netfilter 学习练习一:通过目的端口过滤发出去的数据包

最新推荐文章于 2021-02-03 23:25:10 发布
最新推荐文章于 2021-02-03 23:25:10 发布
阅读量556 收藏 4
点赞数 1
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq32/article/details/103377155
版权
本文介绍了如何在Linux内核3.10.0-514.el7.x86_64中,利用netfilter框架在出口点注册钩子函数,过滤并阻止目的端口为80(HTTP)的数据包。通过编译模块filter_port.o,安装后可以观察到telnet到80端口被阻断,dmesg日志显示相关端口的数据包被丢弃。
摘要由CSDN通过智能技术生成

kernel版本 3.10.0-514.el7.x86_64

netfilter框架通过在内核网络协议栈五个数据包处理点注册回调函数,调用这些回调函数实现数据包过滤、修改、转发。

表示回调函数的hook结构体如下:

struct nf_hook_ops {
    struct list_head list;    //hook钩子函数双向列表,每一个hook点可以注册多个钩子函数

    /* User fills in from here down. */
    nf_hookfn   *hook;  //hook点的钩子函数
    struct module   *owner;  //所属模块指针
    void        *priv;        //猜测应该是私有数据,2.6.37版本没有这个字段
    u_int8_t    pf;  //协议族编号,如ipv4协议: PF_INET
    unsigned int    hooknum; //hook点编号,如 NF_INET_POST_ROUTING
    /* Hooks are ordered in ascending priority. */
    int     priority; //优先级,hook点注册的钩子函数列表按照优先级由高到底插入

    //2.6.37版本还没有下列字段
    /* Reserved for use in the future RHEL versions. Set to zero. */
    unsigned long   __rht_reserved1;
    unsigned long   __rht_reserved2;
    unsigned long   __rht_reserved3;
    unsigned long   __rht_reserved4;
    unsigned long   __rht_reserved5;
};

hook钩子函数原型如下:

最低0.47元/天 解锁文章
种菜的
关注
专栏目录
Linux学习总结(48)——Linux防火墙iptables与firewalld学习总结
科技D人生
06-26 5472
iptables命令是Linux上常用的防火墙软件,是netfilter目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。语法iptables(选项)(参数)选项-t<表>:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数...
RHCE7-NOTE(红帽工程师--题库详细笔记)
Reyn_观极
10-06 553
重置练习环境: rht-vmctl reset classroom rht-vmctl reset server rht-vmctl reset desktop RHCE 核心考点列表 #################################################### 一、安全策略配置 —— 1. 配置SELinux SELinux,Security-Enhanced Linux 美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制 主要针对用户、进程、文档...
netfilter端口过滤报文
Walter的专栏
04-22 1740
1、程序如下: #include #include #include #include #include #include #include #include struct nf_hook_ops nfkiller; //static unsigned short deny_port = 0x5000; unsigned char *deny_port
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook点中选取了2个作为测试钩子点。仅供参考
C语言中位域
作一个独立连续的思考者
07-30 738
引自:http://wenku.baidu.com/view/5efe35ccda38376baf1fae9a.html 这是C语言位域 ( 冒号 ) 问题 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位。例如在存放一个开关量时,只有0和1 两种状
iptables练习
qq_44309067的博客
02-03 636
部分鉴于 运维人员20道必会iptables面试题 1、详述iptales工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序 2、iptables的几个表以及每个表对应链的作用? Iptables有四表五链 Filter表 : Filter表是iptables中使用的默认表,它用来过滤网络包。如果没有定义任何规则,Filter表则被当作默认的表,并且基于它来过滤。支持的链有​INPUT链,​OUTPUT链,​FORWARD链。 Nat表 : Na
Linux运维学习笔记之二:常用命令
放飞的心灵-记录学习的点点滴滴
07-30 6497
第三章 常用命令 1、mkdir : 创建目录,make directorys,-p 递归创建目录     mkdir-p /a/b/c 2、ls  : -l(long)d(directory)显示目录或文件,全称list     -l#列出文件的详细信息,如创建者,创建时间,文件的读写权限列表等等     -d#只查看目录     -F#会在不同类型的文件后面加上*/=>@|等符号
捕获与解析IP数据包(C++)
01-02
基于C++和winpcap编写的网络程序,实现监听并解析IP数据包! 运行程序,按提示输入要选择的网卡序列,再次输入需要不活的IP数据包的个数,然后程序自动运行捕获。 捕获后开始解析,从数据链路层开始解析, 1) 如果网络层协议是IP协议,则开始解析网络层IP数据包。 2) 如果运输层协议是TCP协议则解析运输层TCP数据包。 3) 如果网络层协议是APP协议,则不在进一步解析网络层数据包。 4) 如果运输层协议是UDP协议,则不在进一步解析运输层数据包
基于数据包过滤的防火墙设计与实现
06-02
防火墙是网络安全领域的一个重要方面。而包过滤防火墙是防火墙技术的一种。很 多高级的防火墙都是包过滤防火墙的功能增强或扩展。包过滤防火墙主要通过对ip数据 包的源地址,目的地址,源端口目的端口和TCP标志的信息和过滤规则进行比较来 实现数据包过滤。包过滤方式是一种通用、廉价和有效的安全手段.它不是针对各个 具体的网络服务采取特殊的处理方式,适用于所有网络服务。所以,在节约成本并保证 安全的前提下设计一个简单有效的包过滤防火墙,可以较好的满足目前的需求。
tcp/ip网络中端口的选定
Netfilter
04-03 4152
<br />在以下两种场景需要确定端口(不考虑reuse和time_wait):<br /> 1.bind调用时<br /> 2.connect时<br /> 需要注意的是,1和2是不一样的,在调用bind时,目的ip和目的端口并不知道,因此需要严格和本机其它的ip/端口对区别开来,在绑定地址或者设备的情况下,两个绑定不同本地地址或者绑定不同设备的socket可以使用同一端口,如果选定了一个端口,只要使用该端口的socket中(包括它自己)有一个不绑定ip或者设备,这个端口就不能被再次使用。<br /
字符设备驱动
孩儿学堂
01-03 1203
main.c //#include #include #include #include #include /* printk() */ #include /* kmalloc() */ #include /* everything... */ #include /* error codes */ #include /* size_t */ #include #in
内核驱动常用头文件之--linux/module.h
热门推荐
kokodudu的专栏
12-16 1万+
/* *写内核驱动的时候 必须加载这个头文件,作用是动态的将模块加载到内核中去 *常用的宏定义如 MODULE_LICESENCE(),MODULE_AUTHOR(),等在此文件中 *而且 kobject,kset结构体题及其操作函数也在这个结构体中,,,其实学习头文件最好的方法就是仔细的看头文件--看看有哪些功能就好用的时候再查阅 * * */ #ifndef _LINUX_MOD
Linux进程调度
kanguolaikanguolaik的专栏
11-12 862
一、策略 二、Linux调度算法
Linux/Unix环境下的Make和Makefile详解 2005-01-21 Pathetique 博客园 点击: 32773
07-22 324
 Linux/Unix环境下的Make和Makefile详解
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3437
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
Netfilter的原理和实现浅析
记不住就笔记
09-15 2270
关于Netfilter入门级概括性使用信息记录  转载自:http://blog.csdn.net/zhangskd/article/details/22678659   A. 概念描述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每...
Netfilter框架下的数据包过滤与入侵检测:Linux防火墙实现
过滤防火墙的核心原理是对IP数据包的源地址、目的地址、端口号和TCP标志等信息进行匹配,通过预先定义的规则集决定数据包的通过与否。 在Linux内核层面,Netfilter框架允许在数据包的生命周期中插入钩子(hook)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种菜的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值