Android系统中iptables的应用(四)FirewallController

最新推荐文章于 2023-11-27 22:18:21 发布
最新推荐文章于 2023-11-27 22:18:21 发布
阅读量5k 收藏 4
点赞数 1
分类专栏: Android 文章标签: android iptables android FirewallCont FirewallController
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokeweng/article/details/48829223
版权
个人邮箱:xiaokeweng@gmail.com  欢迎大家直接发邮件给我共同交流学习

    如下涉及到的全部firewall的在用的Netdcmd,只有在设置LockDown Vpn的时候才会使用到,lockdown的VPN即是“始终开启的VPN”,这样本地的全部网络请求都会转到VPN的链路上,是相对于针对个别应用的虚拟专用网络需求的情况。
firewall       enable|disable
set_interface_rule<interface><allow|deny>
set_egress_source_rule<add><allow|deny>
set_egress_dst_rule<addr><port><allow|deny>
set_uid_rule<uid><allow|deny>
(1) Netd.CommanderListener初始化后: 
createChildChains(V4V6, "filter", "INPUT", FILTER_INPUT);
createChildChains(V4V6, "filter", "FORWARD", FILTER_FORWARD);
createChildChains(V4V6, "filter", "OUTPUT", FILTER_OUTPUT);                                                                          
createChildChains(V4V6, "mangle", "POSTROUTING", MANGLE_POSTROUTING);
sFirewallCtrl->setupIptablesHooks();
filter表:
-N fw_INPUT
-N fw_OUTPUT
-N fw_FORWARD
-A INPUT -j fw_INPUT
-A OUTPUT -j fw_OUTPUT
-A FORWARD -j fw_FORWARD

mangle表:
-N fw_mangle_POSTROUTING
-A POSTROUTING -j fw_mangle_POSTROUTING
(2) 开启VPN,并设置为“始终开启的VPN”后: 
sFirewallCtrl->enableFirewall();
sFirewallCtrl->setInterfaceRule([lo], [allow]);
sFirewallCtrl->setEgressDestRule(addr, PROTOCOL_x, port, rule);
sFirewallCtrl->setEgressSourceRule(addr, PROTOCOL_x, port, rule);
sFirewallCtrl->setUidRule(uid, rule);
filter表新增规则:
-A fw_FORWARD -j REJECT --reject-with icmp-port-unreachable
-A fw_INPUT -m owner --uid-owner 1000 -j RETURN
-A fw_INPUT -m owner --uid-owner 0 -j RETURN
-A fw_INPUT -d 10.122.160.81/32 -j RETURN
-A fw_INPUT -i ppp0 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 1701 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 1701 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 4500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 4500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 500 -j RETURN
-A fw_INPUT -i lo -j RETURN
-A fw_INPUT -j DROP
-A fw_OUTPUT -m owner --uid-owner 1000 -j RETURN
-A fw_OUTPUT -m owner --uid-owner 0 -j RETURN
-A fw_OUTPUT -s 10.122.160.81/32 -j RETURN
-A fw_OUTPUT -o ppp0 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 1701 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 1701 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 4500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 4500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 500 -j RETURN
-A fw_OUTPUT -o lo -j RETURN

mangle表新增规则:
-A fw_mangle_POSTROUTING -m owner --uid-owner 1000 -j RETURN
-A fw_mangle_POSTROUTING -m owner --uid-owner 0 -j RETURN
-A fw_mangle_POSTROUTING -s 10.122.160.81/32 -j RETURN
-A fw_mangle_POSTROUTING -o ppp0 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 1701 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 1701 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 4500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 4500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 500 -j RETURN
-A fw_mangle_POSTROUTING -o lo -j RETURN
-A fw_mangle_POSTROUTING -j DROP

