projects / Pman.Admin / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Iptables.php
[Pman.Admin] / Iptables.php
1 <?php
2 /***
3  * how this might work..
4  *
5  * a) login - if it's a new IP not seen that day
6  * --> touch /tmp/run_pman_admin_iptables
7  *
8  * cron every minute... ?? << could do some kind of IPC?!?
9  *
10  * if file exists -> run this code.
11  *
12  * This code finds all the IP's used in the last 24 hours.
13  * and opens the firew all for them.
14  *
15  *
16  *
17  *
18  *
19  
20  
21  *
22  *
23  */
24
25 require_once 'Pman.php';
26
27 class Pman_Admin_Iptables extends Pman {
28     
29     static $cli_desc = "Read ip addresses that have been used to log in, and add them to the iptables list..";
30     
31    
32     
33     function getAuth()
34     {
35         if (!$this->bootLoader->cli) {
36             die("cli only");
37         }
38     }
39     
40     function monitorFile()
41     {
42         $ev = DB_DataObject::Factory('Events');
43         $db = $ev->database();
44         
45         return '/tmp/run_pman_admin_iptables-'.$db;
46     }
47     
48     function get($opt = '')
49     {
50         
51         // monitor file
52         
53         $mf = $this->monitorFile();
54         
55         $fe = file_exists($mf);
56         if (empty($opt)) {
57             if (!$fe) {
58                 exit;
59             }
60         }
61         if ($fe) {
62             unlink($mf);
63         }
64         
65         // find IP's that have been used to log in.
66         // dump them to the iptables file.
67         // if it's different - apply it...
68         //DB_DataObject::debugLevel(1);
69         // need to get a list of users who have Admin.Iptables rights..
70         /*$gr = DB_DataObject::factory('group_rights');
71         $grps = $gr->groupsWithRights('Admin.Iptables', 'S');
72         
73         $gr = DB_DataObject::factory('groups');
74         $gr->get('name', 'Administrators');
75         $grps[] = $gr->id;
76         
77         $gm = DB_DataObject::factory('group_members');
78         $gm->whereAddIn('group_id', $grps, 'int');
79         $gm->selectAdd();
80         $gm->selectAdd('distinct(user_id) as user_id');
81         $peps = $gm->fetchAll('user_id');
82         
83         
84         */
85         
86         
87         $p = DB_DataObject::Factory('Person');
88         $p->autoJoin();
89         $p->whereAdd("join_company_id_id.comptype = 'OWNER'");
90         $p->selectAdd();
91         $p->selectAdd("{$p->tableName()}.id as  id");
92         
93         $peps = $p->fetchAll('id');
94         
95         
96         $e = DB_DataObject::factory('Events');
97         $e->action = 'LOGIN';
98         $e->selectAdd();
99         $e->selectAdd('distinct(ipaddr) as ipaddr');
100         $e->person_table = DB_DataObject::factory('person')->tableName();
101         $e->whereAddIn('person_id', $peps, 'int');
102         switch( $e->getDatabaseConnection()->phptype) {
103             case 'mysql':
104                 $e->whereAdd("event_when > NOW() - INTERVAL 1 DAY");
105                 break;
106             case 'pgsql':
107                 $e->whereAdd("event_when > NOW() - INTERVAL '1 DAY'");
108                 break;   
109         }
110         $ips = $e->fetchAll('ipaddr');
111
112         //inet addr:202.67.151.28  Bcast:202.67.151.255  Mask:255.255.255.0
113
114
115         // local ips..
116         $if = `/sbin/ifconfig`;
117         
118         foreach(explode("\n", $if) as $l) {
119             //var_dump($l);
120             if (!preg_match('/inet addr/', $l)) {
121                 continue;
122             }
123             $match = array();
124             preg_match('/\s*inet addr:([0-9.]+)\s+/', $l, $match);
125              $ips[] = $match[1];
126             
127         }
128         $this->ips = $ips;
129         $cache = ini_get('session.save-path') . '/pman_admin_iptables.cache';
130         
131         $this->updateTables();
132         
133          
134         exit;
135
136     }
137     function updateTables()
138     {
139        
140         require_once 'System.php';
141         
142         $iptables = System::which('iptables');
143         // this should have been set up already..
144         // in the base firewall code.
145        
146         
147         // -A INPUT -p udp -m udp --dport 5432 -j postgres
148         // -A INPUT -p tcp -m tcp --dport 5432 -j postgres
149         
150         
151         // /sbin/iptables -L postgres -v -n --line-numbers
152         
153         $res = $this->exec("{$iptables} -L postgres -v -n --line-numbers");   
154         var_dump($res);
155         foreach(explode("\n", $res) as $line) {
156             $ar = preg_split('/\s+/', $line);
157             print_r($ar);
158         }
159         exit;
160         //--comment
161         
162           
163         
164         
165        
166         if (!$iptables) {
167             $this->jerr("iptables could not be found.");
168         }
169         $this->exec("{$iptables} -F postgres"); // flush old
170         $this->exec("{$iptables} -N postgres");  // create new..
171         
172         foreach($this->ips as $ip=>$expires) {
173             $old = isset($cur[$ip]) ? $cur[$ip] : false;
174             if ($old) {
175                 if (strtotime($expires) <= strtotime($old['expires'])) {
176                     // expires time is the same..
177                     //?? make sure it's not flagged for removal..
178                     
179                     continue;
180                 }
181             }
182             
183             if ($old) {
184                 $this->exec("{$iptables} -R postgres {$old['num']} -s {$ip}/32 -j ACCEPT --comment ".
185                     escapeshellarg(json_encode(array('expires'=>$expires)))) ;
186                 
187                 if (isset($remove[$ip])) {
188                     unset($remove[$ip]);
189                 }
190                 continue;
191             }
192             
193             $this->exec("{$iptables} -I postgres {$lastrulenum} -s {$ip}/32 -j ACCEPT --comment ".
194                     escapeshellarg(json_encode(array('expires'=>$expires))));
195             
196                                    
197         }
198         
199         // remove rules that need deleting..
200         foreach($remove as $ip => $r) {
201             $this->exec("{$iptables} -d postgres {$r['num']} ");
202             
203         }
204         
205         
206         $this->exec($iptables. ' -A postgres -m limit --limit 2/min -j LOG '.
207                         '--log-prefix "IPTables-Dropped: " --log-level 4');
208         $this->exec("$iptables -A postgres -j DROP");  
209
210         
211     }
212     
213     
214     function createBase()
215     {
216         
217         $iptables = System::which('iptables');
218         if (!$iptables) {
219             $this->jerr("iptables could not be found.");
220         }
221         
222         
223         
224         $this->exec("{$iptables} -F postgres"); // flush old
225         $this->exec("{$iptables} -N postgres");  // create new..
226         
227         $this->exec($iptables. ' -A postgres -m limit --limit 2/min -j LOG '.
228                         '--log-prefix "IPTables-Dropped: " --log-level 4');
229         $this->exec("$iptables -A postgres -j DROP");  
230
231         
232         
233         
234         
235     }
236     
237     function exec($cmd)
238     {
239         echo "$cmd\n";
240         $ret =  `$cmd`;
241         echo $ret."\n";
242         return $ret;
243     }
244     
245 }
Pman (Admin tools)