ebpf nat

最新推荐文章于 2024-07-21 23:10:47 发布
最新推荐文章于 2024-07-21 23:10:47 发布
阅读量584 收藏 5
点赞数 20
文章标签: 单片机 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59771039/article/details/137519197
版权

#include <uapi/linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/icmp.h>
#include <stdio.h>
#include <inttypes.h>
#include <unistd.h>
#include <sys/time.h>

#include <netinet/in.h>
#include <time.h>
#include <uapi/linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/in.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <time.h>
#include <linux/udp.h>
#include "bpf_helpers.h"
#include "bpf_helpers.h"

#define PIN_GLOBAL_NS           2
#define uint8_t  char
#define uint16_t  unsigned short
#define uint32_t unsigned int
#define uint64_t unsigned long

#define IS_PSEUDO 0x10
#define TCP_DPORT_OFF        (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, dest))
#define IP_CSUM_OFFSET       (sizeof(struct ethhdr) + offsetof(struct iphdr, check))
#define TCP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct tcphdr, check))
#define UDP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct udphdr, check))
#define ICMP_CSUM_OFFSET      (sizeof(struct ethhdr) + sizeof(struct iphdr) + offsetof(struct icmphdr, checksum))

#define IP_CSUM_OFF          (ETH_HLEN + offsetof(struct iphdr, check))
#define TOS_OFF              (ETH_HLEN + offsetof(struct iphdr, tos))
#define TCP_CSUM_OFF         (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, check))
#define IP_PROTO_OFF offsetof(struct iphdr, protocol)


#define IP_SRC_OFF (ETH_HLEN + offsetof(struct iphdr, saddr))
#define IP_DST_OFF (ETH_HLEN + offsetof(struct iphdr, daddr))

#define LOG(fmt, ...) bpf_printk(fmt "\n", ##__VA_ARGS__)
#define MAX_ELEM 10000

struct nat_info {
    uint32_t src_ip;
    uint32_t dst_ip;
};

struct nat_ip_port_info {
    __u32 port;
        __u32 ip;
    
};

struct bpf_elf_map {
        __u32 type;
        __u32 size_key;
        __u32 size_value;
        __u32 max_elem;
        __u32 flags;
        __u32 id;
        __u32 pinning;
};

struct nat_gateway_mac{
        uint8_t mac0;
        uint8_t mac1;
    uint8_t mac2;
    uint8_t mac3;
    uint8_t mac4;
    uint8_t mac5;
};

#if 0
struct bpf_elf_map SEC("maps") gateway_mac_map = {
    .type = BPF_MAP_TYPE_HASH,
    .size_key = sizeof(__u32),
    .size_value = sizeof(struct nat_gateway_mac),
    .pinning        = PIN_GLOBAL_NS,
    .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_info),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_nat_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_info),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};


struct bpf_elf_map SEC("maps") nat_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_ip_port_info),
        .size_value = sizeof(struct nat_ip_port_info),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(struct nat_ip_port_info),
        .size_value = sizeof(struct nat_ip_port_info),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") srcip_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_ip_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") nat_local_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u16),
        .size_value = sizeof(__u16),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};

struct bpf_elf_map SEC("maps") reverse_local_port_map = {
        .type = BPF_MAP_TYPE_HASH,
        .size_key = sizeof(__u16),
        .size_value = sizeof(__u16),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = MAX_ELEM,
};
#endif
struct bpf_elf_map SEC("maps") reverse_wireguard_map = {
        .type = BPF_MAP_TYPE_LRU_HASH,
        .size_key = sizeof(__u32),
        .size_value = sizeof(__u32),
        .pinning        = PIN_GLOBAL_NS,
        .max_elem = 10000,
};

#define TCP_SPORT_OFF (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, source))
#define TCP_DPORT_OFF (ETH_HLEN + sizeof(struct iphdr) + offsetof(struct tcphdr, dest))

#if 0
static inline int ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
        uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        __u32 *action_entry = NULL;
    
        uint32_t tmp_ip;
        uint16_t tmp_port;
       
    new_ip = *ip_entry;
        mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
        if(mac_entry)
        {
            uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

                        // __builtin_memcpy(eth->h_dest, dst_mac, ETH_ALEN);

        bpf_map_update_elem(&srcip_map, (const void *)&(iph->daddr), (__u32 *)&(iph->saddr), 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);


        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

    return 0;
}

static inline int reserve_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
    uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
    uint32_t tmp_ip;
        uint16_t tmp_port;
        __u32 * action_entry = bpf_map_lookup_elem(&srcip_map, &(iph->daddr));
        if(action_entry)
        {
            tmp_ip = iph->daddr;
                //uint8_t src_mac[ETH_ALEN] = {0x52,0x54,0x96,0x7b,0xd1,0xe4};
                //uint8_t dst_mac[ETH_ALEN] = {0x52,0x54,0x96,0xcd,0x9c,0x24};
                 uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                       uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }
        
                old_ip = iph->daddr;
                new_ip = *action_entry;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
    }

    return 0;
}

static inline int tcp_port_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct tcphdr* tcp,struct iphdr *iph,struct nat_ip_port_info *ip_port_entry)
{
    uint32_t tmp_ip,old_ip,new_ip;
        uint16_t tmp_port;
    uint32_t new_port ,old_port;
    uint32_t  l3sum = 0;
    uint32_t  l4sum = 0;
        new_ip  = ip_port_entry->ip;
        uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
    
