在上一篇《wifidog 源碼處分析(3)》的流程結束後,接入設備的瀏覽器重定向至 路由器 上 wifidog 的 http 服務(端口 2060) /wifidog/auth 上(且攜帶了 認證服務器 爲此接入設備分配的 token),本篇就是從 wifidog 接收到 /wifidog/auth 的訪問後的 校驗流程。
-
根據《wifidog 源碼初分析(2)》中描述的,在 wifidog 啓動 http 服務前,註冊了一個針對訪問路徑 /wifidog/auth 的回調,如下:
-
httpdAddCContent(webserver, "/wifidog", "about", 0, NULL, http_callback_about); httpdAddCContent(webserver, "/wifidog", "status", 0, NULL, http_callback_status); // 註冊了針對 /wifidog/auth 的訪問回調 http_callback_auth httpdAddCContent(webserver, "/wifidog", "auth", 0, NULL, http_callback_auth);
-
這樣對於 接入設備(or 客戶端) 重定向過來的 /wifidog/auth 就進入了 http_callback_auth 函數中,如下:
-
http_callback_auth(httpd *webserver, request *r) { t_client *client; httpVar * token; char *mac; // 1, 獲取條件參數中的 logout 值 httpVar *logout = httpdGetVariableByName(r, "logout"); // 2, 獲取條件參數中的 token 值 if ((token = httpdGetVariableByName(r, "token"))) { /* They supplied variable "token" */ // 3, 可以看到, 這裏要求必須能夠通過 ARP 協議獲取到 接入設備 的 MAC 地址 if (!(mac = arp_get(r->clientAddr))) { /* We could not get their MAC address */ debug(LOG_ERR, "Failed to retrieve MAC address for ip %s", r->clientAddr); send_http_page(r, "WiFiDog Error", "Failed to retrieve your MAC address"); } else { /* We have their MAC address */ LOCK_CLIENT_LIST(); // 4, 檢查該客戶端(接入設備)是否已經在 wifidog 維護的接入客戶端列表中 if ((client = client_list_find(r->clientAddr, mac)) == NULL) { debug(LOG_DEBUG, "New client for %s", r->clientAddr); client_list_append(r->clientAddr, mac, token->value); } else if (logout) { // 5, 退出處理 t_authresponse authresponse; s_config *config = config_get_config(); unsigned long long incoming = client->counters.incoming; unsigned long long outgoing = client->counters.outgoing; char *ip = safe_strdup(client->ip); char *urlFragment = NULL; t_auth_serv *auth_server = get_auth_server(); fw_deny(client->ip, client->mac, client->fw_connection_state); client_list_delete(client); debug(LOG_DEBUG, "Got logout from %s", client->ip); /* Advertise the logout if we have an auth server */ if (config->auth_servers != NULL) { UNLOCK_CLIENT_LIST(); auth_server_request(&authresponse, REQUEST_TYPE_LOGOUT, ip, mac, token->value, incoming, outgoing); LOCK_CLIENT_LIST(); /* Re-direct them to auth server */ debug(LOG_INFO, "Got manual logout from client ip %s, mac %s, token %s" "- redirecting them to logout message", client->ip, client->mac, client->token); safe_asprintf(&urlFragment, "%smessage=%s", auth_server->authserv_msg_script_path_fragment, GATEWAY_MESSAGE_ACCOUNT_LOGGED_OUT ); http_send_redirect_to_auth(r, urlFragment, "Redirect to logout message"); free(urlFragment); } free(ip); } else { // 6, 已經登錄校驗通過 debug(LOG_DEBUG, "Client for %s is already in the client list", client->ip); } UNLOCK_CLIENT_LIST(); if (!logout) { // 7, 到 auth server 上進一步校驗 token authenticate_client(r); } free(mac); } } else { /* They did not supply variable "token" */ // 8, 未攜帶 token, 直接拒絕 send_http_page(r, "WiFiDog error", "Invalid token"); } }
-
在該函數中主要處理了 客戶端退出,非法校驗,以及 客戶端校驗等流程,下面分別描述註釋中的各個步驟:
-
1,對於客戶端退出,則會攜帶 logout 參數信息,並走到第 5 步(當然,如果連 token 參數都沒有的話,會直接走到第 8 步,也就是拒絕);
2,按照正常的認證流程,會攜帶由認證服務器分配的 token 參數;
3,正如註釋說明的,這裏要求必須能夠通過 ARP 協議獲取到 接入設備 的 MAC 地址;(其實通過查看 arg_get 的實現,可以看到是直接解析 /proc/net/arp 文件 -- ARP cache -- 來獲取對應客戶端 IP 地址的 MAC 信息的),類似如下:
-
[steven@sasd ~]$ more /proc/net/arp IP address HW type Flags HW address Mask Device 192.168.1.203 0x1 0x2 18:03:73:d5:1b:a2 * eth0 192.168.1.1 0x1 0x2 00:21:27:63:c0:ce * eth0 [steven@sasd ~]$ |
-
4,在能夠獲取到該客戶端的 MAC 地址後,根據客戶端的 IP 和 MAC 地址檢查該客戶端是否已經在 wifidog 維護的接入設備(or客戶端)列表中,如果不在,則追加到此列表中(關於此列表的數據結構在後面再詳細描述);
5,如果該客戶端已經存在,且本次訪問是要求 logout 退出的,則進入此退出處理的流程,該流程主要包括幾個步驟:關閉該客戶端 ip/mac 的出口(outgoing)規則 --> 從客戶端列表中刪除該客戶端記錄 --> 通知 認證服務器 該客戶端退出(且攜帶該客戶端的token, 上下行流量等信息) --> 返回重定向至 認證服務器 的 #define DEFAULT_AUTHSERVMSGPATHFRAGMENT "gw_message.php?" 訪問路徑(攜帶一個已退出的 message);
6,如果該客戶端已經登錄校驗過,且本次訪問非 logout 退出,則直接跳轉到第 7 步;
7,這一步就是 token 校驗的過程,具體實現在 authenticate_client 函數中:
authenticate_client(request *r) { t_client *client; t_authresponse auth_response; char *mac, *token; char *urlFragment = NULL; s_config *config = NULL; t_auth_serv *auth_server = NULL; LOCK_CLIENT_LIST(); // 根據 IP 地址獲取 客戶端的 MAC 地址以及本次會話分配的 token // 主要用於 token 校驗過程 client = client_list_find_by_ip(r->clientAddr); if (client == NULL) { debug(LOG_ERR, "authenticate_client(): Could not find client for %s", r->clientAddr); UNLOCK_CLIENT_LIST(); return; } mac = safe_strdup(client->mac); token = safe_strdup(client->token); UNLOCK_CLIENT_LIST(); /* * At this point we've released the lock while we do an HTTP request since it could * take multiple seconds to do and the gateway would effectively be frozen if we * kept the lock. */ // 通過 "login" 到 認證服務器 上進行客戶端的 token 校驗 auth_server_request(&auth_response, REQUEST_TYPE_LOGIN, r->clientAddr, mac, token, 0, 0); LOCK_CLIENT_LIST(); /* can't trust the client to still exist after n seconds have passed */ // 這裏主要防止在到 認證服務器 上進行 token 校驗的過程中 // 該客戶端已經退出的情形, 此時就不需要再進行處理 client = client_list_find(r->clientAddr, mac); if (client == NULL) { debug(LOG_ERR, "authenticate_client(): Could not find client node for %s (%s)", r->clientAddr, mac); UNLOCK_CLIENT_LIST(); free(token); free(mac); return; } free(token); free(mac); /* Prepare