自己写 Netfilter 匹配器

最新推荐文章于 2022-04-10 20:44:25 发布
最新推荐文章于 2022-04-10 20:44:25 发布
阅读量2.8k 收藏
点赞数
分类专栏: Network Programming Linux K&D

  看了Nicolas写的netfilter写匹配器,自己尝试编译测试,发现iptables 以及内核版本升级很多数据结构和函数接口都改变了,需要做大量的修改才能运行。


运行 iptables/netfilter

1)iptables

从 ftp://ftp.netfilter.org/pub/iptables/ 下载iptables 的源码然后拷贝libipt_ipaddr.c 到 iptables-1.4.10/extensions.

拷贝ipt_ipaddr.h 到 ./include/linux/netfilter_ipv4/

然后 

$./configure 
$make && make install


2)ipaddr.ko

编译这个内核模块需用到3个文件:

ipt_ipaddr.h  ipt_ipaddr.c  Makefile



编译完内核模块之后用

$ sudo modprobe x_tables
$ sudo insmod ipaddr.ko
加载内核模块,然后iptables命令: 

sudo iptables -I OUTPUT -m ipaddr --ipsrc ipaddr --ipdst  ipaddr
设置规则。

修改后的源码:

ipt_ipaddr.c : 
#include <linux/module.h>
#include <linux/kernel.h>

#include <linux/netfilter_ipv4.h>

#include <linux/netfilter_ipv4/ip_tables.h>

#include "ipt_ipaddr.h"


#define NIPQUAD(addr) \
    ((unsigned char *)&addr)[0], \
    ((unsigned char *)&addr)[1], \
    ((unsigned char *)&addr)[2], \
    ((unsigned char *)&addr)[3]


#define NF_IP_LOCAL_IN          1
#define NF_IP_LOCAL_OUT         3



static int ipt_match(const struct sk_buff *skb,struct xt_action_param *param)
{
   const struct net_device *in = param->in;
   const struct net_device *out = param->out;	
   const struct ipt_ipaddr_info *info  = param->matchinfo;

   struct iphdr *iph = ip_hdr(skb);
   printk("entered ipt_match !\n");
   printk(KERN_INFO "ipt_ipaddr: IN=%s OUT=%s TOS=0x%02X "
                    "TTL=%x SRC=%u.%u.%u.%u DST=%u.%u.%u.%u "
                    "ID=%u IPSRC=%u.%u.%u.%u IPDST=%u.%u.%u.%u\n",

                    in ? (char *)in : "", out ? (char *)out : "", iph->tos,
                    iph->ttl, NIPQUAD(iph->saddr), NIPQUAD(iph->daddr),
                    ntohs(iph->id), NIPQUAD(info->ipaddr.src), NIPQUAD(info->ipaddr.dst)
         );

   if (info->flags & IPADDR_SRC) {
      if ( (ntohl(iph->saddr) != ntohl(info->ipaddr.src)) ^ !!(info->flags & IPADDR_SRC_INV) ) {
         
         printk(KERN_NOTICE "src IP %u.%u.%u.%u is not matching %s.\n",
                            NIPQUAD(info->ipaddr.src),
                            info->flags & IPADDR_SRC_INV ? " (INV)" : "");
         return 0;
      }
   }

   if (info->flags & IPADDR_DST) {
      if ( (ntohl(iph->daddr) != ntohl(info->ipaddr.dst)) ^ !!(info->flags & IPADDR_DST_INV) )  {

         printk(KERN_NOTICE "dst IP %u.%u.%u.%u is not matching%s.\n",
                            NIPQUAD(info->ipaddr.dst),
                            info->flags & IPADDR_DST_INV ? " (INV)" : "");
         return 0;
      }
   }
   
   return 1;
}

static int ipaddr_checkentry(const struct xt_mtchk_param *param)
{
   printk("entered ipaddr_checkentry\n");
   const struct ipt_ipaddr_info *info = param->matchinfo;
   unsigned int hook_mask = param->hook_mask;
   unsigned int matchsize = param->match->matchsize;
   char tablename[XT_TABLE_MAXNAMELEN];
   const struct ipt_ip *ip = (struct ipt_ip *)param->entryinfo;		// this is specified by param->family.

