projects / Pman.Admin / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Iptables.php
[Pman.Admin] / Iptables.php
1 <?php
2 /***
3  * how this might work..
4  *
5  * a) login - if it's a new IP not seen that day
6  * --> touch /tmp/run_pman_admin_iptables
7  *
8  * cron every minute... ?? << could do some kind of IPC?!?
9  *
10  * if file exists -> run this code.
11  *
12  * This code finds all the IP's used in the last 24 hours.
13  * and opens the firew all for them.
14  *
15  *
16  *
17  *
18  *
19  
20  
21  *
22  *
23  */
24
25 require_once 'Pman.php';
26
27 class Pman_Admin_Iptables extends Pman {
28     
29     static $cli_desc = "Read ip addresses that have been used to log in, and add them to the iptables list..";
30     
31    
32     
33     function getAuth()
34     {
35         if (!$this->bootLoader->cli) {
36             die("cli only");
37         }
38     }
39     
40     function monitorFile()
41     {
42         $ev = DB_DataObject::Factory('Events');
43         $db = $ev->database();
44         
45         return '/tmp/run_pman_admin_iptables-'.$db;
46     }
47     
48     function get($opt = '')
49     {
50         
51         // monitor file
52         
53         $mf = $this->monitorFile();
54         
55         $fe = file_exists($mf);
56         if (empty($opt)) {
57             if (!$fe) {
58                 exit;
59             }
60         }
61         if ($fe) {
62             unlink($mf);
63         }
64         
65         // find IP's that have been used to log in.
66         // dump them to the iptables file.
67         // if it's different - apply it...
68         //DB_DataObject::debugLevel(1);
69         // need to get a list of users who have Admin.Iptables rights..
70         /*$gr = DB_DataObject::factory('group_rights');
71         $grps = $gr->groupsWithRights('Admin.Iptables', 'S');
72         
73         $gr = DB_DataObject::factory('groups');
74         $gr->get('name', 'Administrators');
75         $grps[] = $gr->id;
76         
77         $gm = DB_DataObject::factory('group_members');
78         $gm->whereAddIn('group_id', $grps, 'int');
79         $gm->selectAdd();
80         $gm->selectAdd('distinct(user_id) as user_id');
81         $peps = $gm->fetchAll('user_id');
82         
83         
84         */
85         
86         
87         $p = DB_DataObject::Factory('Person');
88         $p->autoJoin();
89         $p->whereAdd("join_company_id_id.comptype = 'OWNER'");
90         $p->selectAdd();
91         $p->selectAdd("{$p->tableName()}.id as  id");
92         
93         $peps = $p->fetchAll('id');
94         
95         
96         $e = DB_DataObject::factory('Events');
97         $e->action = 'LOGIN';
98         $e->selectAdd();
99         $e->selectAdd('distinct(ipaddr) as ipaddr');
100         $e->person_table = DB_DataObject::factory('person')->tableName();
101         $e->whereAddIn('person_id', $peps, 'int');
102         switch( $e->getDatabaseConnection()->phptype) {
103             case 'mysql':
104                 $e->whereAdd("event_when > NOW() - INTERVAL 1 DAY");
105                 break;
106             case 'pgsql':
107                 $e->whereAdd("event_when > NOW() - INTERVAL '1 DAY'");
108                 break;   
109         }
110         $ips = $e->fetchAll('ipaddr');
111
112         //inet addr:202.67.151.28  Bcast:202.67.151.255  Mask:255.255.255.0
113
114
115         // local ips..
116         $if = `/sbin/ifconfig`;
117         
118         foreach(explode("\n", $if) as $l) {
119             //var_dump($l);
120             if (!preg_match('/inet addr/', $l)) {
121                 continue;
122             }
123             $match = array();
124             preg_match('/\s*inet addr:([0-9.]+)\s+/', $l, $match);
125              $ips[] = $match[1];
126             
127         }
128         $this->ips = $ips;
129         $cache = ini_get('session.save-path') . '/pman_admin_iptables.cache';
130         
131         
132         
133         
134         $fn = tempnam(ini_get('session.save-path'), 'firewallconf');
135         file_put_contents($fn, $this->output());
136         echo file_get_contents($fn);
137         //`/sbin/iptables-restore < $fn`;
138
139         exit;
140
141     }
142     function output()
143     {
144        
145        
146        // this should have been set up already..
147        // in the base firewall code.
148        
149         
150         // -A INPUT -p udp -m udp --dport 5432 -j postgres
151         // -A INPUT -p tcp -m tcp --dport 5432 -j postgres
152         
153         
154          /sbin/iptables -L postgres -v -n --line-numbers
155         
156         //--comment
157         
158           
159         
160         
161         require_once 'System.php';
162         
163         $iptables = System::which('iptables');
164         if (!$iptables) {
165             $this->jerr("iptables could not be found.");
166         }
167         $this->exec("{$iptables} -F postgres"); // flush old
168         $this->exec("{$iptables} -N postgres");  // create new..
169         
170         foreach($this->ips as $ip=>$expires) {
171             $old = isset($cur[$ip]) ? $cur[$ip] : false;
172             if ($old) {
173                 if (strtotime($expires) <= strtotime($old['expires'])) {
174                     // expires time is the same..
175                     //?? make sure it's not flagged for removal..
176                     
177                     continue;
178                 }
179             }
180             
181             if ($old) {
182                 $this->exec("{$iptables} -R postgres {$old['num']} -s {$ip}/32 -j ACCEPT --comment ".
183                     escapeshellarg(json_encode(array('expires'=>$expires));
184                 
185                 if (isset($remove[$ip])) {
186                     unset($remove[$ip]);
187                 }
188                 continue;
189             }
190             
191             $this->exec("{$iptables} -I postgres {$lastrulenum} -s {$ip}/32 -j ACCEPT --comment ".
192                     escapeshellarg(json_encode(array('expires'=>$expires))
193             
194                                    
195         }
196         
197         // remove rules that need deleting..
198         foreach($remove as $ip => $r) {
199             $this->exec("{$iptables} -d postgres {$r['num']} ");
200             
201         }
202         
203         
204         $this->exec($iptables. ' -A postgres -m limit --limit 2/min -j LOG '.
205                         '--log-prefix "IPTables-Dropped: " --log-level 4');
206         $this->exec("$iptables -A postgres -j DROP");  
207
208         
209     }
210     
211     
212     function createBase()
213     {
214         
215         $iptables = System::which('iptables');
216         if (!$iptables) {
217             $this->jerr("iptables could not be found.");
218         }
219         $this->exec("{$iptables} -F postgres"); // flush old
220         $this->exec("{$iptables} -N postgres");  // create new..
221         
222         $this->exec($iptables. ' -A postgres -m limit --limit 2/min -j LOG '.
223                         '--log-prefix "IPTables-Dropped: " --log-level 4');
224         $this->exec("$iptables -A postgres -j DROP");  
225
226         
227         
228         
229         
230     }
231     
232     function exec($cmd) {
233         echo "$cmd\n";
234         echo `$cmd`;
235         echo "\n";
236     }
237     
238 }
Pman (Admin tools)