projects / Pman.Admin / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Iptables.php
[Pman.Admin] / Iptables.php
1 <?php
2 /***
3  * how this might work..
4  *
5  * a) login - if it's a new IP not seen that day
6  * --> touch /tmp/run_pman_admin_iptables
7  *
8  * cron every minute... ?? << could do some kind of IPC?!?
9  *
10  * if file exists -> run this code.
11  *
12  * This code finds all the IP's used in the last 24 hours.
13  * and opens the firew all for them.
14  *
15  *
16  *
17  *
18  *
19  
20  
21  *
22  *
23  */
24
25 require_once 'Pman.php';
26
27 class Pman_Admin_Iptables extends Pman {
28     
29     static $cli_desc = "Read ip addresses that have been used to log in, and add them to the iptables list..";
30     
31    
32     
33     function getAuth()
34     {
35         // add locking here..
36         
37         if (!$this->bootLoader->cli) {
38             die("cli only");
39         }
40     }
41     
42     function monitorFile()
43     {
44         $ev = DB_DataObject::Factory('Events');
45         $db = $ev->database();
46         
47         return '/tmp/run_pman_admin_iptables-'.$db;
48     }
49     
50     function get($opt = '')
51     {
52         
53         // monitor file
54         
55         $mf = $this->monitorFile();
56         
57         $fe = file_exists($mf);
58         if (empty($opt)) {
59             if (!$fe) {
60                 exit;
61             }
62         }
63         if ($fe) {
64             unlink($mf);
65         }
66         
67         // find IP's that have been used to log in.
68         // dump them to the iptables file.
69         // if it's different - apply it...
70         //DB_DataObject::debugLevel(1);
71         // need to get a list of users who have Admin.Iptables rights..
72         /*$gr = DB_DataObject::factory('group_rights');
73         $grps = $gr->groupsWithRights('Admin.Iptables', 'S');
74         
75         $gr = DB_DataObject::factory('groups');
76         $gr->get('name', 'Administrators');
77         $grps[] = $gr->id;
78         
79         $gm = DB_DataObject::factory('group_members');
80         $gm->whereAddIn('group_id', $grps, 'int');
81         $gm->selectAdd();
82         $gm->selectAdd('distinct(user_id) as user_id');
83         $peps = $gm->fetchAll('user_id');
84         
85         
86         */
87         //DB_DataObject::debugLevel(1);
88         
89         $p = DB_DataObject::Factory('Person');
90         $p->autoJoin();
91         $p->whereAdd("join_company_id_id.comptype = 'OWNER'");
92         $p->selectAdd();
93         $p->selectAdd("{$p->tableName()}.id as  id");
94         
95         $peps = $p->fetchAll('id');
96         
97         
98         switch( $p->getDatabaseConnection()->phptype) {
99             case 'mysql':
100                 $interval = "INTERVAL 1 DAY";
101                 break;
102             case 'pgsql':
103                 $interval = " INTERVAL '1 DAY'";
104                 break;
105             default:
106                 die("database NOT SUPPORTED?!");
107         }
108         
109         $e = DB_DataObject::factory('Events');
110         $e->action = 'LOGIN';
111         $e->selectAdd();
112         $e->selectAdd(" 
113             distinct(ipaddr) as ipaddr,
114             max(event_when) + $interval as expires
115                      
116         ");
117         $e->person_table = DB_DataObject::factory('person')->tableName();
118         $e->whereAddIn('person_id', $peps, 'int');
119         $e->groupBy('ipaddr');
120         $e->whereAdd("event_when > NOW() - $interval");
121                 
122        
123         $ips = $e->fetchAll('ipaddr','expires');
124
125         require_once 'System.php';
126         //inet addr:202.67.151.28  Bcast:202.67.151.255  Mask:255.255.255.0
127         $ifconfig = System::which('ifconfig');
128         
129         if (!$ifconfig) {
130             $this->jerr("ifconfig could not be found.");
131         }
132
133         $if = $this->exec($ifconfig);
134         
135          
136         foreach(explode("\n", $if) as $l) {
137             //var_dump($l);
138             if (!preg_match('/inet addr/', $l)) {
139                 continue;
140             }
141             $match = array();
142             preg_match('/\s*inet addr:([0-9.]+)\s+/', $l, $match);
143             $ips[$match[1]] = ''; // no expiry...