   if (hook_mask & ~((1 << NF_IP_LOCAL_IN) | (1 << NF_IP_LOCAL_OUT))) {
      printk(KERN_WARNING "ipt_ipaddr: only valid with the FILTER table.\n");
      return 0;
   }

   if (matchsize != XT_ALIGN(sizeof(struct ipt_ipaddr_info))) {
      printk(KERN_ERR "ipt_ipaddr: matchsize differ, you may have forgotten to recompile me.\n");
      return 0;
   }

   strcpy(tablename,param->match->table);
   printk(KERN_INFO "ipt_ipaddr: Registered in the %s table, hook=%x, proto=%u\n",
                    tablename, hook_mask, ip->proto);

   return 1;
}

static struct xt_match ipaddr_match  = { 
        .match	= ipt_match,
	.matchsize = XT_ALIGN(sizeof(struct ipt_ipaddr_info)),	/// without this may cause invalid size 0 != 12
	.name 	= "ipaddr",
	.checkentry = ipaddr_checkentry, 
	.me 	= THIS_MODULE 
};


static int __init init(void)
{
   printk(KERN_INFO "ipt_ipaddr: init!\n");
   return xt_register_match(&ipaddr_match);
}

static void __exit fini(void)
{
   printk(KERN_INFO "ipt_ipaddr: exit!\n");
   xt_unregister_match(&ipaddr_match);
}

module_init(init);
module_exit(fini);

MODULE_LICENSE("GPL");
MODULE_AUTHOR("Nicolas Bouliane && Samuel Jean");
MODULE_DESCRIPTION("netfilter module skeleton");

ipt_ipaddr.h 
#ifndef _IPT_IPADDR_H
#define _IPT_IPADDR_H


#include <linux/types.h>

#define IPADDR_SRC   0x01     /* Match source IP addr */
#define IPADDR_DST   0x02     /* Match destination IP addr */

#define IPADDR_SRC_INV  0x10  /* Negate the condition */
#define IPADDR_DST_INV  0x20  /* Negate the condition */

struct ipt_ipaddr {
   __u32 src, dst;
};

struct ipt_ipaddr_info {

   struct ipt_ipaddr ipaddr;
   
   /* Flags from above */
   __u8 flags;
   
};

#endif


libipt_ipaddr.c: 
#include <stdbool.h>
#include <stdio.h>
#include <netdb.h>
#include <string.h>
#include <stdlib.h>
#include <getopt.h>

#include <iptables.h>

#include <xtables.h>
#include <linux/netfilter_ipv4/ipt_ipaddr.h>


//./configure --prefix= ./install 
/* 
 * 	./install/sbin/iptables -m ipaddr -h
 */
static void ipaddr_help(void)
{
   printf (
            "IPADDR  options:\n"
            "[!] --ipsrc <ip>\t\t The incoming ip addr matches.\n"
            "[!] --ipdst <ip>\t\t The outgoing ip addr matches.\n"
            "\n"
         );
}

static struct option ipaddr_opts[] = {
   { .name = "ipsrc",   .has_arg = 1,   .flag = 0,   .val = '1' },
   { .name = "ipdst",   .has_arg = 1,   .flag = 0,   .val = '2' },
   { .name = 0 }
};

static void ipaddr_init(struct xt_entry_match *m)
{
   /* Can't cache this 
   *nfcache |= NFC_UNKNOWN;*/
}


__be32 in_aton(const char *str)
{
	unsigned long l;
	unsigned int val;
	int i;

	l = 0;
	for (i = 0; i < 4; i++)
	{
		l <<= 8;
		if (*str != '\0')
		{
			val = 0;
			while (*str != '\0' && *str != '.' && *str != '\n')
			{
				val *= 10;
				val += *str - '0';
				str++;
			}
			l |= val;
			if (*str != '\0')
				str++;
		}
	}
	return htonl(l);
}


struct in_addr* dotted_to_addr(const char *arg)
{
	struct in_addr * p;
	p = malloc(sizeof(struct in_addr));
	printf("%x\n",p);
	p->s_addr = in_aton(arg);
	return p;	
}

static void parse_ipaddr(const char *arg, __u32 *ipaddr)
{
   struct in_addr *ip;
   printf("in parse_ipaddr arg is %s",arg);
   ip = dotted_to_addr(arg);
   if (!ip)
      xtables_error(PARAMETER_PROBLEM, "ipt_ipaddr: Bad IP address `%s'\n", arg);

