ebpf nat

于 2024-04-08 18:25:30 发布
阅读量585 收藏 5
点赞数 20
文章标签: 单片机 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59771039/article/details/137519197
版权

#include <uapi/linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/icmp.h>
#include <stdio.h>
#include <inttypes.h>
#include <unistd.h>
#include <sys/time.h>

#include <netinet/in.h>
#include <time.h>
#include <uapi/linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/in.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <time.h>
#include <linux/udp.h>
#include "bpf_helpers.h"
#include "bpf_helpers.h"

#define PIN_GLOBAL_NS           2
#define uint8_t  char
#define uint16_t  unsigned short
#define uint32_t unsigned int
#define uint64_t unsigned long

#define IS_PSEUDO 0x10
#define TCP_DPORT_OFF        (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, dest))
#define IP_CSUM_OFFSET       (sizeof(struct ethhdr) + offsetof(struct iphdr, check))
#define TCP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct tcphdr, check))
#define UDP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct udphdr, check))
#define ICMP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct icmphdr, checksum))

#define IP_CSUM_OFF          (ETH_HLEN + offsetof(struct iphdr, check))
#define TOS_OFF              (ETH_HLEN + offsetof(struct iphdr, tos))
#define TCP_CSUM_OFF         (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, check))
#define IP_PROTO_OFF offsetof(struct iphdr, protocol)


#define IP_SRC_OFF (ETH_HLEN + offsetof(struct iphdr, saddr))
#define IP_DST_OFF (ETH_HLEN + offsetof(struct iphdr, daddr))

#define LOG(fmt, ...) bpf_printk(fmt "\n", ##__VA_ARGS__)
#define MAX_ELEM 10000

struct nat_info {
    uint32_t src_ip;
    uint32_t dst_ip;
};

struct nat_ip_port_info {
    __u32 port;
        __u32 ip;
    
};

struct bpf_elf_map {
        __u32 type;
        __u32 size_key;
        __u32 size_value;
        __u32 max_elem;
        __u32 flags;
        __u32 id;
        __u32 pinning;
};

struct nat_gateway_mac{
        uint8_t mac0;
        uint8_t mac1;
    uint8_t mac2;
    uint8_t mac3;
    uint8_t mac4;
    uint8_t mac5;
};

#if 0
struct bpf_elf_map SEC("maps") gateway_mac_map = {
    .type = BPF_MAP_TYPE_HASH,
    .size_key = sizeof(__u32),
    .size_value = sizeof(struct nat_gateway_mac),
    .pinning        = PIN_GLOBAL_NS,
    .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_info),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_nat_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_info),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};


struct bpf_elf_map SEC("maps") nat_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_ip_port_info),
        .size_value = sizeof(struct nat_ip_port_info),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_ip_port_info),
        .size_value = sizeof(struct nat_ip_port_info),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") srcip_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_ip_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_local_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u16),
        .size_value = sizeof(__u16),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_local_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u16),
        .size_value = sizeof(__u16),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};
#endif
struct bpf_elf_map SEC("maps") reverse_wireguard_map = {
        .type = BPF_MAP_TYPE_LRU_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = 10000,
};

#define TCP_SPORT_OFF (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, source))
#define TCP_DPORT_OFF (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, dest))

#if 0
static inline int ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
        uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        __u32 *action_entry = NULL;
    
        uint32_t tmp_ip;
        uint16_t tmp_port;
       
    new_ip = *ip_entry;
        mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
        if(mac_entry)
        {
            uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

                        // __builtin_memcpy(eth->h_dest, dst_mac, ETH_ALEN);

        bpf_map_update_elem(&srcip_map, (const void *)&(iph->daddr), (__u32 *)&(iph->saddr), 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);


