在上一篇《wifidog 源碼處分析(3)》的流程結束后,接入設備的瀏覽器重定向至 路由器 上 wifidog 的 http 服務(端口 2060) /wifidog/auth 上(且攜帶了 認證服務器 為此接入設備分配的 token),本篇就是從 wifidog 接收到 /wifidog/auth 的訪問后的 校驗流程。
-
根據《wifidog 源碼初分析(2)》中描述的,在 wifidog 啟動 http 服務前,注冊了一個針對訪問路徑 /wifidog/auth 的回調,如下:
[cpp] view plaincopy
- httpdAddCContent(webserver, "/wifidog", "about", 0, NULL, http_callback_about);
- httpdAddCContent(webserver, "/wifidog", "status", 0, NULL, http_callback_status);
- // 注冊了針對 /wifidog/auth 的訪問回調 http_callback_auth
- httpdAddCContent(webserver, "/wifidog", "auth", 0, NULL, http_callback_auth);
這樣對於 接入設備(or 客戶端) 重定向過來的 /wifidog/auth 就進入了 http_callback_auth 函數中,如下:
[cpp] view plaincopy
- http_callback_auth(httpd *webserver, request *r)
- {
- t_client *client;
- httpVar * token;
- char *mac;
- // 1, 獲取條件參數中的 logout 值
- httpVar *logout = httpdGetVariableByName(r, "logout");
- // 2, 獲取條件參數中的 token 值
- if ((token = httpdGetVariableByName(r, "token"))) {
- /* They supplied variable "token" */
- // 3, 可以看到, 這里要求必須能夠通過 ARP 協議獲取到 接入設備 的 MAC 地址
- if (!(mac = arp_get(r->clientAddr))) {
- /* We could not get their MAC address */
- debug(LOG_ERR, "Failed to retrieve MAC address for ip %s", r->clientAddr);
- send_http_page(r, "WiFiDog Error", "Failed to retrieve your MAC address");
- } else {
- /* We have their MAC address */
- LOCK_CLIENT_LIST();
- // 4, 檢查該客戶端(接入設備)是否已經在 wifidog 維護的接入客戶端列表中
- if ((client = client_list_find(r->clientAddr, mac)) == NULL) {
- debug(LOG_DEBUG, "New client for %s", r->clientAddr);
- client_list_append(r->clientAddr, mac, token->value);
- } else if (logout) {
- // 5, 退出處理
- t_authresponse authresponse;
- s_config *config = config_get_config();
- unsigned long long incoming = client->counters.incoming;
- unsigned long long outgoing = client->counters.outgoing;
- char *ip = safe_strdup(client->ip);
- char *urlFragment = NULL;
- t_auth_serv *auth_server = get_auth_server();
- fw_deny(client->ip, client->mac, client->fw_connection_state);
- client_list_delete(client);
- debug(LOG_DEBUG, "Got logout from %s", client->ip);
- /* Advertise the logout if we have an auth server */
- if (config->auth_servers != NULL) {
- UNLOCK_CLIENT_LIST();
- auth_server_request(&authresponse, REQUEST_TYPE_LOGOUT, ip, mac, token->value,
- incoming, outgoing);
- LOCK_CLIENT_LIST();
- /* Re-direct them to auth server */
- debug(LOG_INFO, "Got manual logout from client ip %s, mac %s, token %s"
- "- redirecting them to logout message", client->ip, client->mac, client->token);
- safe_asprintf(&urlFragment, "%smessage=%s",
- auth_server->authserv_msg_script_path_fragment,
- GATEWAY_MESSAGE_ACCOUNT_LOGGED_OUT
- );
- http_send_redirect_to_auth(r, urlFragment, "Redirect to logout message");
- free(urlFragment);
- }
- free(ip);
- }
- else {
- // 6, 已經登錄校驗通過
- debug(LOG_DEBUG, "Client for %s is already in the client list", client->ip);
- }
- UNLOCK_CLIENT_LIST();