   *ipaddr = ip->s_addr;
}

static int ipaddr_parse(int c, char **argv, int invert, unsigned int *flags,
                 const struct ipt_entry *entry,
                 struct ipt_entry_match **match)
{
   struct ipt_ipaddr_info *info = (struct ipt_ipaddr_info *)(*match)->data /*NULL*/;
   printf("entered ipaddr_parse\n");
   switch(c) {
      case '1':
         if (*flags & IPADDR_SRC)
            xtables_error(PARAMETER_PROBLEM, "ipt_ipaddr: Only use --ipsrc once!");
         *flags |= IPADDR_SRC;

         info->flags |= IPADDR_SRC;
         if (invert)
            info->flags |= IPADDR_SRC_INV;

         parse_ipaddr(argv[optind-1], &info->ipaddr.src);
         break;

      case '2':
         if (*flags & IPADDR_DST)
            xtables_error(PARAMETER_PROBLEM, "ipt_ipaddr: Only use --ipdst once!");
         *flags |= IPADDR_DST;

         info->flags |= IPADDR_DST;
         if (invert)
            info->flags |= IPADDR_DST_INV;

         parse_ipaddr(argv[optind-1], &info->ipaddr.dst);
         break;

      default:
         return 0;
   }

   return 1;
}

static void ipaddr_final_check(unsigned int flags)
{
   if (!flags)
      xtables_error(PARAMETER_PROBLEM, "ipt_ipaddr: Invalid parameters.");
}

/* 
 * Can't call it ipaddr, because
 * the main structure is already
 * called like that.
 */
static void print_ipaddr(__u32 *ip_addr)
{
   printf(  "%u.%u.%u.%u ", 
            ((unsigned char *)ip_addr)[0],
            ((unsigned char *)ip_addr)[1],
            ((unsigned char *)ip_addr)[2],
            ((unsigned char *)ip_addr)[3]
         );
}

static void ipaddr_print(const struct ipt_ip *ip,
                  const struct ipt_entry_match *match,
                  int numeric)
{
   const struct ipt_ipaddr_info *info = (const struct ipt_ipaddr_info *)match->data;
   printf("entered ipaddr_print\n");
   if (info->flags & IPADDR_SRC) {
         printf("src IP ");
      if (info->flags & IPADDR_SRC_INV)
         printf("! ");
      print_ipaddr((__u32 *)&info->ipaddr.src);
   }

   if (info->flags & IPADDR_DST) {
      printf("dst IP ");
      if (info->flags & IPADDR_DST_INV)
         printf("! ");
      print_ipaddr((__u32 *)&info->ipaddr.dst);
   }
}

/* 
 * iptables-saves
 */
static void ipaddr_save(const struct ipt_ip *ip, const struct ipt_entry_match *match)
{
   const struct ipt_ipaddr_info *info = (const struct ipt_ipaddr_info *)match->data;
   printf("entered ipaddr_save\n");
   if (info->flags & IPADDR_SRC) {
      if (info->flags & IPADDR_SRC_INV)
         printf("! ");
      printf("--ipsrc ");
      print_ipaddr((__u32 *)&info->ipaddr.src);
   }

   if (info->flags & IPADDR_DST) {
      if (info->flags & IPADDR_DST_INV)
         printf("! ");
      printf("--ipdst ");
      print_ipaddr((__u32 *)&info->ipaddr.dst);
   }
}

static struct xtables_match ipaddr = {
    .family	     = NFPROTO_UNSPEC,
    .name            = "ipaddr",
    .version         = XTABLES_VERSION,
    .size            = XT_ALIGN(sizeof(struct ipt_ipaddr_info)),
    .userspacesize   = XT_ALIGN(sizeof(struct ipt_ipaddr_info)),
    .help            = ipaddr_help,
   /// .init            = ipaddr_init,
    .parse           = ipaddr_parse,
    .final_check     = ipaddr_final_check,
    .print           = ipaddr_print,
    .save            = ipaddr_save,
    .extra_opts      = ipaddr_opts
};

void _init(void)
{
   xtables_register_match(&ipaddr);
}



Makefile文件: 
EXTRA_CFLAGS	:= -g -O2	##Debug info .
KVERS = $(shell uname -r)

ifneq ($(KERNELRELEASE),)

obj-m			= ipaddr.o

ipaddr-objs 	        := ipt_ipaddr.o
else
KDIR := /lib/modules/$(KVERS)/build

all:
	make -C $(KDIR) M=$(PWD) modules

clean:
	rm -f *.ko *.o *.mod.o *.mod.c *.order *~  *.symvers

endif




原文链接:
http://www.linuxfocus.org/ChineseGB/February2005/article367.shtml



xianjian_x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ja-netfilter-all
06-29
ja-netfilter-all
xt_action_param/xt_match/xt_target
sidemap的博客
11-28 870
/** * struct xt_action_param - parameters for matches/targets * * @match: the match extension * @target: the target extention * @matchinfo: per-match data * @targetinfo: per-targ...
iptables match模块扩展 数据传递(用户空间 -> 内核空间)
sidemap的博客
11-13 1434
大致过程: 首先,通过iptables命令将使用扩展模块的相关策略添加。例如:iptables -t mangle -A OUTPUT -p icmp -m pktsiz --size 100:200 -j DROP 其次,当接收到网络数据,内核对相关协议(IPV4)相关表(mangle)相关链(OUTPUT)..扩展模块(pktsize)进行匹配,对符合规则的进行相关的动作。 实装过程: ...
centos6 升级防火墙iptables 1.4.21
coder learner
01-16 8107
centos6 升级防火墙iptables
netfilter/iptables模块功能中文介绍
enchen的专栏
03-02 699
 功能介绍 (每个info和help本是英文的,为方便阅读我把它翻译成中文,由于水平有限,如果有误请有经验者来信指正) 获取最新patch-o-matic-ng的地址:ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/ [root@kindgeorge src] wget ftp://ftp.netfilter.org/pub/
iptables 交叉编译
04-21 1428
最近搞iptables,linux下强大的防火墙配置工具。
ja-netfilter
02-09
ja-netfilter
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
netfilter.pdf
12-31
主要对netfilter框架的原理和源码进行讲解,对于netfilter、iptables、conntrack、nat直接如何配合,进行了详细的图标绘制,源码分析,对于个人理解netfilter框架有很好的提高
解析Linux下Netfilter & iptables:开发一个match模块
chengfangang的专栏
03-19 4917
http://www.bairimeng.net/2012/11/27/netfilter_iptables_matc/ 一、说明 最近的项目需要软件组基于Netfilter和iptables开发Linux内核模块,以完成一系列防火墙功能,说白了防火墙就是过滤规则。 为了熟悉Netfilter和iptables的开发,于是开发过程中下这篇笔记,以达到温故知新的作用。 (盗图自
iptables深入解析-filter应用篇
weixin_33981932的博客
07-24 175
