tests/sys/netpfil/pf/synproxy.sh

   1 #
   2 # SPDX-License-Identifier: BSD-2-Clause
   3 #
   4 # Copyright (c) 2018 Kristof Provost <kp@FreeBSD.org>
   5 #
   6 # Redistribution and use in source and binary forms, with or without
   7 # modification, are permitted provided that the following conditions
   8 # are met:
   9 # 1. Redistributions of source code must retain the above copyright
  10 #    notice, this list of conditions and the following disclaimer.
  11 # 2. Redistributions in binary form must reproduce the above copyright
  12 #    notice, this list of conditions and the following disclaimer in the
  13 #    documentation and/or other materials provided with the distribution.
  14 #
  15 # THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  16 # ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  17 # IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  18 # ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  19 # FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  20 # DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  21 # OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  22 # HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  23 # LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  24 # OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  25 # SUCH DAMAGE.
  26
  27 . $(atf_get_srcdir)/utils.subr
  28
  29 atf_test_case "synproxy" "cleanup"
  30 synproxy_head()
  31 {
  32         atf_set descr 'Basic synproxy test'
  33         atf_set require.user root
  34 }
  35
  36 synproxy_body()
  37 {
  38         pft_init
  39
  40         epair=$(vnet_mkepair)
  41         ifconfig ${epair}a 192.0.2.1/24 up
  42         route add -net 198.51.100.0/24 192.0.2.2
  43
  44         link=$(vnet_mkepair)
  45
  46         vnet_mkjail alcatraz ${epair}b ${link}a
  47         jexec alcatraz ifconfig ${epair}b 192.0.2.2/24 up
  48         jexec alcatraz ifconfig ${link}a 198.51.100.1/24 up
  49         jexec alcatraz sysctl net.inet.ip.forwarding=1
  50
  51         vnet_mkjail singsing ${link}b
  52         jexec singsing ifconfig ${link}b 198.51.100.2/24 up
  53         jexec singsing route add default 198.51.100.1
  54
  55         jexec singsing /usr/sbin/inetd -p inetd-singsing.pid $(atf_get_srcdir)/echo_inetd.conf
  56
  57         jexec alcatraz pfctl -e
  58         pft_set_rules alcatraz "set fail-policy return" \
  59                 "scrub in all fragment reassemble" \
  60                 "pass out quick on ${epair}b all no state allow-opts" \
  61                 "pass in quick on ${epair}b proto tcp from any to any port 7 synproxy state" \
  62                 "pass in quick on ${epair}b all no state"
  63
  64         # Sanity check, can we ping singing
  65         atf_check -s exit:0 -o ignore ping -c 1 198.51.100.2
  66
  67         # Check that we can talk to the singsing jail, after synproxying
  68         reply=$(echo ping | nc -N 198.51.100.2 7)
  69         if [ "${reply}" != "ping" ];
  70         then
  71                 atf_fail "echo failed"
  72         fi
  73 }
  74
  75 synproxy_cleanup()
  76 {
  77         rm -f inetd-singsing.pid
  78         pft_cleanup
  79 }
  80
  81 atf_test_case "local" "cleanup"
  82 local_head()
  83 {
  84         atf_set descr 'Synproxy a locally terminated connection'
  85         atf_set require.user root
  86 }
  87
  88 local_body()
  89 {
  90         pft_init
  91
  92         epair=$(vnet_mkepair)
  93         ifconfig ${epair}a 192.0.2.2/24 up
  94
  95         vnet_mkjail alcatraz ${epair}b
  96         jexec alcatraz ifconfig ${epair}b 192.0.2.1/24 up
  97         jexec alcatraz /usr/sbin/inetd -p inetd-alcatraz.pid \
  98                 $(atf_get_srcdir)/echo_inetd.conf
  99
 100         jexec alcatraz pfctl -e
 101         pft_set_rules alcatraz "set fail-policy return" \
 102                 "scrub in all fragment reassemble" \
 103                 "pass in quick on ${epair}b proto tcp from any to any port 7 synproxy state"
 104
 105         # Sanity check
 106         atf_check -s exit:0 -o ignore ping -c 1 192.0.2.1
 107
 108         # Check that we can talk to the jail, after synproxying
 109         reply=$(echo ping | nc -N -w 5 192.0.2.1 7)
 110         if [ "${reply}" != "ping" ];
 111         then
 112                 atf_fail "echo failed"
 113         fi
 114 }
 115
 116 local_cleanup()
 117 {
 118         rm -f inetd-alcatraz.pid
 119         pft_cleanup
 120 }
 121
 122 atf_test_case "local_v6" "cleanup"
 123 local_v6_head()
 124 {
 125         atf_set descr 'Synproxy (v6) a locally terminated connection'
 126         atf_set require.user root
 127 }
 128
 129 local_v6_body()
 130 {
 131         pft_init
 132
 133         epair=$(vnet_mkepair)
 134         ifconfig ${epair}a inet6 2001:db8:42::1/64 up
 135
 136         vnet_mkjail alcatraz ${epair}b
 137         jexec alcatraz ifconfig ${epair}b inet6 2001:db8:42::2/64 up
 138         jexec alcatraz /usr/sbin/inetd -p inetd-alcatraz.pid \
 139                 $(atf_get_srcdir)/echo_inetd.conf
 140
 141         jexec alcatraz pfctl -e
 142         pft_set_rules alcatraz "set fail-policy return" \
 143                 "scrub in all fragment reassemble" \
 144                 "pass in quick on ${epair}b proto tcp from any to any port 7 synproxy state"
 145
 146         # Sanity check
 147         atf_check -s exit:0 -o ignore ping6 -c 1 2001:db8:42::2
 148
 149         reply=$(echo ping | nc -N -w 5 2001:db8:42::2 7)
 150         if [ "${reply}" != "ping" ];
 151         then
 152                 atf_fail "echo failed"
 153         fi
 154 }
 155
 156 local_v6_cleanup()
 157 {
 158         rm -f inetd-alcatraz.pid
 159         pft_cleanup
 160 }
 161
 162 atf_init_test_cases()
 163 {
 164         atf_add_test_case "synproxy"
 165         atf_add_test_case "local"
 166         atf_add_test_case "local_v6"
 167 }