- if (!logout) {
- // 7, 到 auth server 上進一步校驗 token
- authenticate_client(r);
- }
- free(mac);
- }
- } else {
- /* They did not supply variable "token" */
- // 8, 未攜帶 token, 直接拒絕
- send_http_page(r, "WiFiDog error", "Invalid token");
- }
- }
在該函數中主要處理了 客戶端退出,非法校驗,以及 客戶端校驗等流程,下面分別描述注釋中的各個步驟:
-
1,對於客戶端退出,則會攜帶 logout 參數信息,並走到第 5 步(當然,如果連 token 參數都沒有的話,會直接走到第 8 步,也就是拒絕);
2,按照正常的認證流程,會攜帶由認證服務器分配的 token 參數;
3,正如注釋說明的,這里要求必須能夠通過 ARP 協議獲取到 接入設備 的 MAC 地址;(其實通過查看 arg_get 的實現,可以看到是直接解析 /proc/net/arp 文件 -- ARP cache -- 來獲取對應客戶端 IP 地址的 MAC 信息的),類似如下:
[steven@sasd ~]$ more /proc/net/arp
IP address HW type Flags HW address Mask Device
192.168.1.203 0x1 0x2 18:03:73:d5:1b:a2 * eth0
192.168.1.1 0x1 0x2 00:21:27:63:c0:ce * eth0
[steven@sasd ~]$
4,在能夠獲取到該客戶端的 MAC 地址后,根據客戶端的 IP 和 MAC 地址檢查該客戶端是否已經在 wifidog 維護的接入設備(or客戶端)列表中,如果不在,則追加到此列表中(關於此列表的數據結構在后面再詳細描述);
5,如果該客戶端已經存在,且本次訪問是要求 logout 退出的,則進入此退出處理的流程,該流程主要包括幾個步驟:關閉該客戶端 ip/mac 的出口(outgoing)規則 --> 從客戶端列表中刪除該客戶端記錄 --> 通知 認證服務器 該客戶端退出(且攜帶該客戶端的token, 上下行流量等信息) --> 返回重定向至 認證服務器 的 #define DEFAULT_AUTHSERVMSGPATHFRAGMENT "gw_message.php?" 訪問路徑(攜帶一個已退出的 message);
6,如果該客戶端已經登錄校驗過,且本次訪問非 logout 退出,則直接跳轉到第 7 步;
7,這一步就是 token 校驗的過程,具體實現在 authenticate_client 函數中:
[cpp] view plaincopy
- authenticate_client(request *r)
- {
- t_client *client;
- t_authresponse auth_response;
- char *mac,
- *token;
- char *urlFragment = NULL;
- s_config *config = NULL;
- t_auth_serv *auth_server = NULL;
- LOCK_CLIENT_LIST();
- // 根據 IP 地址獲取 客戶端的 MAC 地址以及本次會話分配的 token
- // 主要用於 token 校驗過程
- client = client_list_find_by_ip(r->clientAddr);
- if (client == NULL) {
- debug(LOG_ERR, "authenticate_client(): Could not find client for %s", r->clientAddr);
- UNLOCK_CLIENT_LIST();
- return;
- }
- mac = safe_strdup(client->mac);
- token = safe_strdup(client->token);
- UNLOCK_CLIENT_LIST();
- /*
- * At this point we've released the lock while we do an HTTP request since it could
- * take multiple seconds to do and the gateway would effectively be frozen if we
- * kept the lock.
- */
- // 通過 "login" 到 認證服務器 上進行客戶端的 token 校驗
- auth_server_request(&auth_response, REQUEST_TYPE_LOGIN, r->clientAddr, mac, token, 0, 0);
- LOCK_CLIENT_LIST();
- /* can't trust the client to still exist after n seconds have passed */
- // 這里主要防止在到 認證服務器 上進行 token 校驗的過程中
- // 該客戶端已經退出的情形, 此時就不需要再進行處理
- client = client_list_find(r->clientAddr, mac);
- if (client == NULL) {
- debug(LOG_ERR, "authenticate_client(): Could not find client node for %s (%s)", r->clientAddr, mac);
- UNLOCK_CLIENT_LIST();
- free(token);
- free(mac);
- return;
- }
- free(token);
- free(mac);
- /* Prepare some variables we'll need below */
- config = config_get_config();
- auth_server = get_auth_server();
- // 根據返回的校驗結果做不同的處理
- switch(auth_response.authcode) {
- case AUTH_ERROR:
- case AUTH_DENIED:
- case AUTH_VALIDATION:
- case AUTH_VALIDATION_FAILED:
- ... ...