上一篇文章分析了iptables代码下发运作的流程细节,篇幅有限还有很多需要补充.关于netfilter的框架网上已经被讲烂了,框架很简单,但是实现却不简单.但不论什么都要最终归到实际应用上,才能体现其价值. 下面我们就以iptables1.4.21 ubuntu14 32位 内核版本 3.13.0为环境来开发一个最常...
Linux2.6.18.8内核中netfilter分析
J.H.Z的专栏
03-03 1212
参考:http://bbs.driverdevelop.com/read.php?tid-101363.html 在2.6.16内核的netfilter中,netfilter一个重大修正思想就是将netfilter作为一个协议无关的框架,表现在内核结构树中单独建立net/netfilter目录,而在以前netfilter是附着在各个协议目录之下的,如在net/ipv4, net/ipv6等目录下。   内核2.6.18.8 的 linux/netfilter/x_tables.h 中定义了 struc
iptables匹配ttl
redwingz的博客
04-10 447
TTL匹配帮助信息如下,可判断相等,大于和小于三种关系。 # iptables --match ttl -h ttl match options: [!] --ttl-eq value Match time to live value --ttl-lt value Match TTL < value --ttl-gt value Match TTL > value 如下在主机192.168.1.112上配置策略,丢弃IP头部ttl值小于3的报文。
大量存在于iptables模块中的BUG
互联网
01-04 478
iptables的maual的BUG一节:BUGS Bugs? What's this? ;-) Well, you might want to have a look at http://bugzilla.netfilter.org/OK,我去netfilter的bug站点...唉,这帮人啊!我相信很多人都遇到过iptables规则无法删除的问题,比如我使用了xtables-addons中的co...
浅谈STM8S208与STM32F1系列-GPIO端口输入输分类-寄存器配置(下)
qq_39786897的博客
09-14 959
仅供参考,的是博主自己归纳理解的,有歧义的地方可以指出,博主也是刚开始学习,是个小白,文章为了总结,日有用到可以方便自己查看。 目录 仅供参考,的是博主自己归纳理解的,有歧义的地方可以指出,博主也是刚开始学习,是个小白,文章为了总结,日有用到可以方便自己查看。 一、用STM8S208B芯片完成灯闪烁。引脚:PI0 二、用STM32F103芯片完成灯闪烁。引脚:PA8 下面是STM8S208B和STM32F103引脚配置的程序和寄存器对应。注意!注意!注意:看代码照着颜色来看,没标颜色的不用
iptables源代码分析之set集合模块
脚踏实地,不断突破自我,每天有收获就OK
12-11 5154
适合的读者 1.能够熟练使用iptables和ipset命令,增删改查等 2.心里好奇iptables的命令是如何生效的? 3.对研究netfilter源代码有浓厚兴趣的技术人员 4.用户态的iptables和内核态的netfilter是如何交互的 一、研究背景 使用iptables来针对某ip指定规则,从而达到抵御网络攻击的目的。但有时可能对成千上万的ip进行封禁,如过添加成千上万条iptabl...
fatal error: xtables.h: No such file or directory #include <xtables.h>
绯浅yousa的笔记
02-26 5361
fatal error: xtables.h: No such file or directory #include sudo apt-get install iptables-dev方法二:上iptables官网,下载依赖库源码,使用源代码安装,但是需要翻墙(不太推荐)官网http://www.netfilter.orgwget http://www.netfilter.org/projects
Linux netfilter 学习笔记 之十五 netfilter模块添加一个match
lickylin的专栏
07-24 7258
通过这段时间的学习,基本上熟悉了netfilter模块,为了进一步加深对netfilter的认识以及理解iptables与netfilter的联系,准备添加一个match模块。   在看到网关产品会有一个公网限制的功能,就想着添加一个公网数目限制的功能。   该模块实现的功能, 通过该match我们可以设置能够通过网关上网的数目,要想进行公网限制,就需要根据mac地址进行限制操作,这个模块
基于Netfilter从零开始一个Linux防火墙
最新发布
03-04
好的,我会用中文回答您的问题。 Netfilter是Linux内核中的一个框架,用于在数据包传输时进行处理。它可以被用来实现防火墙、网络地址转换(NAT)等功能。下面是一个基于Netfilter的Linux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 2. 允许本机向外发起的连接通过: ``` iptables -A OUTPUT -p tcp -dport 80 -j ACCEPT ``` 3. 阻止来自指定IP地址的数据包: ``` iptables -A INPUT -s 192.168.1.1 -j DROP ``` 4. 允许本机的所有数据包通过: ``` iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ``` 以上是一个简单的基于Netfilter的Linux防火墙示例。您可以根据需要进行调整和修改。注意,使用防火墙时要小心,以免误阻止或允许不必要的数据包,导致网络故障或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值