wifidog 源码初分析(1)

最新推荐文章于 2024-05-19 10:00:27 发布
最新推荐文章于 2024-05-19 10:00:27 发布
阅读量442 收藏
点赞数
分类专栏: wifidog

因为最近公司内部有个关于路由器的项目使用了该开源项目做Demo,安装配置很简单,但是对运行机制不是太了解,所以抽了点时间初步对 wifidog 的源码进行了分析。

(对于 wifidog 是什么开源项目,以及如何安装配置,就不做解释了,直接 Google 吧)。

另外,wifidog 的核心还是依赖于 iptables 防火墙过滤规则来实现的,所以建议对 iptables 有了了解后再去阅读 wifidog 的源码。

在路由器上启动 wifidog 之后,wifidog 在启动时会初始化一堆的防火墙规则,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
/** Initialize the firewall rules
*/
int  iptables_fw_init( void )
{
     … …
/*
      *
      * Everything in the NAT table
      *
      */
     /* Create new chains */
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_OUTGOING);
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_WIFI_TO_ROUTER);
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_WIFI_TO_INTERNET);
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_GLOBAL);
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_UNKNOWN);
     iptables_do_command( "-t nat -N "  TABLE_WIFIDOG_AUTHSERVERS);
     /* Assign links and rules to these new chains */
     iptables_do_command( "-t nat -A PREROUTING -i %s -j "  TABLE_WIFIDOG_OUTGOING, config->gw_interface);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_OUTGOING  " -d %s -j "  TABLE_WIFIDOG_WIFI_TO_ROUTER, config->gw_address);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_WIFI_TO_ROUTER  " -j ACCEPT" );
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_OUTGOING  " -j "  TABLE_WIFIDOG_WIFI_TO_INTERNET);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m mark --mark 0x%u -j ACCEPT" , FW_MARK_KNOWN);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m mark --mark 0x%u -j ACCEPT" , FW_MARK_PROBATION);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -j "  TABLE_WIFIDOG_UNKNOWN);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_UNKNOWN  " -j "  TABLE_WIFIDOG_AUTHSERVERS);
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_UNKNOWN  " -j "  TABLE_WIFIDOG_GLOBAL);
     // 将 80 端口的访问重定向(REDIRECT)到 (本路由)网关web服务器的监听端口
     iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_UNKNOWN  " -p tcp --dport 80 -j REDIRECT --to-ports %d" , gw_port);
     /*
      *
      * Everything in the FILTER table
      *
      */
     /* Create new chains */
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_WIFI_TO_INTERNET);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_AUTHSERVERS);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_LOCKED);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_GLOBAL);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_VALIDATE);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_KNOWN);
     iptables_do_command( "-t filter -N "  TABLE_WIFIDOG_UNKNOWN);
     /* Assign links and rules to these new chains */
     /* Insert at the beginning */
     iptables_do_command( "-t filter -I FORWARD -i %s -j "  TABLE_WIFIDOG_WIFI_TO_INTERNET, config->gw_interface);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m state --state INVALID -j DROP" );
                                                                                                                             
     /* TCPMSS rule for PPPoE */
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -o %s -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" , ext_interface);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -j "  TABLE_WIFIDOG_AUTHSERVERS);
     iptables_fw_set_authservers();
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m mark --mark 0x%u -j "  TABLE_WIFIDOG_LOCKED, FW_MARK_LOCKED);
     iptables_load_ruleset( "filter" "locked-users" , TABLE_WIFIDOG_LOCKED);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -j "  TABLE_WIFIDOG_GLOBAL);
     iptables_load_ruleset( "filter" "global" , TABLE_WIFIDOG_GLOBAL);
     iptables_load_ruleset( "nat" "global" , TABLE_WIFIDOG_GLOBAL);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m mark --mark 0x%u -j "  TABLE_WIFIDOG_VALIDATE, FW_MARK_PROBATION);
     iptables_load_ruleset( "filter" "validating-users" , TABLE_WIFIDOG_VALIDATE);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -m mark --mark 0x%u -j "  TABLE_WIFIDOG_KNOWN, FW_MARK_KNOWN);
     iptables_load_ruleset( "filter" "known-users" , TABLE_WIFIDOG_KNOWN);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_WIFI_TO_INTERNET  " -j "  TABLE_WIFIDOG_UNKNOWN);
     iptables_load_ruleset( "filter" "unknown-users" , TABLE_WIFIDOG_UNKNOWN);
     iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_UNKNOWN  " -j REJECT --reject-with icmp-port-unreachable" );
     UNLOCK_CONFIG();
     return  1;
}