- break;
- case AUTH_ALLOWED:
- /* Logged in successfully as a regular account */
- debug(LOG_INFO, "Got ALLOWED from central server authenticating token %s from %s at %s - "
- "adding to firewall and redirecting them to portal", client->token, client->ip, client->mac);
- client->fw_connection_state = FW_MARK_KNOWN;
- fw_allow(client->ip, client->mac, FW_MARK_KNOWN);
- served_this_session++;
- safe_asprintf(&urlFragment, "%sgw_id=%s",
- auth_server->authserv_portal_script_path_fragment,
- config->gw_id
- );
- http_send_redirect_to_auth(r, urlFragment, "Redirect to portal");
- free(urlFragment);
- break;
- }
- UNLOCK_CLIENT_LIST();
- return;
- }
這里主要是兩大步驟:
-
1,通過調用 auth_server_request(&auth_response, REQUEST_TYPE_LOGIN, r->clientAddr, mac, token, 0, 0); 讓 認證服務器 對該客戶端的 token 進行校驗;
2,根據 認證服務器 返回的 token 校驗結果進行不同的處理(主要是對該客戶端的防火牆過濾規則進行不同的設置),這里主要以 AUTH_ALLOWED 校驗結果進行分析,這里主要是兩個動作:
2.1,通過 fw_allow 函數調用對此客戶端"放行";
2.2,返回重定向至 認證服務器的 portal 路徑訪問的響應;
-
這里就簡要分析一下 fw_allow 函數的實現,查看fw_allow的實現可以看到真正設置allow客戶端通過防火牆的動作是在iptables_fw_access中實現的,如下:
[cpp] view plaincopy
- /** Set if a specific client has access through the firewall */
- // 針對上面的流程,這里的輸入參數
- // type 為 FW_ACCESS_ALLOW,tag 為 FW_MARK_KNOWN
- int iptables_fw_access(fw_access_t type, const char *ip, const char *mac, int tag)
- {
- int rc;
- fw_quiet = 0;
- switch(type) {
- case FW_ACCESS_ALLOW:
- iptables_do_command("-t mangle -A " TABLE_WIFIDOG_OUTGOING " -s %s -m mac --mac-source %s -j MARK --set-mark %d", ip, mac, tag);
- rc = iptables_do_command("-t mangle -A " TABLE_WIFIDOG_INCOMING " -d %s -j ACCEPT", ip);
- break;
- case FW_ACCESS_DENY:
- iptables_do_command("-t mangle -D " TABLE_WIFIDOG_OUTGOING " -s %s -m mac --mac-source %s -j MARK --set-mark %d", ip, mac, tag);
- rc = iptables_do_command("-t mangle -D " TABLE_WIFIDOG_INCOMING " -d %s -j ACCEPT", ip);
- break;
- default:
- rc = -1;
- break;
- }
- return rc;
- }
同樣的,我們這里主要分析一下ALLOW時的iptables的防火牆設置規則,對執行的兩個iptables命令展開來就是下面兩個步驟:
-
1) 在mangle表中追加WiFiDog_$ID$_Outgoing外出過濾鏈,該鏈的規則如下幾條:
a) IP 地址為該客戶端的IP地址;
b) MAC地址為該客戶端的MAC地址;
c) 設置MARK為FW_MARK_KNOWN;
-
iptables –t mangle –AWiFiDog_$ID$_Outgoing -s 客戶端IP地址 -m mac --mac-source 客戶端MAC地址 -j MARK --set-markFW_MARK_KNOWN
-
2)在mangle表中追加一條[接受所有目的地址為此客戶端IP地址的] WifiDog_$ID$_Incoming輸入過濾鏈;
-
iptables -t mangle -AWiFiDog_$ID$_Incoming -d 客戶端IP地址 -j ACCEPT
-
最后,看一下 wifidog 返回的重定向請求到 認證服務器 的請求報文 以及 認證服務器 返回給 客戶端的(重定向到原始訪問 baidu.com 的)響應報文:
