TLS: rework client-side use with an explicit context rather than a global

[exim.git] / src / src / ip.c
diff --git a/src/src/ip.c b/src/src/ip.c

index 258ab5c230039d8d256a9d6bb7d0f608df81dbe1..555dc2d84bee5bdb6c0109e94f4fdb146b6a82e8 100644 (file)
--- a/src/src/ip.c
+++ b/src/src/ip.c
@@ -2,7 +2,7 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
-/* Copyright (c) University of Cambridge 1995 - 2017 */
+/* Copyright (c) University of Cambridge 1995 - 2018 */
  /* See the file NOTICE for conditions of use and distribution. */
  
  /* Functions for doing things with sockets. With the advent of IPv6 this has
  /* See the file NOTICE for conditions of use and distribution. */
  
  /* Functions for doing things with sockets. With the advent of IPv6 this has
@@ -160,6 +160,26 @@ return bind(sock, (struct sockaddr *)&sin, s_len);
  
  
  
  
  
  
+/*************************************************
+*************************************************/
+
+#ifdef EXIM_TFO_PROBE
+void
+tfo_probe(void)
+{
+# ifdef TCP_FASTOPEN
+int sock, backlog = 5;
+
+if (  (sock = socket(SOCK_STREAM, AF_INET, 0)) < 0
+   && setsockopt(sock, IPPROTO_TCP, TCP_FASTOPEN, &backlog, sizeof(backlog))
+   )
+  tcp_fastopen_ok = TRUE;
+close(sock);
+# endif
+}
+#endif
+
+
  /*************************************************
  *        Connect socket to remote host           *
  *************************************************/
  /*************************************************
  *        Connect socket to remote host           *
  *************************************************/
@@ -175,7 +195,7 @@ Arguments:
    address     the remote address, in text form
    port        the remote port
    timeout     a timeout (zero for indefinite timeout)
    address     the remote address, in text form
    port        the remote port
    timeout     a timeout (zero for indefinite timeout)
-  fastopen    non-null iff TCP_FASTOPEN can be used; may indicate early-data to
+  fastopen_blob    non-null iff TCP_FASTOPEN can be used; may indicate early-data to
                 be sent in SYN segment
  
  Returns:      0 on success; -1 on failure, with errno set
                 be sent in SYN segment
  
  Returns:      0 on success; -1 on failure, with errno set
@@ -183,7 +203,7 @@ Returns:      0 on success; -1 on failure, with errno set
  
  int
  ip_connect(int sock, int af, const uschar *address, int port, int timeout,
  
  int
  ip_connect(int sock, int af, const uschar *address, int port, int timeout,
-  const blob * fastopen)
+  const blob * fastopen_blob)
  {
  struct sockaddr_in s_in4;
  struct sockaddr *s_ptr;
  {
  struct sockaddr_in s_in4;
  struct sockaddr *s_ptr;
@@ -232,27 +252,34 @@ before it gets our ACK of its SYN,ACK - the latter is useful for
  the SMTP banner.  Other (than SMTP) cases of TCP connections can
  possibly use the data-on-syn, so support that too.  */
  
  the SMTP banner.  Other (than SMTP) cases of TCP connections can
  possibly use the data-on-syn, so support that too.  */
  
-if (fastopen)
+if (fastopen_blob && tcp_fastopen_ok)
    {
    {
-  if ((rc = sendto(sock, fastopen->data, fastopen->len,
+  if ((rc = sendto(sock, fastopen_blob->data, fastopen_blob->len,
                     MSG_FASTOPEN | MSG_DONTWAIT, s_ptr, s_len)) >= 0)
                     MSG_FASTOPEN | MSG_DONTWAIT, s_ptr, s_len)) >= 0)
+       /* seen for with-data, experimental TFO option, with-cookie case */
+       /* seen for with-data, proper TFO opt, with-cookie case */
      {
      DEBUG(D_transport|D_v)
      {
      DEBUG(D_transport|D_v)
-      debug_printf("TCP_FASTOPEN mode connection, with data\n");
-    tcp_out_fastopen = TRUE;
+      debug_printf("non-TFO mode connection attempt to %s, %lu data\n",
+       address, (unsigned long)fastopen_blob->len);
+    tcp_out_fastopen = fastopen_blob->len > 0 ?  2 : 1;
      }
      }
-  else if (errno == EINPROGRESS)       /* expected for nonready peer */
-    {
-    if (!fastopen->data)
+  else if (errno == EINPROGRESS)       /* expected if we had no cookie for peer */
+       /* seen for no-data, proper TFO option, both cookie-request and with-cookie cases */
+       /*  apparently no visibility of the diffference at this point */
+       /* seen for with-data, proper TFO opt, cookie-req */
+       /*   with netwk delay, post-conn tcp_info sees unacked 1 for R, 2 for C; code in smtp_out.c */
+       /* ? older Experimental TFO option behaviour ? */
+    {                                  /* queue unsent data */
+    DEBUG(D_transport|D_v) debug_printf("TFO mode sendto, %s data: EINPROGRESS\n",
+      fastopen_blob->len > 0 ? "with"  : "no");
+    if (!fastopen_blob->data)
        {
        {
-      DEBUG(D_transport|D_v)
-       debug_printf("TCP_FASTOPEN mode connection, no data\n");
-      tcp_out_fastopen = TRUE;
+      tcp_out_fastopen = 1;            /* we tried; unknown if useful yet */
        rc = 0;
        }
        rc = 0;
        }
-    else if (  (rc = send(sock, fastopen->data, fastopen->len, 0)) < 0
-           && errno == EINPROGRESS)    /* expected for nonready peer */
-      rc = 0;
+    else
+      rc = send(sock, fastopen_blob->data, fastopen_blob->len, 0);
      }
    else if(errno == EOPNOTSUPP)
      {
      }
    else if(errno == EOPNOTSUPP)
      {
@@ -265,9 +292,12 @@ else
  #endif
    {
  legacy_connect:
  #endif
    {
  legacy_connect:
+  DEBUG(D_transport|D_v) if (fastopen_blob)
+    debug_printf("non-TFO mode connection attempt to %s, %lu data\n",
+      address, (unsigned long)fastopen_blob->len);
    if ((rc = connect(sock, s_ptr, s_len)) >= 0)
    if ((rc = connect(sock, s_ptr, s_len)) >= 0)
-    if (  fastopen && fastopen->data && fastopen->len
-       && send(sock, fastopen->data, fastopen->len, 0) < 0)
+    if (  fastopen_blob && fastopen_blob->data && fastopen_blob->len
+       && send(sock, fastopen_blob->data, fastopen_blob->len, 0) < 0)
         rc = -1;
    }
  
         rc = -1;
    }
  
@@ -312,23 +342,22 @@ Arguments:
    address       the remote address, in text form
    portlo,porthi the remote port range
    timeout       a timeout
    address       the remote address, in text form
    portlo,porthi the remote port range
    timeout       a timeout
-  connhost     if not NULL, host_item filled in with connection details
+  connhost     if not NULL, host_item to be filled in with connection details
    errstr        pointer for allocated string on error
    errstr        pointer for allocated string on error
-XXX could add early-data support
+  fastopen_blob        with SOCK_STREAM, if non-null, request TCP Fast Open.
+               Additionally, optional early-data to send
  
  Return:
    socket fd, or -1 on failure (having allocated an error string)
  */
  int
  ip_connectedsocket(int type, const uschar * hostname, int portlo, int porthi,
  
  Return:
    socket fd, or -1 on failure (having allocated an error string)
  */
  int
  ip_connectedsocket(int type, const uschar * hostname, int portlo, int porthi,
-       int timeout, host_item * connhost, uschar ** errstr)
+      int timeout, host_item * connhost, uschar ** errstr, const blob * fastopen_blob)
  {
  int namelen, port;
  host_item shost;
  host_item *h;
  int af = 0, fd, fd4 = -1, fd6 = -1;
  {
  int namelen, port;
  host_item shost;
  host_item *h;
  int af = 0, fd, fd4 = -1, fd6 = -1;
-blob * fastopen = tcp_fastopen_ok && type == SOCK_STREAM
-  ? &tcp_fastopen_nodata : NULL;
  
  shost.next = NULL;
  shost.address = NULL;
  
  shost.next = NULL;
  shost.address = NULL;
@@ -384,7 +413,7 @@ for (h = &shost; h; h = h->next)
      }
  
    for(port = portlo; port <= porthi; port++)
      }
  
    for(port = portlo; port <= porthi; port++)
-    if (ip_connect(fd, af, h->address, port, timeout, fastopen) == 0)
+    if (ip_connect(fd, af, h->address, port, timeout, fastopen_blob) == 0)
        {
        if (fd != fd6) close(fd6);
        if (fd != fd4) close(fd4);
        {
        if (fd != fd6) close(fd6);
        if (fd != fd4) close(fd4);
@@ -406,6 +435,7 @@ bad:
  }
  
  
  }
  
  
+/*XXX TFO? */
  int
  ip_tcpsocket(const uschar * hostport, uschar ** errstr, int tmo)
  {
  int
  ip_tcpsocket(const uschar * hostport, uschar ** errstr, int tmo)
  {
@@ -426,7 +456,7 @@ if (scan != 3)
    }
  
  return ip_connectedsocket(SOCK_STREAM, hostname, portlow, porthigh,
    }
  
  return ip_connectedsocket(SOCK_STREAM, hostname, portlow, porthigh,
-                         tmo, NULL, errstr);
+                         tmo, NULL, errstr, NULL);
  }
  
  int
  }
  
  int
@@ -561,7 +591,7 @@ getting interrupted, and the possibility of select() returning with a positive
  result but no ready descriptor. Is this in fact possible?
  
  Arguments:
  result but no ready descriptor. Is this in fact possible?
  
  Arguments:
-  sock        the socket
+  cctx        the connection context (socket fd, possibly TLS context)
    buffer      to read into
    bufsize     the buffer size
    timeout     the timeout
    buffer      to read into
    bufsize     the buffer size
    timeout     the timeout
@@ -571,24 +601,24 @@ Returns:      > 0 => that much data read
  */
  
  int
  */
  
  int
-ip_recv(int sock, uschar *buffer, int buffsize, int timeout)
+ip_recv(client_conn_ctx * cctx, uschar * buffer, int buffsize, int timeout)
  {
  int rc;
  
  {
  int rc;
  
-if (!fd_ready(sock, timeout))
+if (!fd_ready(cctx->sock, timeout))
    return -1;
  
  /* The socket is ready, read from it (via TLS if it's active). On EOF (i.e.
  close down of the connection), set errno to zero; otherwise leave it alone. */
  
  #ifdef SUPPORT_TLS
    return -1;
  
  /* The socket is ready, read from it (via TLS if it's active). On EOF (i.e.
  close down of the connection), set errno to zero; otherwise leave it alone. */
  
  #ifdef SUPPORT_TLS
-if (tls_out.active == sock)
-  rc = tls_read(FALSE, buffer, buffsize);
-else if (tls_in.active == sock)
-  rc = tls_read(TRUE, buffer, buffsize);
+if (cctx->tls_ctx)                                     /* client TLS */
+  rc = tls_read(cctx->tls_ctx, buffer, buffsize);
+else if (tls_in.active.sock == cctx->sock)             /* server TLS */
+  rc = tls_read(NULL, buffer, buffsize);
  else
  #endif
  else
  #endif
-  rc = recv(sock, buffer, buffsize, 0);
+  rc = recv(cctx->sock, buffer, buffsize, 0);
  
  if (rc > 0) return rc;
  if (rc == 0) errno = 0;
  
  if (rc > 0) return rc;
  if (rc == 0) errno = 0;