some variables we'll need below */ config = config_get_config(); auth_server = get_auth_server(); // 根據返回的校驗結果做不同的處理 switch(auth_response.authcode) { case AUTH_ERROR: case AUTH_DENIED: case AUTH_VALIDATION: case AUTH_VALIDATION_FAILED: ... ... break; case AUTH_ALLOWED: /* Logged in successfully as a regular account */ debug(LOG_INFO, "Got ALLOWED from central server authenticating token %s from %s at %s - " "adding to firewall and redirecting them to portal", client->token, client->ip, client->mac); client->fw_connection_state = FW_MARK_KNOWN; fw_allow(client->ip, client->mac, FW_MARK_KNOWN); served_this_session++; safe_asprintf(&urlFragment, "%sgw_id=%s", auth_server->authserv_portal_script_path_fragment, config->gw_id ); http_send_redirect_to_auth(r, urlFragment, "Redirect to portal"); free(urlFragment); break; } UNLOCK_CLIENT_LIST(); return; }
-
這裏主要是兩大步驟:
-
1,通過調用 auth_server_request(&auth_response, REQUEST_TYPE_LOGIN, r->clientAddr, mac, token, 0, 0); 讓 認證服務器 對該客戶端的 token 進行校驗;
2,根據 認證服務器 返回的 token 校驗結果進行不同的處理(主要是對該客戶端的防火牆過濾規則進行不同的設置),這裏主要以 AUTH_ALLOWED 校驗結果進行分析,這裏主要是兩個動作:
2.1,通過 fw_allow 函數調用對此客戶端"放行";
2.2,返回重定向至 認證服務器的 portal 路徑訪問的響應;
-
這裏就簡要分析一下 fw_allow 函數的實現,查看fw_allow的實現可以看到真正設置allow客戶端通過防火牆的動作是在iptables_fw_access中實現的,如下:
-
/** Set if a specific client has access through the firewall */ // 針對上面的流程,這裏的輸入參數 // type 爲 FW_ACCESS_ALLOW,tag 爲 FW_MARK_KNOWN int iptables_fw_access(fw_access_t type, const char *ip, const char *mac, int tag) { int rc; fw_quiet = 0; switch(type) { case FW_ACCESS_ALLOW: iptables_do_command("-t mangle -A " TABLE_WIFIDOG_OUTGOING " -s %s -m mac --mac-source %s -j MARK --set-mark %d", ip, mac, tag); rc = iptables_do_command("-t mangle -A " TABLE_WIFIDOG_INCOMING " -d %s -j ACCEPT", ip); break; case FW_ACCESS_DENY: iptables_do_command("-t mangle -D " TABLE_WIFIDOG_OUTGOING " -s %s -m mac --mac-source %s -j MARK --set-mark %d", ip, mac, tag); rc = iptables_do_command("-t mangle -D " TABLE_WIFIDOG_INCOMING " -d %s -j ACCEPT", ip); break; default: rc = -1; break; } return rc; }
-
同樣的,我們這裏主要分析一下ALLOW時的iptables的防火牆設置規則,對執行的兩個iptables命令展開來就是下面兩個步驟:
-
1) 在mangle表中追加WiFiDog_$ID$_Outgoing外出過濾鏈,該鏈的規則如下幾條:
a) IP 地址爲該客戶端的IP地址;
b) MAC地址爲該客戶端的MAC地址;
c) 設置MARK爲FW_MARK_KNOWN;
-
iptables –t mangle –AWiFiDog_$ID$_Outgoing -s 客戶端IP地址 -m mac --mac-source 客戶端MAC地址 -j MARK --set-markFW_MARK_KNOWN |
-
2)在mangle表中追加一條[接受所有目的地址爲此客戶端IP地址的] WifiDog_$ID$_Incoming輸入過濾鏈;
-
iptables -t mangle -AWiFiDog_$ID$_Incoming -d 客戶端IP地址 -j ACCEPT |
-
最後,看一下 wifidog 返回的重定向請求到 認證服務器 的請求報文 以及 認證服務器 返回給 客戶端的(重定向到原始訪問 baidu.com 的)響應報文:
-