 

在该 防火墙规则的初始化过程中,会首先清除掉已有的防火墙规则,重新创建新的过滤链,另外,除了通过iptables_do_command("-t nat -A "TABLE_WIFIDOG_UNKNOWN " -p tcp --dport 80 -j REDIRECT --to-ports %d",gw_port);这个命令将 接入设备的 80 端口(HTTP)的访问重定向至网关自身的 HTTP 的端口之外,还通过iptables_fw_set_authservers(); 函数设置了 鉴权服务器(auth-server) 的防火墙规则:

 

1
2
3
4
5
6
7
8
9
10
11
12
void  iptables_fw_set_authservers( void )
{
     const  s_config *config;
     t_auth_serv *auth_server;
     config = config_get_config();
     for  (auth_server = config->auth_servers; auth_server != NULL; auth_server = auth_server->next) {
         if  (auth_server->last_ip &&  strcmp (auth_server->last_ip,  "0.0.0.0" ) != 0) {
             iptables_do_command( "-t filter -A "  TABLE_WIFIDOG_AUTHSERVERS  " -d %s -j ACCEPT" , auth_server->last_ip);
             iptables_do_command( "-t nat -A "  TABLE_WIFIDOG_AUTHSERVERS  " -d %s -j ACCEPT" , auth_server->last_ip);
         }
     }
}

 

首先从上面的代码可以看出 wifidog 支持多个 鉴权服务器,并且针对每一个鉴权服务器 设置了如下两条规则:

 

1)filter表中追加一条[任何访问鉴权服务器都被接受]WiFiDog_$ID$_AuthServers过滤链:

 

iptables -t filter -A  WiFiDog_$ID$_AuthServers -d auth-server地址 -j ACCEPT

 

2)nat表中追加一条[任何访问鉴权服务器都被接受]WiFiDog_$ID$_AuthServers过滤链:

 

iptables -t nat -A WiFiDog_$ID$_AuthServers  -d auth-server地址 -j ACCEPT

 

