            : /*
       3                 :            :  * 25-Jul-1998 Major changes to allow for ip chain table
       4                 :            :  *
       5                 :            :  * 3-Jan-2000 Named tables to allow packet selection for different uses.
       6                 :            :  */
       7                 :            : 
       8                 :            : /*
       9                 :            :  *      Format of an IP firewall descriptor
      10                 :            :  *
      11                 :            :  *      src, dst, src_mask, dst_mask are always stored in network byte order.
      12                 :            :  *      flags are stored in host byte order (of course).
      13                 :            :  *      Port numbers are stored in HOST byte order.
      14                 :            :  */
      15                 :            : 
      16                 :            : #ifndef _UAPI_IPTABLES_H
      17                 :            : #define _UAPI_IPTABLES_H
      18                 :            : 
      19                 :            : #include <linux/types.h>
      20                 :            : #include <linux/compiler.h>
      21                 :            : #include <linux/if.h>
      22                 :            : #include <linux/netfilter_ipv4.h>
      23                 :            : 
      24                 :            : #include <linux/netfilter/x_tables.h>
      25                 :            : 
      26                 :            : #ifndef __KERNEL__
      27                 :            : #define IPT_FUNCTION_MAXNAMELEN XT_FUNCTION_MAXNAMELEN
      28                 :            : #define IPT_TABLE_MAXNAMELEN XT_TABLE_MAXNAMELEN
      29                 :            : #define ipt_match xt_match
      30                 :            : #define ipt_target xt_target
      31                 :            : #define ipt_table xt_table
      32                 :            : #define ipt_get_revision xt_get_revision
      33                 :            : #define ipt_entry_match xt_entry_match
      34                 :            : #define ipt_entry_target xt_entry_target
      35                 :            : #define ipt_standard_target xt_standard_target
      36                 :            : #define ipt_error_target xt_error_target
      37                 :            : #define ipt_counters xt_counters
      38                 :            : #define IPT_CONTINUE XT_CONTINUE
      39                 :            : #define IPT_RETURN XT_RETURN
      40                 :            : 
      41                 :            : /* This group is older than old (iptables < v1.4.0-rc1~89) */
      42                 :            : #include <linux/netfilter/xt_tcpudp.h>
      43                 :            : #define ipt_udp xt_udp
      44                 :            : #define ipt_tcp xt_tcp
      45                 :            : #define IPT_TCP_INV_SRCPT       XT_TCP_INV_SRCPT
      46                 :            : #define IPT_TCP_INV_DSTPT       XT_TCP_INV_DSTPT
      47                 :            : #define IPT_TCP_INV_FLAGS       XT_TCP_INV_FLAGS
      48                 :            : #define IPT_TCP_INV_OPTION      XT_TCP_INV_OPTION
      49                 :            : #define IPT_TCP_INV_MASK        XT_TCP_INV_MASK
      50                 :            : #define IPT_UDP_INV_SRCPT       XT_UDP_INV_SRCPT
      51                 :            : #define IPT_UDP_INV_DSTPT       XT_UDP_INV_DSTPT
      52                 :            : #define IPT_UDP_INV_MASK        XT_UDP_INV_MASK
      53                 :            : 
      54                 :            : /* The argument to IPT_SO_ADD_COUNTERS. */
      55                 :            : #define ipt_counters_info xt_counters_info
      56                 :            : /* Standard return verdict, or do jump. */
      57                 :            : #define IPT_STANDARD_TARGET XT_STANDARD_TARGET
      58                 :            : /* Error verdict. */
      59                 :            : #define IPT_ERROR_TARGET XT_ERROR_TARGET
      60                 :            : 
      61                 :            : /* fn returns 0 to continue iteration */
      62                 :            : #define IPT_MATCH_ITERATE(e, fn, args...) \
      63                 :            :         XT_MATCH_ITERATE(struct ipt_entry, e, fn, ## args)
      64                 :            : 
      65                 :            : /* fn returns 0 to continue iteration */
      66                 :            : #define IPT_ENTRY_ITERATE(entries, size, fn, args...) \
      67                 :            :         XT_ENTRY_ITERATE(struct ipt_entry, entries, size, fn, ## args)
      68                 :            : #endif
      69                 :            : 
      70                 :            : /* Yes, Virginia, you have to zero the padding. */
      71                 :            : struct ipt_ip {
      72                 :            :         /* Source and destination IP addr */
      73                 :            :         struct in_addr src, dst;
      74                 :            :         /* Mask for src and dest IP addr */
      75                 :            :         struct in_addr smsk, dmsk;
      76                 :            :         char iniface[IFNAMSIZ], outiface[IFNAMSIZ];
      77                 :            :         unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];
      78                 :            : 
      79                 :            :         /* Protocol, 0 = ANY */
      80                 :            :         __u16 proto;
      81                 :            : 
      82                 :            :         /* Flags word */
      83                 :            :         __u8 flags;
      84                 :            :         /* Inverse flags */
      85                 :            :         __u8 invflags;
      86                 :            : };
      87                 :            : 
      88                 :            : /* Values for "flag" field in struct ipt_ip (general ip structure). */
      89                 :            : #define IPT_F_FRAG              0x01    /* Set if rule is a fragment rule */
      90                 :            : #define IPT_F_GOTO              0x02    /* Set if jump is a goto */
      91                 :            : #define IPT_F_MASK              0x03    /* All possible flag bits mask. */
      92                 :            : 
      93                 :            : /* Values for "inv" field in struct ipt_ip. */
      94                 :            : #define IPT_INV_VIA_IN          0x01    /* Invert the sense of IN IFACE. */
      95                 :            : #define IPT_INV_VIA_OUT         0x02    /* Invert the sense of OUT IFACE */
      96                 :            : #define IPT_INV_TOS             0x04    /* Invert the sense of TOS. */
      97                 :            : #define IPT_INV_SRCIP           0x08    /* Invert the sense of SRC IP. */
      98                 :            : #define IPT_INV_DSTIP           0x10    /* Invert the sense of DST OP. */
      99                 :            : #define IPT_INV_FRAG            0x20    /* Invert the sense of FRAG. */
     100                 :            : #define IPT_INV_PROTO           XT_INV_PROTO
     101                 :            : #define IPT_INV_MASK            0x7F    /* All possible flag bits mask. */
     102                 :            : 
     103                 :            : /* This structure defines each of the firewall rules.  Consists of 3
     104                 :            :    parts which are 1) general IP header stuff 2) match specific
     105                 :            :    stuff 3) the target to perform if the rule matches */
     106                 :            : struct ipt_entry {
     107                 :            :         struct ipt_ip ip;
     108                 :            : 
     109                 :            :         /* Mark with fields that we care about. */
     110                 :            :         unsigned int nfcache;
     111                 :            : 
     112                 :            :         /* Size of ipt_entry + matches */
     113                 :            :         __u16 target_offset;
     114                 :            :         /* Size of ipt_entry + matches + target */
     115                 :            :         __u16 next_offset;
     116                 :            : 
     117                 :            :         /* Back pointer */
     118                 :            :         unsigned int comefrom;
     119                 :            : 
     120                 :            :         /* Packet and byte counters. */
     121                 :            :         struct xt_counters counters;
     122                 :            : 
     123                 :            :         /* The matches (if any), then the target. */
     124                 :            :         unsigned char elems[0];
     125                 :            : };
     126                 :            : 
     127                 :            : /*
     128                 :            :  * New IP firewall options for [gs]etsockopt at the RAW IP level.
     129                 :            :  * Unlike BSD Linux inherits IP options so you don't have to use a raw
     130                 :            :  * socket for this. Instead we check rights in the calls.
     131                 :            :  *
     132                 :            :  * ATTENTION: check linux/in.h before adding new number here.
