Merge tag 'net-6.6-rc1' of git://git.kernel.org/pub/scm/linux/kernel/git/netdev/net

[tomoyo/tomoyo-test1.git] / net / netfilter / nf_tables_api.c
diff --git a/net/netfilter/nf_tables_api.c b/net/netfilter/nf_tables_api.c

index 41b826d..e429ebb 100644 (file)
--- a/net/netfilter/nf_tables_api.c
+++ b/net/netfilter/nf_tables_api.c
@@ -102,6 +102,7 @@ static const u8 nft2audit_op[NFT_MSG_MAX] = { // enum nf_tables_msg_types
         [NFT_MSG_NEWFLOWTABLE]  = AUDIT_NFT_OP_FLOWTABLE_REGISTER,
         [NFT_MSG_GETFLOWTABLE]  = AUDIT_NFT_OP_INVALID,
         [NFT_MSG_DELFLOWTABLE]  = AUDIT_NFT_OP_FLOWTABLE_UNREGISTER,
+       [NFT_MSG_GETSETELEM_RESET] = AUDIT_NFT_OP_SETELEM_RESET,
  };
  
  static void nft_validate_state_update(struct nft_table *table, u8 new_validate_state)
@@ -3421,6 +3422,18 @@ err:
         nfnetlink_set_err(ctx->net, ctx->portid, NFNLGRP_NFTABLES, -ENOBUFS);
  }
  
+static void audit_log_rule_reset(const struct nft_table *table,
+                                unsigned int base_seq,
+                                unsigned int nentries)
+{
+       char *buf = kasprintf(GFP_ATOMIC, "%s:%u",
+                             table->name, base_seq);
+
+       audit_log_nfcfg(buf, table->family, nentries,
+                       AUDIT_NFT_OP_RULE_RESET, GFP_ATOMIC);
+       kfree(buf);
+}
+
  struct nft_rule_dump_ctx {
         char *table;
         char *chain;
@@ -3467,6 +3480,10 @@ cont:
  cont_skip:
                 (*idx)++;
         }
+
+       if (reset && *idx)
+               audit_log_rule_reset(table, cb->seq, *idx);
+
         return 0;
  }
  
@@ -3634,6 +3651,9 @@ static int nf_tables_getrule(struct sk_buff *skb, const struct nfnl_info *info,
         if (err < 0)
                 goto err_fill_rule_info;
  
+       if (reset)
+               audit_log_rule_reset(table, nft_pernet(net)->base_seq, 1);
+
         return nfnetlink_unicast(skb2, net, NETLINK_CB(skb).portid);
  
  err_fill_rule_info:
@@ -5624,13 +5644,25 @@ static int nf_tables_dump_setelem(const struct nft_ctx *ctx,
         return nf_tables_fill_setelem(args->skb, set, elem, args->reset);
  }
  
+static void audit_log_nft_set_reset(const struct nft_table *table,
+                                   unsigned int base_seq,
+                                   unsigned int nentries)
+{
+       char *buf = kasprintf(GFP_ATOMIC, "%s:%u", table->name, base_seq);
+
+       audit_log_nfcfg(buf, table->family, nentries,
+                       AUDIT_NFT_OP_SETELEM_RESET, GFP_ATOMIC);
+       kfree(buf);
+}
+
  struct nft_set_dump_ctx {
         const struct nft_set    *set;
         struct nft_ctx          ctx;
  };
  
  static int nft_set_catchall_dump(struct net *net, struct sk_buff *skb,
-                                const struct nft_set *set, bool reset)
+                                const struct nft_set *set, bool reset,
+                                unsigned int base_seq)
  {
         struct nft_set_elem_catchall *catchall;
         u8 genmask = nft_genmask_cur(net);
@@ -5646,6 +5678,8 @@ static int nft_set_catchall_dump(struct net *net, struct sk_buff *skb,
  
                 elem.priv = catchall->elem;
                 ret = nf_tables_fill_setelem(skb, set, &elem, reset);
+               if (reset && !ret)
+                       audit_log_nft_set_reset(set->table, base_seq, 1);
                 break;
         }
  
@@ -5725,12 +5759,17 @@ static int nf_tables_dump_set(struct sk_buff *skb, struct netlink_callback *cb)
         set->ops->walk(&dump_ctx->ctx, set, &args.iter);
  
         if (!args.iter.err && args.iter.count == cb->args[0])
-               args.iter.err = nft_set_catchall_dump(net, skb, set, reset);
-       rcu_read_unlock();
-
+               args.iter.err = nft_set_catchall_dump(net, skb, set,
+                                                     reset, cb->seq);
         nla_nest_end(skb, nest);
         nlmsg_end(skb, nlh);
  
+       if (reset && args.iter.count > args.iter.skip)
+               audit_log_nft_set_reset(table, cb->seq,
+                                       args.iter.count - args.iter.skip);
+
+       rcu_read_unlock();
+
         if (args.iter.err && args.iter.err != -EMSGSIZE)
                 return args.iter.err;
         if (args.iter.count == cb->args[0])
@@ -5955,13 +5994,13 @@ static int nf_tables_getsetelem(struct sk_buff *skb,
         struct netlink_ext_ack *extack = info->extack;
         u8 genmask = nft_genmask_cur(info->net);
         u8 family = info->nfmsg->nfgen_family;
+       int rem, err = 0, nelems = 0;
         struct net *net = info->net;
         struct nft_table *table;
         struct nft_set *set;
         struct nlattr *attr;
         struct nft_ctx ctx;
         bool reset = false;
-       int rem, err = 0;
  
         table = nft_table_lookup(net, nla[NFTA_SET_ELEM_LIST_TABLE], family,
                                  genmask, 0);
@@ -6004,8 +6043,13 @@ static int nf_tables_getsetelem(struct sk_buff *skb,
                         NL_SET_BAD_ATTR(extack, attr);
                         break;
                 }
+               nelems++;
         }
  
+       if (reset)
+               audit_log_nft_set_reset(table, nft_pernet(net)->base_seq,
+                                       nelems);
+
         return err;
  }