这样确保可以访问鉴权服务器,而不是拒绝所有的出口访问。

eydwyz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wifidog源码分析(一)
viewsky11的专栏
09-08 1861
网上已有源码详细的源码分析,此分析仅做个人记录 从main开始wifidog-gateway/src/gatway.c/* Reads the configuration file and then starts the main loop */ int //读取配置文件,也就是/etc/wifidog.conf中的各项配置 gw_main(int argc, char
wifidog 源码分析(4)
weixin_34309543的博客
03-28 126
在上一篇《wifidog 源码分析(3)》的流程结束后,接入设备的浏览器重定向至 路由器 上 wifidog 的 http 服务(端口 2060) /wifidog/auth 上(且携带了 认证服务器 为此接入设备分配的 token),本篇就是从 wifidog 接收到 /wifidog/auth 的访问后的 校验流程。-根据《wifidog 源码分析(2)》中描述的,在...
探索ApFree WiFiDog:打造高效的HTTP(s)无线网络准入控制方案
最新发布
gitblog_00070的博客
05-19 451
探索ApFree WiFiDog:打造高效的HTTP(s)无线网络准入控制方案 项目地址:https://gitcode.com/liudf0716/apfree-wifidog 项目介绍 ApFree WiFiDog是一款基于OpenWrt平台的高性能HTTP(s)准入控制系统。这个开源项目旨在帮助管理员实现高并发、高流量环境下的无线网络用户认证,支持HTTP和HTTPS协议。通过...
wifidog 源码分析(三)
技术无止境
04-05 1315
上一篇分析了 接入设备 在接入路由器,并发起首次 HTTP/80 请求到路由器上时,wifidog 是如何将此 HTTP 请求重定向至 auth-server 的流程。 之后接入设备的浏览器接收到 wifidog 返回的 302 重定向请求后,会将页面重定向至 auth-server 的 /login 页面,并且在此 URL 中会携带一些路由器/网关 参数,以及接入设备的 MAC 地址和客户
linux WiFi源码解析,WIFIDOG 源码解析
weixin_29505425的博客
05-12 350
WIFIDOG 源码解析openwrt wifidog是我linux c语言编程的启蒙项目,一年前折腾此项目大半年,从此爱上了linux 系统编程。现在看来,这是一个再简单不过的linux c语言项目了。在此以wifidog官方源码作为实例分析,不过实际推荐用apfree_wifidog,使用epoll、libevent等新技术,并且是国人在维护的项目。概述wifidog 认证主要通过iptabl...
apfree_wifidog源码.zip
04-02
资源名称:apfree_wifidog源码 使用场景:当设备借入后需要进行wifidog认证; 功能说明: (1)包含两版apfree_wifidog-2.10.1437.zip与apfree_wifidog-master.zip,可根据需要自行选择下载
wifidog源码
03-26
wifidog最新SVN代码,可以直接用于移植。
最新wifidog认证服务器源码.zip
03-04
最新wifidog认证服务器源码.zip
wifidog协议分析
04-25
wifidog学习资料
wifidog框架学习
10-29
wifdog流程框架学习整理。包含wifidog的原理,认证流程,抓包分析,代码框架。
apfree_wifidog:高性能,轻量级的HTTP强制门户门户解决方案
05-02
ApFree WiFiDog:一种用于HTTP的高性能强制门户解决方案 ApFree WiFiDog是用于HTTP的高性能强制门户解决方案,主要用于平台。 apfree-wifidog的增强 实际上,标题应该是我们选择apfree-wifidog的原因,原因如下: 稳定的 apfree-wifidog被广泛应用于商业场景中的数以万计的openwrt设备中。 为了提高其稳定性,我们用api而不是fork调用重写了所有iptables规则,这很容易在多线程前叉运行环境中导致死锁。 我们还重新编写了代码,并用libevent2替换了libhttpd(多年以来一直未使用过) 表现 因为libevent2支持epoll,所以apfree-wifidog的性能要比原始wifidog更好,基准目录中有一些基准数据可以证明这一点 HTTP重定向 apfree-wifidog支持https重定向,在当前
authserver:wifidog的认证服务器
07-22
作者服务器 这是 wifidog 的认证服务器。
luci-app-wifidog:这个包包含 wifidog 的 LuCI 配置页面
06-27
luci-app-wifidog 这个包包含 wifidog 的 LuCI 配置页面。 特征 wifidog的Luci配置页面 带有 lighttp 和 php5 的内置本地身份验证服务器 与远程服务器同步 安装 Git 在你的package目录中克隆这个存储库。 make menuconfig并在 LUCI 类别中选择 luci-app-wifidog 并保存。 使用单个包make luci-app-wifidog/compile 。
cpp-ApFreeWiFiDog完全兼容原版WiFiDog的基础上进行优化和改进
08-16
ApFree WiFiDog 在完全兼容原版WiFiDog的基础上,在功能、性能和稳定性方面做了大量工作、改进及优化,目前在坤腾固件中广泛使用,使用ApFree WiFidog的在线路由器数量达到1万多台且还在继续增长。
微信wifidog认证服务器,【开源】wwas 重磅发布,配套apfree wifidog的认证上网服务后台...
weixin_39612220的博客
08-10 997
本帖最后由 liudf 于 2018-11-21 16:02 编辑20181121 更新继 apfree wifidog 替换 libhttpd 库为 libevent 库后,apfree wifidog 再次发版本。本次版本的主要改动是扩展了原来的 wifidog REQUEST_TYPE_COUNTERS(简称V1)接口为REQUEST_TYPE_COUNTERS_V2(简称V2),v2 跟以...
java wifidog_java4wifidog_server_README
weixin_39869693的博客
03-07 91
开发环境:Windows JDK7 Tomcat6 Myeclipse8.5 MySQL5+说明:本项目主要基于apfree wifidog业务实现,同时兼容原版wifidog(原版wifidog只实现了最简单的流程而已,推荐使用apfree固件来搭配使用本项目)。大致使用步骤:1.获取apfree固件并刷到合适的路由器上.2.tomcat server.xml文件配置(该步骤主要是为了实...
wifidog在防火墙中的流程及与Qos限速冲突原因探(一)
eydwyz的专栏
11-08 1212
最近在玩wifidog认证, 开始Qos后!wifidog就无法正常工作。 国庆别人出去看车看人,我在办公室里玩鼠标。。。。。。 1,iptables 的四链五表,这里就不多说了,自己可以参看相关资料。 2,wifidog在四链中的工作流程:                                                             /--->白名
rtw wifi驱动源码分析
05-10
rtw wifi驱动的源码分析需要深入了解它的实现方式。在其实现过程中,需要进行数据的解析,将发送到设备的命令和数据进行解析,再将设备的反馈进行收集和分析。针对不同的设备,rtw wifi驱动也需要进行相应的适配,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值