    以上新增的规则看起很多,其实并不复杂,比较好理解,本例中,建立起来的L2TP_IPSEC_PSK类型的VPN,server地址是 210.61.122.57/32,通信的iface是ppp0 , ppp0的addr:10.122.160.81/31, 其中规则中vpn相关的port:
    [500  ] :  ip-sec的默认ISAKMP密钥交换监听端口,可参考racoon的man手册。
    [4500] :  ip-sec的默认NAT-Traversal通信端口,可参考racoon的man手册。
    [1701] :  L2TP类型VPN在framework下mtpd与racon cmd的时候制定的port。
所以以上的全部rule就是保证VPN相关的控制流&数据流能顺利通过规则,在被DROP掉之前RETURN,同时阻断VPN无关的数据。
(3)关于racoon 中ip-sec的默认端口
racoon — IKE (ISAKMP/Oakley) key management daemon
    racoon speaks the IKE (ISAKMP/Oakley) key management protocol, to establish security associations with other hosts.  The SPD (Security Policy Database) in the kernel usually triggers racoon.  racoon usually sends all informational messages, warnings and error messages to syslogd(8) with the facility LOG_DAEMON and the priority LOG_INFO.  Debugging messages are sent with the priority LOG_DEBUG.  You should configure syslog.conf(5) appropriately to see these messages.
     -P isakmp-natt-port
             Use isakmp-natt-port for NAT-Traversal port-floating.  The default is 4500.