     133                 :            :  */
     134                 :            : #define IPT_BASE_CTL            64
     135                 :            : 
     136                 :            : #define IPT_SO_SET_REPLACE      (IPT_BASE_CTL)
     137                 :            : #define IPT_SO_SET_ADD_COUNTERS (IPT_BASE_CTL + 1)
     138                 :            : #define IPT_SO_SET_MAX          IPT_SO_SET_ADD_COUNTERS
     139                 :            : 
     140                 :            : #define IPT_SO_GET_INFO                 (IPT_BASE_CTL)
     141                 :            : #define IPT_SO_GET_ENTRIES              (IPT_BASE_CTL + 1)
     142                 :            : #define IPT_SO_GET_REVISION_MATCH       (IPT_BASE_CTL + 2)
     143                 :            : #define IPT_SO_GET_REVISION_TARGET      (IPT_BASE_CTL + 3)
     144                 :            : #define IPT_SO_GET_MAX                  IPT_SO_GET_REVISION_TARGET
     145                 :            : 
     146                 :            : /* ICMP matching stuff */
     147                 :            : struct ipt_icmp {
     148                 :            :         __u8 type;                              /* type to match */
     149                 :            :         __u8 code[2];                           /* range of code */
     150                 :            :         __u8 invflags;                          /* Inverse flags */
     151                 :            : };
     152                 :            : 
     153                 :            : /* Values for "inv" field for struct ipt_icmp. */
     154                 :            : #define IPT_ICMP_INV    0x01    /* Invert the sense of type/code test */
     155                 :            : 
     156                 :            : /* The argument to IPT_SO_GET_INFO */
     157                 :            : struct ipt_getinfo {
     158                 :            :         /* Which table: caller fills this in. */
     159                 :            :         char name[XT_TABLE_MAXNAMELEN];
     160                 :            : 
     161                 :            :         /* Kernel fills these in. */
     162                 :            :         /* Which hook entry points are valid: bitmask */
     163                 :            :         unsigned int valid_hooks;
     164                 :            : 
     165                 :            :         /* Hook entry points: one per netfilter hook. */
     166                 :            :         unsigned int hook_entry[NF_INET_NUMHOOKS];
     167                 :            : 
     168                 :            :         /* Underflow points. */
     169                 :            :         unsigned int underflow[NF_INET_NUMHOOKS];
     170                 :            : 
     171                 :            :         /* Number of entries */
     172                 :            :         unsigned int num_entries;
     173                 :            : 
     174                 :            :         /* Size of entries. */
     175                 :            :         unsigned int size;
     176                 :            : };
     177                 :            : 
     178                 :            : /* The argument to IPT_SO_SET_REPLACE. */
     179                 :            : struct ipt_replace {
     180                 :            :         /* Which table. */
     181                 :            :         char name[XT_TABLE_MAXNAMELEN];
     182                 :            : 
     183                 :            :         /* Which hook entry points are valid: bitmask.  You can't
     184                 :            :            change this. */
     185                 :            :         unsigned int valid_hooks;
     186                 :            : 
     187                 :            :         /* Number of entries */
     188                 :            :         unsigned int num_entries;
     189                 :            : 
     190                 :            :         /* Total size of new entries */
     191                 :            :         unsigned int size;
     192                 :            : 
     193                 :            :         /* Hook entry points. */
     194                 :            :         unsigned int hook_entry[NF_INET_NUMHOOKS];
     195                 :            : 
     196                 :            :         /* Underflow points. */
     197                 :            :         unsigned int underflow[NF_INET_NUMHOOKS];
     198                 :            : 
     199                 :            :         /* Information about old entries: */
     200                 :            :         /* Number of counters (must be equal to current number of entries). */
     201                 :            :         unsigned int num_counters;
     202                 :            :         /* The old entries' counters. */
     203                 :            :         struct xt_counters __user *counters;
     204                 :            : 
     205                 :            :         /* The entries (hang off end: not really an array). */
     206                 :            :         struct ipt_entry entries[0];
     207                 :            : };
     208                 :            : 
     209                 :            : /* The argument to IPT_SO_GET_ENTRIES. */
     210                 :            : struct ipt_get_entries {
     211                 :            :         /* Which table: user fills this in. */
     212                 :            :         char name[XT_TABLE_MAXNAMELEN];
     213                 :            : 
     214                 :            :         /* User fills this in: total entry size. */
     215                 :            :         unsigned int size;
     216                 :            : 
     217                 :            :         /* The entries. */
     218                 :            :         struct ipt_entry entrytable[0];
     219                 :            : };
     220                 :            : 
     221                 :            : /* Helper functions */
     222                 :            : static __inline__ struct xt_entry_target *
     223                 :            : ipt_get_target(struct ipt_entry *e)
     224                 :            : {
     225                 :          0 :         return (void *)e + e->target_offset;
     226                 :            : }
     227                 :            : 
     228                 :            : /*
     229                 :            :  *      Main firewall chains definitions and global var's definitions.
     230                 :            :  */
     231                 :            : #endif /* _UAPI_IPTABLES_H */