[BACK]Return to ip6_input.c CVS log [TXT][DIR] Up to [cvs.NetBSD.org] / src / sys / netinet6

Please note that diffs are not public domain; they are subject to the copyright notices on the relevant files.

Diff for /src/sys/netinet6/ip6_input.c between version 1.143 and 1.146

version 1.143, 2013/06/29 21:06:58 version 1.146, 2014/05/30 01:39:03
Line 257  ip6_input(struct mbuf *m)
Line 257  ip6_input(struct mbuf *m)
                 struct sockaddr         dst;                  struct sockaddr         dst;
                 struct sockaddr_in6     dst6;                  struct sockaddr_in6     dst6;
         } u;          } u;
 #ifdef IPSEC  
         struct m_tag *mtag;  
         struct tdb_ident *tdbi;  
         struct secpolicy *sp;  
         int s, error;  
 #endif  
   
         /*          /*
          * make sure we don't have onion peering information into m_tag.           * make sure we don't have onion peering information into m_tag.
Line 345  ip6_input(struct mbuf *m)
Line 339  ip6_input(struct mbuf *m)
          * not the decapsulated packet.           * not the decapsulated packet.
          */           */
 #if defined(IPSEC)  #if defined(IPSEC)
         if (!ipsec_indone(m))          if (!ipsec_used || !ipsec_indone(m))
 #else  #else
         if (1)          if (1)
 #endif  #endif
Line 753  ip6_input(struct mbuf *m)
Line 747  ip6_input(struct mbuf *m)
                 }                  }
   
 #ifdef IPSEC  #ifdef IPSEC
         /*                  if (ipsec_used) {
          * enforce IPsec policy checking if we are seeing last header.                          struct m_tag *mtag;
          * note that we do not visit this with protocols with pcb layer                          struct tdb_ident *tdbi;
          * code - like udp/tcp/raw ip.                          struct secpolicy *sp;
          */                          int s, error;
         if ((inet6sw[ip_protox[nxt]].pr_flags & PR_LASTHDR) != 0) {  
                 /*  
                  * Check if the packet has already had IPsec processing  
                  * done.  If so, then just pass it along.  This tag gets  
                  * set during AH, ESP, etc. input handling, before the  
                  * packet is returned to the ip input queue for delivery.  
                  */  
                 mtag = m_tag_find(m, PACKET_TAG_IPSEC_IN_DONE, NULL);  
                 s = splsoftnet();  
                 if (mtag != NULL) {  
                         tdbi = (struct tdb_ident *)(mtag + 1);  
                         sp = ipsec_getpolicy(tdbi, IPSEC_DIR_INBOUND);  
                 } else {  
                         sp = ipsec_getpolicybyaddr(m, IPSEC_DIR_INBOUND,  
                                                                         IP_FORWARDING, &error);  
                 }  
                 if (sp != NULL) {  
                         /*                          /*
                          * Check security policy against packet attributes.                           * enforce IPsec policy checking if we are seeing last
                            * header. note that we do not visit this with
                            * protocols with pcb layer code - like udp/tcp/raw ip.
                          */                           */
                         error = ipsec_in_reject(sp, m);                          if ((inet6sw[ip_protox[nxt]].pr_flags
                         KEY_FREESP(&sp);                              & PR_LASTHDR) != 0) {
                 } else {                                  /*
                         /* XXX error stat??? */                                   * Check if the packet has already had IPsec
                         error = EINVAL;                                   * processing done. If so, then just pass it
                         DPRINTF(("ip6_input: no SP, packet discarded\n"));/*XXX*/                                   * along. This tag gets set during AH, ESP,
                                    * etc. input handling, before the packet is
                                    * returned to the ip input queue for delivery.
                                    */
                                   mtag = m_tag_find(m, PACKET_TAG_IPSEC_IN_DONE,
                                       NULL);
                                   s = splsoftnet();
                                   if (mtag != NULL) {
                                           tdbi = (struct tdb_ident *)(mtag + 1);
                                           sp = ipsec_getpolicy(tdbi,
                                               IPSEC_DIR_INBOUND);
                                   } else {
                                           sp = ipsec_getpolicybyaddr(m,
                                               IPSEC_DIR_INBOUND, IP_FORWARDING,
                                               &error);
                                   }
                                   if (sp != NULL) {
                                           /*
                                            * Check security policy against packet
                                            * attributes.
                                            */
                                           error = ipsec_in_reject(sp, m);
                                           KEY_FREESP(&sp);
                                   } else {
                                           /* XXX error stat??? */
                                           error = EINVAL;
                                           DPRINTF(("ip6_input: no SP, packet"
                                               " discarded\n"));/*XXX*/
                                   }
                                   splx(s);
                                   if (error)
                                           goto bad;
                           }
                 }                  }
                 splx(s);  
                 if (error)  
                         goto bad;  
         }  
 #endif /* IPSEC */  #endif /* IPSEC */
   
   
                 nxt = (*inet6sw[ip6_protox[nxt]].pr_input)(&m, &off, nxt);                  nxt = (*inet6sw[ip6_protox[nxt]].pr_input)(&m, &off, nxt);
         }          }
         return;          return;
Line 806  static struct m_tag *
Line 813  static struct m_tag *
 ip6_setdstifaddr(struct mbuf *m, const struct in6_ifaddr *ia)  ip6_setdstifaddr(struct mbuf *m, const struct in6_ifaddr *ia)
 {  {
         struct m_tag *mtag;          struct m_tag *mtag;
           struct ip6aux *ip6a;
   
         mtag = ip6_addaux(m);          mtag = ip6_addaux(m);
         if (mtag != NULL) {          if (mtag == NULL)
                 struct ip6aux *ip6a;                  return NULL;
   
                 ip6a = (struct ip6aux *)(mtag + 1);          ip6a = (struct ip6aux *)(mtag + 1);
                 in6_setscope(&ip6a->ip6a_src, ia->ia_ifp, &ip6a->ip6a_scope_id);          if (in6_setscope(&ip6a->ip6a_src, ia->ia_ifp, &ip6a->ip6a_scope_id)) {
                 ip6a->ip6a_src = ia->ia_addr.sin6_addr;                  IP6_STATINC(IP6_STAT_BADSCOPE);
                 ip6a->ip6a_flags = ia->ia6_flags;                  return NULL;
         }          }
         return mtag;    /* NULL if failed to set */  
           ip6a->ip6a_src = ia->ia_addr.sin6_addr;
           ip6a->ip6a_flags = ia->ia6_flags;
           return mtag;
 }  }
   
 const struct ip6aux *  const struct ip6aux *
Line 1653  sysctl_net_inet6_ip6_setup(struct sysctl
Line 1664  sysctl_net_inet6_ip6_setup(struct sysctl
   
         sysctl_createv(clog, 0, NULL, NULL,          sysctl_createv(clog, 0, NULL, NULL,
                        CTLFLAG_PERMANENT,                         CTLFLAG_PERMANENT,
                        CTLTYPE_NODE, "net", NULL,  
                        NULL, 0, NULL, 0,  
                        CTL_NET, CTL_EOL);  
         sysctl_createv(clog, 0, NULL, NULL,  
                        CTLFLAG_PERMANENT,  
                        CTLTYPE_NODE, "inet6",                         CTLTYPE_NODE, "inet6",
                        SYSCTL_DESCR("PF_INET6 related settings"),                         SYSCTL_DESCR("PF_INET6 related settings"),
                        NULL, 0, NULL, 0,                         NULL, 0, NULL, 0,

Legend:
Removed from v.1.143  
changed lines
  Added in v.1.146

CVSweb <webmaster@jp.NetBSD.org>