     -p isakmp-port
             Listen to the ISAKMP key exchange on port isakmp-port instead of the default port number, 500
xiaokeweng
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android9.0 iptables用Netd实现创建子链功能的实现
安卓兼职framework和app工程师的博客
05-10 833
在9.0的系统rom定制化开发,在systemnetd网络这块的产品需要,会要求设置屏蔽ip地址之内的功能, liunxiptables命令也是比较重要的,接下来就来在Netd这块实现创建子链的相关功能
android流量防火墙iptables原理详解
08-27
android流量防火墙限制单个应用的联网状态,iptables原理讲解
android 接口(2)
Jimmy的专栏
11-21 385
11) 网址/IP白名单接口---------- frameworks/base/core/java/android/provider/Settings.java /** @hide */ public static final String PRIZE_NET_WHI...
《深入理解Android:Wi-Fi,NFC和GPS》章节连载[节选]--第二章 深入理解Netd
Innost的专栏
03-03 1万+
首先感谢各位兄弟姐妹们的耐心等待。本书预计在3月旬上市发售。从今天开始,我将在博客连载此书的一些内容。注意,此处连载的是未经出版社编辑的原始稿件,所以样子会有些非专业。注意,如下是本章目录,本文节选2.1-2.3以及2.5节。为了方便读者深入学习,本系列连载都会将作者研究过程所学习的参考文献列出来 第2章 深入理解Netd  本章主要内容介绍Netd;介绍MDNS和Apple Bonjour
Android11 iptables实现网络白名单
最新发布
夏夏的博客
11-27 1347
`iptables`是`Linux`系统的`IP`信息包过滤工具,实际就是一个`Linux`命令,通过这个命令,可以对整个系统发出去的包,接收到的包,以及转发的包进行拦截、修改、拒绝等操作。刚好`Android`也是基于`Linux`内核的系统,也集成了`iptables`,是否可以用它来限制上网行为呢?经过试验,发现是可行的。
[RK3288][Android6.0] 网络服务Netd初始化流程小结
Kris Fei's blog
04-25 2659
Platform: Rockchip OS: Android 6.0 Kernel: 3.10.92 Netd: Network Daemon. 负责网络配置,操作,管理,查询等功能. 封装底层各种类型网络,如PPP,SOFTAP等,给framework提供统一接口. 说白了就是接收framework命令往下发,接收kernel命令往上发. 路径: s
Android 8.1移植:针对某个APK做到wifi和gprs分别做到允许和禁止两种策略
zengrunxiu的博客
07-13 2683
在MTK平台JB5开始后默认有该功能,昨天在查看8.1的代码时发现没有该功能,现在我把移植流程记录下来,亲测验证ok。 1.frameworks frameworks/base/core/java/android/os/INetworkManagementService.aidl void setFirewallUidChainRule(int uid, int networkType,...
anddroid 11 NetworkManagementService接口setFirewallUidRule 变化分析
研究员的自我修养
09-15 891
背景 android 11的接口setFirewallUidRule 使用 发现设置有问题 对比了下新系统流程 找到变更 流程分析 INetworkManagementService.aidl void setFirewallUidRule(int chain, int uid, int rule); void setFirewallUidRules(int chain, in int[] uids, in int[] rules); NetworkManagementServic
android实现网络防火墙控制app访问wifi/移动数据网络
cyj88jyc的专栏
02-28 7751
iptables是Linux的一个命令行工具,通过设置一些规则可以直接把指定uid或网址的数据包从ip层过滤掉,从而实现网络防火墙的功能,这部分已经比较成熟,android或厂商只是对iptables命令进行了封装,让android app可以通过iptables命令进行防火墙设置,iptables有很多复杂的功能,我们主要看看怎么设置白名单只让指定的uid app可以联网和设置黑名单让指定的ui...
Linux系统Iptables在网络安全应用.pdf
09-06
Linux系统Iptables在网络安全应用.pdf
详解Android 利用Iptables实现网络黑白名单(防火墙)
08-27
主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
操作系统安全:iptables工具.pptx
06-01
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;NATTable的...
Linux操作系统iptables程序在校园网络应用.pdf
09-06
Linux操作系统iptables程序在校园网络应用.pdf
完美解决repo init 错误 fatal: Cannot get https://gerrit.googlesource.com/git-repo/clone.bundle
热门推荐
Hi~ xiaokeweng
07-03 7万+
完美解决repo init 失败 fatal: Cannot get https://gerrit.googlesource.com/git-repo/clone.bundle
手机敲命令利器---Android Terminal
Hi~ xiaokeweng
12-14 5万+
实用利器直接android手机上,运行linux终端,使用linux命令,编写运行shell脚本,vi编辑,调试log采集过滤,甚至shutdown。
Android 4.1 Netd详细分析(一)概述与应用实例
Hi~ xiaokeweng
10-31 3万+
近来再看Android  Netd作为Android 网络很基础的部分,从这部分开始入门Android network.属于偏底层的部分,现将个人的一点收获分享给大家~个人使用的代码来自Google Android 4.1和 开源论坛  https://www.codeaurora.org/ 这个论坛可以直接拉下部分公司提供的开放代码我是用的是QCOM高通的,代码可能会有细微差异但Netd整体
Android实现pppoe拨号上网(一)概述
Hi~ xiaokeweng
04-10 1万+
最近在做Android上实现pppoe拨号上网的功能。一般情况下不大可能会用到,但在大陆某些地区,可能会有AP并不支持DHCP功能,或者在某些平台上面装载Android系统的时候,可能会需要移植拓展该功能。什么是pppoe就不再介绍了,下面对于我的实验环境搭建和操作进行简述: 个人邮箱:[email protected] (一)实验环境搭建 描述:本例是在支持wifi的
Android 4.1 Netd详细分析(六)DnsProxyListener
Hi~ xiaokeweng
11-14 1万+
个人邮箱:[email protected]       在前面的几篇我们从 main 函数入手,主要分析了 CommandListener + Netlinkmanager 两部分共同组成的可实现与 Kernel 层、Framework 层通信,并完成一套完整的功能系统。并且在文提及到另外两个部分,DnsProxyListener 和 MDnsSdListener。顾名思义两者都是与
Android 4.1 Netd详细分析()代码分析2
Hi~ xiaokeweng
11-09 1万+
个人邮箱:[email protected]   我们按照main函数代码的执行顺序,首先实例化NetlinkManager。接下来代码如下。 if (!(nm = NetlinkManager::Instance())) {//实例化对象nm ALOGE("Unable to create NetlinkManager"); exit(1)
浅谈Linux系统iptables应用
05-15
以下是 iptables 在 Linux 系统的一些应用: 1. 防火墙:iptables 可以配置防火墙规则,保护系统免受来自外部网络的攻击。它可以限制不同网络之间的数据流量,并允许或阻止特定的端口和协议。 2. NAT:iptables ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值