144             
145         }
146         $this->ips = $ips;
147         $cache = ini_get('session.save-path') . '/pman_admin_iptables.cache';
148         
149         $this->updateTables();
150         
151          
152         exit;
153
154     }
155     function updateTables()
156     {
157        
158         require_once 'System.php';
159         
160         $iptables = System::which('iptables');
161         
162          if (!$iptables) {
163             $this->jerr("iptables could not be found.");
164         }
165         // this should have been set up already..
166         // in the base firewall code.
167        
168         
169         // -A INPUT -p udp -m udp --dport 5432 -j postgres
170         // -A INPUT -p tcp -m tcp --dport 5432 -j postgres
171         
172         
173         // /sbin/iptables -L postgres -v -n --line-numbers
174         
175         $res = $this->exec("{$iptables} -L postgres -v -n --line-numbers");   
176        
177        
178         $lastrulenum = 1;
179        
180         $remove = array();
181         $cur = array();
182         $head = false;
183         
184         foreach(explode("\n", $res) as $i => $line) {
185             if ($i == 1) {
186                 $head = preg_split('/\s+/', $line);
187                 $head[10] = 'comments';
188             }
189             if ($i < 2) {
190                 continue;
191             }
192             
193             $ar = preg_split('/\s+/', $line);
194             if (count($ar) < 3) {
195                 continue;
196             }
197             $ar[10] = implode(' ',array_slice($ar, 10));
198             $row = array();
199             foreach($head as $k=>$v) {
200                 $row[$v] = $ar[$k];
201             }
202            // print_r($row);
203             //var_dump($row['target']);
204             if ($row['target'] != 'ACCEPT') {
205                 continue;
206             }
207             
208             // got input rules now..
209             if (!empty($row['comment'])) {
210                 foreach((array)json_decode($row['comment']) as $k=>$v) {
211                     $row[$k] = $v;
212                 }
213             }
214             
215             if (!empty($row['expires'])) {
216                 if (strtotime($row['expires']) < time()) {
217                     $remove[ $row['source'] ] = $row;
218                 }
219             }
220             
221             $cur[ $row['source'] ] = $row;
222             
223             $lastrulenum = $row['num'];
224             
225         }
226         if (empty($head)) {
227             // then there was no chain.
228             $this->createBase();
229         }
230         
231         print_r($cur);
232         //--comment
233         
234           
235          
236         foreach($this->ips as $ip=>$expires) {
237             $comment = strlen($expires) ?
238                     ('-m comment --comment ' . escapeshellarg(json_encode(array('expires'=>$expires))) ) :
239                     '';
240
241             
242             $old = isset($cur[$ip]) ? $cur[$ip] : false;
243             if ($old) {
244                 if (empty($old['expires'])) {
245                     continue;
246                 }
247                 if (strtotime($expires) <= strtotime($old['expires'])) {
248                     // expires time is the same..
249                     //?? make sure it's not flagged for removal..
250                     
251                     continue;
252                 }
253             }
254             
255             if ($old) {
256                 $this->exec("{$iptables} -R postgres {$old['num']} -s {$ip}/32 -j ACCEPT   $comment");
257                 
258                 if (isset($remove[$ip])) {
259                     unset($remove[$ip]);
260                 }
261                 continue;
262             }
263             
264             $this->exec("{$iptables} -I postgres {$lastrulenum} -s {$ip}/32 -j ACCEPT  $comment");
265                     
266             
267                                    
268         }
269         
270         // remove rules that need deleting..
271         foreach($remove as $ip => $r) {
272             $this->exec("{$iptables} -d postgres {$r['num']} ");
273             
274         }
275         
276         
277   
278         
279     }
280     
281     
282     function createBase()
283     {
284         
285         $iptables = System::which('iptables');
286         if (!$iptables) {
287             $this->jerr("iptables could not be found.");
288         }
289         
290         
291         
292         //$this->exec("{$iptables} -F postgres"); // flush old
293         $this->exec("{$iptables} -X postgres"); // flush old
294         
295         $this->exec("{$iptables} -N postgres");  // create new..
296         
297         $this->exec($iptables. ' -A postgres -m limit --limit 2/min -j LOG '.
298                         '--log-prefix "IPTables-Dropped: " --log-level 4');
299         $this->exec("$iptables -A postgres -j DROP");  
300
301         
302         
303         
304         
305     }
306     
307     function exec($cmd)
308     {
309         echo "$cmd\n";
310         $ret =  `$cmd`;
311         echo $ret."\n";
312         return $ret;
313     }
314     
315 }
Pman (Admin tools)