Subversion Repositories ALCASAR

Rev

Rev 2106 | Rev 2108 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log

Rev Author Line No. Line
1535 richard 1
#!/bin/bash
64 franck 2
# $Id: alcasar-watchdog.sh 2107 2017-01-05 22:23:35Z raphael.pion $
672 richard 3
 
4
# alcasar-watchdog.sh
790 richard 5
# by Rexy
672 richard 6
# This script is distributed under the Gnu General Public License (GPL)
308 richard 7
# Ce script prévient les usagers de l'indisponibilité de l'accès Internet
8
# il déconnecte les usagers dont
2008 raphael.pi 9
# - les équipements réseau ne répondent plus ( si la fenetre status.php a été fermé. Les autorisations par adresse mac sont laissé de côté)
1 root 10
# - les adresses MAC sont usurpées
308 richard 11
# This script tells users that Internet access is down
12
# it logs out users whose 
2008 raphael.pi 13
# - PCs are quiet (it means that status.php has been closed. We put aside @MAC Authorization )
1157 stephane 14
# - MAC address is used by other systems (usurped)
672 richard 15
 
1469 richard 16
CONF_FILE="/usr/local/etc/alcasar.conf"
17
EXTIF=`grep ^EXTIF= $CONF_FILE|cut -d"=" -f2`                   # EXTernal InterFace
18
INTIF=`grep ^INTIF= $CONF_FILE|cut -d"=" -f2`                   # INTernal InterFace
19
private_ip_mask=`grep PRIVATE_IP= $CONF_FILE|cut -d"=" -f2`
786 richard 20
private_ip_mask=${private_ip_mask:=192.168.182.1/24}
1157 stephane 21
PRIVATE_IP=`echo "$private_ip_mask" |cut -d"/" -f1`      # @ip du portail (côté LAN)
22
PRIVATE_IP=${PRIVATE_IP:=192.168.182.1}
1 root 23
tmp_file="/tmp/watchdog.txt"
2107 raphael.pi 24
current_users_file="/tmp/current_users.txt"
316 richard 25
DIR_WEB="/var/www/html"
360 richard 26
Index_Page="$DIR_WEB/index.php"
1472 richard 27
IPTABLES="/sbin/iptables"
28
TUNIF="tun0"                                            # listen device for chilli daemon
597 richard 29
OLDIFS=$IFS
1 root 30
IFS=$'\n'
308 richard 31
 
783 richard 32
function lan_down_alert ()
1157 stephane 33
# users are redirected on ALCASAR IP address if a LAN problem is detected
308 richard 34
{
783 richard 35
        case $LAN_DOWN in
308 richard 36
        "1")
1469 richard 37
                logger "$EXTIF (WAN card) link down"
1474 richard 38
                echo "$EXTIF (WAN card) link down"
1469 richard 39
                /bin/sed -i "s?diagnostic =.*?diagnostic = \"$EXTIF (WAN card) link down\";?g" $Index_Page
308 richard 40
                ;;
41
        "2")
42
                logger "can't contact the default router"
987 richard 43
                echo "can't contact the default router"
363 richard 44
                /bin/sed -i "s?diagnostic =.*?diagnostic = \"can't contact the default router\";?g" $Index_Page
308 richard 45
                ;;
46
        esac
1472 richard 47
        net_pb=`grep "network_pb = True;" $Index_Page|wc -l`
48
        if [ $net_pb = "0" ] # user alert (only the first time) 
308 richard 49
                then
360 richard 50
                /bin/sed -i "s?^\$network_pb.*?\$network_pb = True;?g" $Index_Page
1472 richard 51
                $IPTABLES -I PREROUTING -t nat -i $TUNIF -p udp --dport domain -j REDIRECT --to-port 56
308 richard 52
        fi
53
}
54
 
783 richard 55
function lan_test ()
56
# LAN connectiivity testing
57
{
784 richard 58
        watchdog_process=`ps -C alcasar-watchdog.sh|wc -l`
59
        if [[ $(expr $watchdog_process) -gt 3 ]]
60
                then
61
                echo "ALCASAR watchdog is already running"
62
                exit 0
63
        fi
783 richard 64
        # EXTIF testing
65
        LAN_DOWN="0"
1472 richard 66
        if [ `/sbin/ip link | grep $EXTIF|grep "NO-CARRIER" | wc -l` -eq "1" ]
783 richard 67
                then
68
                LAN_DOWN="1"
308 richard 69
        fi
783 richard 70
        # Default GW testing
71
        if [ $LAN_DOWN -eq "0" ]
308 richard 72
                then
783 richard 73
                IP_GW=`/sbin/ip route list|grep ^default|cut -d" " -f3`
74
                arp_reply=`/usr/sbin/arping -I$EXTIF -c1 $IP_GW|grep response|cut -d" " -f2`
75
                if [ $arp_reply -eq "0" ]
76
                        then
77
                        LAN_DOWN="2"
78
                fi
308 richard 79
        fi
783 richard 80
        # if LAN pb detected, users are warned
81
        if [ $LAN_DOWN != "0" ]
82
                then
83
                        lan_down_alert
84
        # else switch in normal mode
85
        else
987 richard 86
                echo "Internet access is OK for now"
1472 richard 87
                net_pb=`grep "network_pb = True;" $Index_Page|wc -l`
783 richard 88
                if [ $net_pb != "0" ]
89
                        then
90
                        /bin/sed -i "s?^\$network_pb.*?\$network_pb = False;?g" $Index_Page
1472 richard 91
                        $IPTABLES -D PREROUTING -t nat -i $TUNIF -p udp --dport domain -j REDIRECT --to-port 56
783 richard 92
                fi
93
        fi
94
}
95
 
96
usage="Usage: alcasar-watchdog.sh {-lt --lan_test}"
97
case $1 in
98
        -\? | -h* | --h*)
99
                echo "$usage"
100
                exit 0
101
                ;;
102
        -lt | --lan_test)
103
                lan_test
104
                exit 0
105
                ;;
106
        *)
107
                lan_test
2008 raphael.pi 108
 
2107 raphael.pi 109
                # We disconnect inactive users (its means that status.php has been closed)
110
                # Each user inform about his connectivity by filling in /tmp/current_users.txt his own @IP
2008 raphael.pi 111
                # process each equipment known by chilli to check if any equipment is usurped (@MAC)
783 richard 112
                for system in `/usr/sbin/chilli_query list |grep -v "\.0\.0\.0"`
113
                do
114
                        active_ip=`echo $system |cut -d" " -f2`
115
                        active_session=`echo $system |cut -d" " -f5`
116
                        active_mac=`echo $system | cut -d" " -f1`
840 richard 117
                        active_user=`echo $system |cut -d" " -f6`
2107 raphael.pi 118
 
119
                        #We disconnect inactive user here :
120
                        #We check if this is not an auth @MAC and if he is still connected
121
                        if [ "$active_user" != "$active_mac" ] && [ $(echo $system | awk '$5 == 1' | wc -c) -gt 1 ]; then
122
                                # If /tmp/current_user.txt exists ...
123
                                if [ -e $current_users_file ]; then
124
                                        # We check if user @IP is in 'current_users.txt'
125
                                        cmp_user_ok=$(cat $current_users_file | grep $active_ip | wc -w)
126
                                        # If this @IP is not in this file, we disconnect this user.
127
                                        if [ $cmp_user_ok -eq 0 ]; then
128
                                                logger "alcasar-watchdog $active_ip ($active_mac) can't be contact. Alcasar disconnects the user ($active_user)."
129
                                                echo "Disconnect : $active_ip $active_mac $active_user"
130
                                                /usr/sbin/chilli_query logout $active_mac
131
                                        fi
132
                                        # We clean 'current_users.txt'. Every user need to inform their @IP everytime to prove thier connectivity.
133
                                        sed -i 'd' $current_users_file
134
                                else # If /tmp/current_user.txt does not exists we disconnect every users.
135
                                        logger "Le fichier /tmp/current_users.txt n'existe pas."
136
                                        logger "alcasar-watchdog $active_ip ($active_mac) can't be contact. Alcasar disconnects the user ($active_user)."
137
                                        echo "Disconnect : $active_ip $active_mac $active_user"
138
                                        /usr/sbin/chilli_query logout $active_mac
139
                                fi
140
                        fi
141
 
142
 
143
 
2008 raphael.pi 144
                        # process only equipment with an authenticated user
783 richard 145
                        if [[ $(expr $active_session) -eq 1 ]]
1157 stephane 146
                        then
783 richard 147
                                arp_reply=`/usr/sbin/arping -b -I$INTIF -s$PRIVATE_IP -c2 -w4 $active_ip|grep "Unicast reply"|wc -l`
2008 raphael.pi 148
                                # disconnect users whose equipement is usurped (@MAC). For example, if there are 2 same @MAC it will make 3 lines in output.
783 richard 149
                                if [[ $(expr $arp_reply) -gt 2 ]]
1202 crox53 150
                                        then
1500 richard 151
                                        echo "$(date "+[%x-%X] : ")alcasar-watchdog : $active_ip is usurped ($active_mac). Alcasar disconnect the user ($active_user)." >> /var/Save/security/watchdog.log
840 richard 152
                                        logger "alcasar-watchdog : $active_ip is usurped ($active_mac). Alcasar disconnect the user ($active_user)."
783 richard 153
                                        /usr/sbin/chilli_query logout $active_mac
1500 richard 154
                                        chmod 644 /var/Save/security/watchdog.log
783 richard 155
                                fi
156
                        fi
157
                done
158
                ;;
159
esac   
597 richard 160
IFS=$OLDIFS
2107 raphael.pi 161