        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

    return 0;
}

static inline int reserve_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
    uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
    uint32_t tmp_ip;
        uint16_t tmp_port;
        __u32 * action_entry = bpf_map_lookup_elem(&srcip_map, &(iph->daddr));
        if(action_entry)
        {
            tmp_ip = iph->daddr;
                //uint8_t src_mac[ETH_ALEN] = {0x52,0x54,0x96,0x7b,0xd1,0xe4};
                //uint8_t dst_mac[ETH_ALEN] = {0x52,0x54,0x96,0xcd,0x9c,0x24};
                 uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                       uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }
        
                old_ip = iph->daddr;
                new_ip = *action_entry;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
    }

    return 0;
}

static inline int tcp_port_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct tcphdr* tcp,struct iphdr *iph,struct nat_ip_port_info *ip_port_entry)
{
    uint32_t tmp_ip,old_ip,new_ip;
        uint16_t tmp_port;
    uint32_t new_port ,old_port;
    uint32_t  l3sum = 0;
    uint32_t  l4sum = 0;
        new_ip  = ip_port_entry->ip;
        uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
    
    if(mac_entry)
        {
            uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

    struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
    reverse_tcp_port_key.ip =  iph->daddr;
    reverse_tcp_port_key.port =  ntohs(tcp->source);
    reverse_tcp_port_value.ip = iph->saddr;
    reverse_tcp_port_value.port =  ntohs(tcp->dest);

    bpf_map_update_elem(&reverse_port_map, (const void *)&reverse_tcp_port_key, (struct nat_ip_port_info *)&reverse_tcp_port_value, 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);

        old_port = (tcp->dest);
        tmp_port = old_port;
        new_port = htons(ip_port_entry->port);
        tcp->dest = htons(ip_port_entry->port);
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

    return 0;
}

static inline  int reverse_tcp_port_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct tcphdr* tcp,struct iphdr *iph)
{
        uint32_t tmp_ip,new_ip,old_ip;
        uint16_t tmp_port;
    uint32_t l3sum = 0 ,l4sum = 0;
    uint32_t new_port,old_port;
    struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
    reverse_tcp_port_key.ip = iph->daddr;
    reverse_tcp_port_key.port = ntohs(tcp->dest);
        struct nat_ip_port_info *ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &reverse_tcp_port_key);
        if(ip_port_entry)
        {
            tmp_ip = iph->daddr;
                uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                    uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_port = (tcp->source);
                tmp_port = old_port;
                new_port = htons((uint16_t)ip_port_entry->port);
        tcp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
                
                old_ip = iph->daddr;
                new_ip = ip_port_entry->ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }
    
    return 0;
}

static inline  int local_port_tcp_dnat(struct __sk_buff *skb,struct tcphdr* tcp,__u16 *port_entry)
{
    uint16_t tmp_port,dport;
    uint32_t new_port,old_port;
    uint32_t l4sum = 0;
    old_port = (tcp->dest);
    dport = ntohs(tcp->dest);
    tmp_port = ntohs(tcp->source);
    new_port = htons(*port_entry);
    tcp->dest = new_port;
    l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
    bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
    bpf_map_update_elem(&reverse_local_port_map, (const void *)&(tmp_port), (const void *)&dport, 0);
    return 0;
}

static inline  int reverse_local_port_tcp_dnat(struct __sk_buff *skb,struct tcphdr* tcp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;
    
    tmp_port = ntohs(tcp->dest);
    uint16_t *reverse_port_entry = bpf_map_lookup_elem(&reverse_local_port_map, &tmp_port);
    if(reverse_port_entry)
    {
        old_port = (tcp->source);
        new_port = htons(*port_entry);
        tcp->source = new_port;
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
    }
   
        return 0;
}
#endif
static inline int wireguard_tcp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
    __u32 old_ip,new_ip;
    uint32_t l3sum = 0;
    //LOG("00dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
            old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
          //      LOG("11dnat------===========%u==========%u============",src,tmp_ip);
        }

    return 0;
}

static inline int wireguard_udp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
        __u32 old_ip,new_ip;
        uint32_t l3sum = 0;
       // LOG("00udp  dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
                old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
         //       LOG("11dnat------===========%u==========%u============",src,tmp_ip);
        }

        return 0;
}

static inline int wireguard_icmp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
        __u32 old_ip,new_ip;
        uint32_t l3sum = 0;
       // LOG("00udp  dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
                old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, ICMP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;    
}

#if 0
static inline int ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
        uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        __u32 *action_entry = NULL;

        uint32_t tmp_ip;
        uint16_t tmp_port;

        new_ip = *ip_entry;
        mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
        if(mac_entry)
        {
                uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

