[BACK]Return to ip6_input.c CVS log [TXT][DIR] Up to [cvs.NetBSD.org] / src / sys / netinet6

Please note that diffs are not public domain; they are subject to the copyright notices on the relevant files.

Diff for /src/sys/netinet6/ip6_input.c between version 1.90.2.1 and 1.90.2.2

version 1.90.2.1, 2007/04/28 18:30:12 version 1.90.2.2, 2007/05/24 19:13:15
Line 112  __KERNEL_RCSID(0, "$NetBSD$");
Line 112  __KERNEL_RCSID(0, "$NetBSD$");
 #include <netinet6/ipsec.h>  #include <netinet6/ipsec.h>
 #endif  #endif
   
   #ifdef FAST_IPSEC
   #include <netipsec/ipsec.h>
   #include <netipsec/ipsec6.h>
   #include <netipsec/key.h>
   #endif /* FAST_IPSEC */
   
 #include <netinet6/ip6protosw.h>  #include <netinet6/ip6protosw.h>
   
 #include "faith.h"  #include "faith.h"
Line 241  ip6_input(m)
Line 247  ip6_input(m)
         int nxt, ours = 0;          int nxt, ours = 0;
         struct ifnet *deliverifp = NULL;          struct ifnet *deliverifp = NULL;
         int srcrt = 0;          int srcrt = 0;
   #ifdef FAST_IPSEC
           struct m_tag *mtag;
           struct tdb_ident *tdbi;
           struct secpolicy *sp;
           int s, error;
   #endif
   
 #ifdef IPSEC  #ifdef IPSEC
         /*          /*
Line 327  ip6_input(m)
Line 339  ip6_input(m)
          */           */
 #ifdef IPSEC  #ifdef IPSEC
         if (!ipsec_getnhist(m))          if (!ipsec_getnhist(m))
   #elif defined(FAST_IPSEC)
           if (!ipsec_indone(m))
 #else  #else
         if (1)          if (1)
 #endif  #endif
Line 756  ip6_input(m)
Line 770  ip6_input(m)
                         goto bad;                          goto bad;
                 }                  }
 #endif  #endif
   #ifdef FAST_IPSEC
           /*
            * enforce IPsec policy checking if we are seeing last header.
            * note that we do not visit this with protocols with pcb layer
            * code - like udp/tcp/raw ip.
            */
           if ((inet6sw[ip_protox[nxt]].pr_flags & PR_LASTHDR) != 0) {
                   /*
                    * Check if the packet has already had IPsec processing
                    * done.  If so, then just pass it along.  This tag gets
                    * set during AH, ESP, etc. input handling, before the
                    * packet is returned to the ip input queue for delivery.
                    */
                   mtag = m_tag_find(m, PACKET_TAG_IPSEC_IN_DONE, NULL);
                   s = splsoftnet();
                   if (mtag != NULL) {
                           tdbi = (struct tdb_ident *)(mtag + 1);
                           sp = ipsec_getpolicy(tdbi, IPSEC_DIR_INBOUND);
                   } else {
                           sp = ipsec_getpolicybyaddr(m, IPSEC_DIR_INBOUND,
                                                                           IP_FORWARDING, &error);
                   }
                   if (sp != NULL) {
                           /*
                            * Check security policy against packet attributes.
                            */
                           error = ipsec_in_reject(sp, m);
                           KEY_FREESP(&sp);
                   } else {
                           /* XXX error stat??? */
                           error = EINVAL;
                           DPRINTF(("ip6_input: no SP, packet discarded\n"));/*XXX*/
                           goto bad;
                   }
                   splx(s);
                   if (error)
                           goto bad;
           }
   #endif /* FAST_IPSEC */
   
   
                 nxt = (*inet6sw[ip6_protox[nxt]].pr_input)(&m, &off, nxt);                  nxt = (*inet6sw[ip6_protox[nxt]].pr_input)(&m, &off, nxt);
         }          }
Legend:
Removed from v.1.90.2.1  
changed lines
  Added in v.1.90.2.2
CVSweb <webmaster@jp.NetBSD.org>