[LSM-IPSec]: Per-packet access control.
[linux-2.6.git] / security / selinux / include / xfrm.h
1 /*
2  * SELinux support for the XFRM LSM hooks
3  *
4  * Author : Trent Jaeger, <jaegert@us.ibm.com>
5  */
6 #ifndef _SELINUX_XFRM_H_
7 #define _SELINUX_XFRM_H_
8
9 int selinux_xfrm_policy_alloc(struct xfrm_policy *xp, struct xfrm_user_sec_ctx *sec_ctx);
10 int selinux_xfrm_policy_clone(struct xfrm_policy *old, struct xfrm_policy *new);
11 void selinux_xfrm_policy_free(struct xfrm_policy *xp);
12 int selinux_xfrm_state_alloc(struct xfrm_state *x, struct xfrm_user_sec_ctx *sec_ctx);
13 void selinux_xfrm_state_free(struct xfrm_state *x);
14 int selinux_xfrm_policy_lookup(struct xfrm_policy *xp, u32 sk_sid, u8 dir);
15
16 /*
17  * Extract the security blob from the sock (it's actually on the socket)
18  */
19 static inline struct inode_security_struct *get_sock_isec(struct sock *sk)
20 {
21         if (!sk->sk_socket)
22                 return NULL;
23
24         return SOCK_INODE(sk->sk_socket)->i_security;
25 }
26
27
28 static inline u32 selinux_no_sk_sid(struct flowi *fl)
29 {
30         /* NOTE: no sock occurs on ICMP reply, forwards, ... */
31         /* icmp_reply: authorize as kernel packet */
32         if (fl && fl->proto == IPPROTO_ICMP) {
33                 return SECINITSID_KERNEL;
34         }
35
36         return SECINITSID_ANY_SOCKET;
37 }
38
39 #ifdef CONFIG_SECURITY_NETWORK_XFRM
40 int selinux_xfrm_sock_rcv_skb(u32 sid, struct sk_buff *skb);
41 int selinux_xfrm_postroute_last(u32 isec_sid, struct sk_buff *skb);
42 #else
43 static inline int selinux_xfrm_sock_rcv_skb(u32 isec_sid, struct sk_buff *skb)
44 {
45         return 0;
46 }
47
48 static inline int selinux_xfrm_postroute_last(u32 isec_sid, struct sk_buff *skb)
49 {
50         return NF_ACCEPT;
51 }
52 #endif
53
54 #endif /* _SELINUX_XFRM_H_ */