                        // __builtin_memcpy(eth->h_dest, dst_mac, ETH_ALEN);

        bpf_map_update_elem(&srcip_map, (const void *)&(iph->daddr), (__u32 *)&(iph->saddr), 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);


        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

        return 0;
}

static inline int reserve_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
         uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        uint32_t tmp_ip;
        uint16_t tmp_port;
        __u32 * action_entry = bpf_map_lookup_elem(&srcip_map, &(iph->daddr));
        if(action_entry)
        {
                tmp_ip = iph->daddr;
                //uint8_t src_mac[ETH_ALEN] = {0x52,0x54,0x96,0x7b,0xd1,0xe4};
                //uint8_t dst_mac[ETH_ALEN] = {0x52,0x54,0x96,0xcd,0x9c,0x24};
                 uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                        uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_ip = iph->daddr;
                new_ip = *action_entry;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;
}

static inline int udp_port_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct udphdr* udp,struct iphdr *iph,struct nat_ip_port_info *ip_port_entry)
{
        uint32_t tmp_ip,old_ip,new_ip;
        uint16_t tmp_port;
        uint32_t new_port ,old_port;
        uint32_t  l3sum = 0;
        uint32_t  l4sum = 0;
        new_ip  = ip_port_entry->ip;
        uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));

        if(mac_entry)
        {
                uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

        struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
        reverse_tcp_port_key.ip =  iph->daddr;
        reverse_tcp_port_key.port =  ntohs(udp->source);
        reverse_tcp_port_value.ip = iph->saddr;
        reverse_tcp_port_value.port =  ntohs(udp->dest);

        bpf_map_update_elem(&reverse_port_map, (const void *)&reverse_tcp_port_key, (struct nat_ip_port_info *)&reverse_tcp_port_value, 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);

        old_port = (udp->dest);
        tmp_port = old_port;
        new_port = htons(ip_port_entry->port);
        udp->dest = htons(ip_port_entry->port);
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

        return 0;
}

static inline  int reverse_udp_port_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct udphdr* udp,struct iphdr *iph)
{
        uint32_t tmp_ip,new_ip,old_ip;
        uint16_t tmp_port;
        uint32_t l3sum = 0 ,l4sum = 0;
        uint32_t new_port,old_port;
        struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
        reverse_tcp_port_key.ip = iph->daddr;
        reverse_tcp_port_key.port = ntohs(udp->dest);
        struct nat_ip_port_info *ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &reverse_tcp_port_key);
        if(ip_port_entry)
        {
                tmp_ip = iph->daddr;
                uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                        uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_port = (udp->source);
                tmp_port = old_port;
                new_port = htons((uint16_t)ip_port_entry->port);
                udp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

                old_ip = iph->daddr;
                new_ip = ip_port_entry->ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;
}

static inline  int local_port_udp_dnat(struct __sk_buff *skb,struct udphdr* udp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;
        old_port = (udp->dest);
        dport = ntohs(udp->dest);
        tmp_port = ntohs(udp->source);
        new_port = htons(*port_entry);
        udp->dest = new_port;
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_map_update_elem(&reverse_local_port_map, (const void *)&(tmp_port), (const void *)&dport, 0);
        return 0;
}

static inline  int reverse_local_port_udp_dnat(struct __sk_buff *skb,struct udphdr* udp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;

        tmp_port = ntohs(udp->dest);
        uint16_t *reverse_port_entry = bpf_map_lookup_elem(&reverse_local_port_map, &tmp_port);
        if(reverse_port_entry)
        {
                old_port = (udp->source);
                new_port = htons(*port_entry);
                udp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        }

        return 0;
}
#endif

static inline int dnat(struct __sk_buff *skb)
{
        void *data_end = (void *)(unsigned long long)skb->data_end;
        void *data = (void *)(unsigned long long)skb->data;               
        uint32_t ipproto;
    uint32_t l4sum = 0;
    uint32_t new_ip ,old_ip;
    uint32_t new_port ,old_port;
    uint8_t *mac_entry = NULL;
        uint64_t nh_off;
    uint32_t  l3sum = 0;
    __u32 *ip_entry = NULL;
    struct ethhdr *eth = (struct ethhdr *)data;
    struct nat_ip_port_info *ip_port_entry = NULL;
    struct tcphdr* tcp = NULL;
    uint32_t flag = 0;
#if 1
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }


        struct iphdr *iph = data + nh_off;
        struct nat_ip_port_info ip_port_info;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }        

    
    if (iph->protocol == IPPROTO_TCP)
    {
        ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
        if(ip_entry)
        {
            if(*ip_entry != iph->daddr)
            {
            //    LOG("wireguard ingress tcp------========src ip%u==========dst ip%u===============\n",iph->saddr,iph->daddr);
                wireguard_tcp_snat(skb,iph,ip_entry);
                flag = 1;
                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                return 2;
            }
        }

        #if 0
        if(flag == 0)
        {
                ip_entry = bpf_map_lookup_elem(&nat_ip_map, &(iph->daddr));
                if(ip_entry)
                {
                        if(*ip_entry  != iph->saddr)
                        {
                                ip_tcp_dnat(skb,eth,iph,ip_entry);
                    flag = 1;
                        }
                        else
                        {
                                reserve_ip_tcp_dnat(skb,eth,iph,ip_entry);
                    flag = 1;
                        }
                }
        }

        if(flag == 0)
        {
                    tcp = (struct tcphdr*)(iph + 1);
                    if ((void *)(tcp + 1) > data_end)
                    {
                            return 0;
                    }

                    uint16_t tmp_port = ntohs(tcp->dest);
                    uint16_t *local_port_entry = NULL;
                    local_port_entry =  bpf_map_lookup_elem(&nat_local_port_map,(const void *)&tmp_port);
                    if(local_port_entry)
                    {
                            local_port_tcp_dnat(skb,tcp,local_port_entry);
                flag = 1;
                    }
                    else
                    {
                            struct nat_ip_port_info nat_ip_port_key;
                            nat_ip_port_key.port = ntohs(tcp->dest);
                            nat_ip_port_key.ip   = (iph->daddr);
                            ip_port_entry = bpf_map_lookup_elem(&nat_port_map,(const void *) &nat_ip_port_key);
                            if(ip_port_entry)
                            {
                                    tcp_port_ip_tcp_dnat(skb,eth,tcp,iph,ip_port_entry);
                    flag = 1; 
                            }
                            else
                            {
                                    nat_ip_port_key.port = ntohs(tcp->dest);
                                    nat_ip_port_key.ip   = (iph->daddr);
                                    ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &nat_ip_port_key);
                                    if(ip_port_entry)
                                    {
                                            reverse_tcp_port_ip_tcp_dnat(skb,eth,tcp,iph);
                        flag = 1;
                                    }
                               }
                    }
        }
        #endif
    }

    data_end = (void *)(unsigned long long)skb->data_end;
    data = (void *)(unsigned long long)skb->data;
    eth = (struct ethhdr *)data;
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }
    
        iph = data + nh_off;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }

    if (iph->protocol == IPPROTO_ICMP)
    {

                    ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
                //if(ip_entry && 134744072 != iph->saddr)
                if(ip_entry)
                {
                        if(*ip_entry != iph->daddr)
                        {
        //                      LOG("wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                                wireguard_icmp_snat(skb,iph,ip_entry);
                                flag = 1;
                                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                                return 2;
                        }
                }

    //    LOG("icmp ingress------icmp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr)
    }
        data_end = (void *)(unsigned long long)skb->data_end;
        data = (void *)(unsigned long long)skb->data;
        eth = (struct ethhdr *)data;
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }

        iph = data + nh_off;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }    

    if (iph->protocol == IPPROTO_UDP)
    {
    //    LOG("000000wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
                //if(ip_entry && 134744072 != iph->saddr)
        if(ip_entry)
                {
                        if(*ip_entry != iph->daddr)
                        {
    //            LOG("wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                                wireguard_udp_snat(skb,iph,ip_entry);
                                flag = 1;
                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                return 2;
                        }
                }
        #if 0
                if(flag == 0)
                {
                        ip_entry = bpf_map_lookup_elem(&nat_ip_map, &(iph->daddr));
                        if(ip_entry)
                        {
                                if(*ip_entry  != iph->saddr)
                                {
                                        ip_udp_dnat(skb,eth,iph,ip_entry);
                                        flag = 1;
                }
                else
                                {
                                        reserve_ip_udp_dnat(skb,eth,iph,ip_entry);
                                        flag = 1;
                                }
                        }
                }

                if(flag == 0)
                {
                        struct udphdr *udp = (struct udphdr*)(iph + 1);
                        if ((void *)(udp + 1) > data_end)
                        {
                                return 0;
                        }

