1 /* SPDX-License-Identifier: GPL-2.0 */ 2 #ifndef _NF_TABLES_IPV4_H_ 3 #define _NF_TABLES_IPV4_H_ 4 5 #include <net/netfilter/nf_tables.h> 6 #include <net/ip.h> 7 8 static inline void nft_set_pktinfo_ipv4(struct nft_pktinfo *pkt) 9 { 10 struct iphdr *ip; 11 12 ip = ip_hdr(pkt->skb); 13 pkt->flags = NFT_PKTINFO_L4PROTO; 14 pkt->tprot = ip->protocol; 15 pkt->thoff = ip_hdrlen(pkt->skb); 16 pkt->fragoff = ntohs(ip->frag_off) & IP_OFFSET; 17 } 18 19 static inline int __nft_set_pktinfo_ipv4_validate(struct nft_pktinfo *pkt) 20 { 21 struct iphdr *iph, _iph; 22 u32 len, thoff, skb_len; 23 24 iph = skb_header_pointer(pkt->skb, skb_network_offset(pkt->skb), 25 sizeof(*iph), &_iph); 26 if (!iph) 27 return -1; 28 29 if (iph->ihl < 5 || iph->version != 4) 30 return -1; 31 32 len = iph_totlen(pkt->skb, iph); 33 thoff = iph->ihl * 4; 34 skb_len = pkt->skb->len - skb_network_offset(pkt->skb); 35 36 if (skb_len < len) 37 return -1; 38 else if (len < thoff) 39 return -1; 40 else if (thoff < sizeof(*iph)) 41 return -1; 42 43 pkt->flags = NFT_PKTINFO_L4PROTO; 44 pkt->tprot = iph->protocol; 45 pkt->thoff = skb_network_offset(pkt->skb) + thoff; 46 pkt->fragoff = ntohs(iph->frag_off) & IP_OFFSET; 47 48 return 0; 49 } 50 51 static inline void nft_set_pktinfo_ipv4_validate(struct nft_pktinfo *pkt) 52 { 53 if (__nft_set_pktinfo_ipv4_validate(pkt) < 0) 54 nft_set_pktinfo_unspec(pkt); 55 } 56 57 static inline int nft_set_pktinfo_ipv4_ingress(struct nft_pktinfo *pkt) 58 { 59 struct iphdr *iph; 60 u32 len, thoff; 61 62 if (!pskb_may_pull(pkt->skb, sizeof(*iph))) 63 return -1; 64 65 iph = ip_hdr(pkt->skb); 66 if (iph->ihl < 5 || iph->version != 4) 67 goto inhdr_error; 68 69 len = iph_totlen(pkt->skb, iph); 70 thoff = iph->ihl * 4; 71 if (pkt->skb->len < len) { 72 __IP_INC_STATS(nft_net(pkt), IPSTATS_MIB_INTRUNCATEDPKTS); 73 return -1; 74 } else if (len < thoff) { 75 goto inhdr_error; 76 } else if (thoff < sizeof(*iph)) { 77 return -1; 78 } 79 80 pkt->flags = NFT_PKTINFO_L4PROTO; 81 pkt->tprot = iph->protocol; 82 pkt->thoff = thoff; 83 pkt->fragoff = ntohs(iph->frag_off) & IP_OFFSET; 84 85 return 0; 86 87 inhdr_error: 88 __IP_INC_STATS(nft_net(pkt), IPSTATS_MIB_INHDRERRORS); 89 return -1; 90 } 91 92 #endif 93