                        uint16_t tmp_port = ntohs(udp->dest);
                        uint16_t *local_port_entry = NULL;
                        local_port_entry =  bpf_map_lookup_elem(&nat_local_port_map,(const void *)&tmp_port);
                        if(local_port_entry)
                        {
                                local_port_udp_dnat(skb,udp,local_port_entry);
                                flag = 1;
                        }
                        else
                        {
                                struct nat_ip_port_info nat_ip_port_key;
                                nat_ip_port_key.port = ntohs(udp->dest);
                                nat_ip_port_key.ip   = (iph->daddr);
                                ip_port_entry = bpf_map_lookup_elem(&nat_port_map,(const void *) &nat_ip_port_key);
                                if(ip_port_entry)
                                {
                                        udp_port_ip_udp_dnat(skb,eth,udp,iph,ip_port_entry);
                                        flag = 1;
                                }
                                else
                                {
                                        nat_ip_port_key.port = ntohs(udp->dest);
                                        nat_ip_port_key.ip   = (iph->daddr);
                                        ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &nat_ip_port_key);
                                        if(ip_port_entry)
                                        {
                                                reverse_udp_port_ip_udp_dnat(skb,eth,udp,iph);
                                                flag = 1;
                                        }
                                }
                        }
                }
        #endif        
    }
    
    
//    bpf_clone_redirect(skb, skb->ifindex, 0);
#endif
    return 0;
}


/* Test: Verify skb data can be modified */
SEC("test_rewrite_ingress")
int do_test_rewrite(struct __sk_buff *skb)
{
    return dnat(skb);

}
char _license[] SEC("license") = "GPL";
 

m0_59771039
关注
  • 20
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ebpf基础篇(二) ----- ebpf前世今生
happyAnger6的专栏
12-24 912
它提供了数据链路层的接口,可以在数据链路层发送和接收数据.如果网卡支持混杂模式,所有的数据包都可以被接收,即使这些数据包的目的地址是其它主机.安全是因为ebpf程序需要经过内核中验证器的验证,它可以进行静态代码分析,拒绝可能crash,hang或者对内核有负作用的代码.这些过滤指令实际上是由内核中运行的虚拟机执行的,这个内核中的虚拟机就是BPF的实现核心.这种验证模式和沙箱机器不同,沙箱的运行环境是有限制的,且对执行的程序没有了解能力.,程序可以关联到内核的多种hooks,并在事件触发时运行.
NAT类型检测
08-16
NAT类型分为几种,包括开放NAT、端口限制NAT和完全限制NAT,每种类型对网络连接的影响不同,尤其是在多人在线游戏、远程桌面访问和VoIP等需要稳定、低延迟的网络应用中。 1. 开放NAT(Full Cone NAT): 这是最宽松...
基于ebpf的防火墙--bpf-iptables
网络安全研究
11-18 4195
1. iptables iptables应用广泛,但是存在一些问题: 规则更新,需要重新创建所有规则 规则匹配效率O(n) 2. nftables nftables于2014年提出,目标是替代iptables,它仍然基于netfilter。 nftables集成了{ip,ip6,arp,eb}tables 在用户空间代码改进了规则匹配算法 但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。 3. bpf-iptabl
大规模微服务利器:eBPF 与 Kubernetes
Docker的专栏
09-24 1536
Daniel 是 eBPF 两位 maintainer 之一,目前在 eBPF commits 榜单上排名第一,也是 Cilium 的核心开发者之一。本文内容的时间跨度有 8 年,覆盖了...
擎创技术流 |如何使用eBPF监控NAT转换
智能运维及数据中台探索
01-02 935
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例:路由器,防火墙 NAT典型应用场景:在私有网络内部(园区,家庭)使用私有地址,出口设备部署NAT 对于从内到外的流量,网络设备通过NAT将数据包的源地址进行转换(转换为特定的公有地址),目标地址不变; 对于“从外到内”的流量则数据包的目的地址进行转换,源地址不变。
字节eBPF技术实战:加速容器网络转发,耗时降低60%+!
极客重生
08-03 509
背景Linux 具有功能丰富的网络协议栈,并且兼顾了非常优秀的性能。但是,这是相对的。单纯从网络协议栈各个子系统的角度来说,确实到了功能与性能的平衡。不过,当把多个子系统组合起来,去满足实际的业务需求,功能与性能的天平就会倾斜。容器网络就是非常典型的例子,早期的容器网络,利用 bridge、netfilter + iptables (或lvs)、veth等子系统的组合,实现了基本的网络转发;然而...
利用 eBPF 支撑大规模 Kubernetes Service
Docker的专栏
12-29 747
本文翻译自 2019 年 Daniel Borkmann 和 Martynas Pumputis 在 Linux Plumbers Conference 的一篇分享:《Making th...
使用 eBPF 技术跟踪 Netfilter 数据流
云原生实验室
08-30 754
1. 网络层数据流向与 Netfilter 体系图 1-1 为网络层内核收发核心流程图,在函数流程图中我们可以看到 Netfliter 在其中的位置(图中深色底纹圆角矩形)。图中对应的 h...
使用ebpf 监控linux内核中的nat转换
qq_32783703的博客
10-06 284
Linux NAT(Network Address Translation)转换是一种网络技术,用于将一个或多个私有网络内的IP地址转换为一个公共的IP地址,以便与互联网通信。在k8s业务场景中,业务组件之间的关系十分复杂.由于 Kubernetes 的网络模型假设Pod之间访问时使用的是对方Pod 的实际地址,所以一个Pod内部的应用程序看到的自己的IP地址和端口与集群内其他Pod看到的一样。它们都是Pod实际分配的IP地址。
nat测试工具
03-13
NAT类型通常分为几种,包括严格NAT(Symmetric NAT)、端口限制NAT(Port-restricted NAT)、锥形NAT(Cone NAT)和全锥形NAT(Full Cone NAT)。不同类型的NAT会影响网络设备之间的通信方式,尤其是对于需要P2P(点...
nat测试类型
11-10
NAT(Network Address Translation,网络地址转换)是网络通信中的一种技术,主要用于解决IP地址短缺问题,同时也提供了网络隐私保护和网络安全隔离的功能。在标题提到的"nat测试类型"中,我们主要关注的是NAT的工作...
基于eBPF/XDP实现conntrack功能
06-19
连接跟踪(conntrack)是网络应用非常非常的基础,比如有状态防火墙 (firewall),网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后...
NAT.rar_nat
09-24
本资料"**NAT.rar_nat**"重点讲解了NAT的原理、类型以及如何探测和穿越NAT。 ### 1. NAT的基本概念 网络地址转换(Network Address Translation)是一种网络技术,它允许一个网络内的设备使用非全球唯一的私有IP...
NAT实验报告
04-16
### NAT实验报告知识点详解 #### 一、实验背景与目的 本实验旨在通过构建一个包含华为设备的网络环境,深入理解并实践网络地址转换(NAT)技术,特别是动态NAT的应用场景及其配置方法。通过本实验,我们不仅能够掌握...
配置静态动态NAT实验
最新发布
05-24
### 配置静态动态NAT实验 #### 实验目的 本次实验旨在通过实践操作加深对网络地址转换(Network Address Translation, NAT)的理解,掌握静态NAT和动态NAT的配置方法,以及学会如何验证NAT配置的有效性。通过本...
NAT配置示例
01-07
NAT配置示例NAT配置示NAT配置示例NAT配置示例NAT配置示例NAT配置示例例
nat穿透测试工具
03-08
nat穿透辅助测试工具,方便侦察自身nat类型,便捷好用。
NAT检测工具.zip
11-25
NAT(Network Address Translation,网络地址转换)是网络通信中常用的一种技术,它允许一个或多个内部网络设备共享一个公共的IP地址访问外部网络。在本文中,我们将深入探讨NAT检测工具及其在开发P2P(peer-to-peer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值