    if(mac_entry)
        {
            uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

    struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
    reverse_tcp_port_key.ip =  iph->daddr;
    reverse_tcp_port_key.port =  ntohs(tcp->source);
    reverse_tcp_port_value.ip = iph->saddr;
    reverse_tcp_port_value.port =  ntohs(tcp->dest);

    bpf_map_update_elem(&reverse_port_map, (const void *)&reverse_tcp_port_key, (struct nat_ip_port_info *)&reverse_tcp_port_value, 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);

        old_port = (tcp->dest);
        tmp_port = old_port;
        new_port = htons(ip_port_entry->port);
        tcp->dest = htons(ip_port_entry->port);
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

    return 0;
}

static inline  int reverse_tcp_port_ip_tcp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct tcphdr* tcp,struct iphdr *iph)
{
        uint32_t tmp_ip,new_ip,old_ip;
        uint16_t tmp_port;
    uint32_t l3sum = 0 ,l4sum = 0;
    uint32_t new_port,old_port;
    struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
    reverse_tcp_port_key.ip = iph->daddr;
    reverse_tcp_port_key.port = ntohs(tcp->dest);
        struct nat_ip_port_info *ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &reverse_tcp_port_key);
        if(ip_port_entry)
        {
            tmp_ip = iph->daddr;
                uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                    uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_port = (tcp->source);
                tmp_port = old_port;
                new_port = htons((uint16_t)ip_port_entry->port);
        tcp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
                
                old_ip = iph->daddr;
                new_ip = ip_port_entry->ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }
    
    return 0;
}

static inline  int local_port_tcp_dnat(struct __sk_buff *skb,struct tcphdr* tcp,__u16 *port_entry)
{
    uint16_t tmp_port,dport;
    uint32_t new_port,old_port;
    uint32_t l4sum = 0;
    old_port = (tcp->dest);
    dport = ntohs(tcp->dest);
    tmp_port = ntohs(tcp->source);
    new_port = htons(*port_entry);
    tcp->dest = new_port;
    l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
    bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
    bpf_map_update_elem(&reverse_local_port_map, (const void *)&(tmp_port), (const void *)&dport, 0);
    return 0;
}

static inline  int reverse_local_port_tcp_dnat(struct __sk_buff *skb,struct tcphdr* tcp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;
    
    tmp_port = ntohs(tcp->dest);
    uint16_t *reverse_port_entry = bpf_map_lookup_elem(&reverse_local_port_map, &tmp_port);
    if(reverse_port_entry)
    {
        old_port = (tcp->source);
        new_port = htons(*port_entry);
        tcp->source = new_port;
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
        bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l4sum, 0);
    }
   
        return 0;
}
#endif
static inline int wireguard_tcp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
    __u32 old_ip,new_ip;
    uint32_t l3sum = 0;
    //LOG("00dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
            old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, TCP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
          //      LOG("11dnat------===========%u==========%u============",src,tmp_ip);
        }

    return 0;
}

static inline int wireguard_udp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
        __u32 old_ip,new_ip;
        uint32_t l3sum = 0;
       // LOG("00udp  dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
                old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
         //       LOG("11dnat------===========%u==========%u============",src,tmp_ip);
        }

        return 0;
}

static inline int wireguard_icmp_snat(struct __sk_buff *skb,struct iphdr *iph,__u32 *ip_entry)
{
        __u32 old_ip,new_ip;
        uint32_t l3sum = 0;
       // LOG("00udp  dnat------=====================%u============",*ip_entry);
        __u32 tmp_ip = *ip_entry;
        if(tmp_ip  != iph->daddr)
        {
                old_ip = iph->daddr;
                new_ip = tmp_ip;
                __u32 src = iph->saddr;
                l3sum = 0;
                iph->daddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, ICMP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;    
}

#if 0
static inline int ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
        uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        __u32 *action_entry = NULL;

        uint32_t tmp_ip;
        uint16_t tmp_port;

        new_ip = *ip_entry;
        mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
        if(mac_entry)
        {
                uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

                        // __builtin_memcpy(eth->h_dest, dst_mac, ETH_ALEN);

        bpf_map_update_elem(&srcip_map, (const void *)&(iph->daddr), (__u32 *)&(iph->saddr), 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);


        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

        return 0;
}

static inline int reserve_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct iphdr *iph,__u32 *ip_entry)
{
         uint32_t l4sum = 0;
        uint32_t new_ip ,old_ip;
        uint32_t new_port ,old_port;
        uint8_t *mac_entry = NULL;
        uint64_t nh_off;
        uint32_t  l3sum = 0;
        uint32_t tmp_ip;
        uint16_t tmp_port;
        __u32 * action_entry = bpf_map_lookup_elem(&srcip_map, &(iph->daddr));
        if(action_entry)
        {
                tmp_ip = iph->daddr;
                //uint8_t src_mac[ETH_ALEN] = {0x52,0x54,0x96,0x7b,0xd1,0xe4};
                //uint8_t dst_mac[ETH_ALEN] = {0x52,0x54,0x96,0xcd,0x9c,0x24};
                 uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                        uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_ip = iph->daddr;
                new_ip = *action_entry;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;
}

static inline int udp_port_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct udphdr* udp,struct iphdr *iph,struct nat_ip_port_info *ip_port_entry)
{
        uint32_t tmp_ip,old_ip,new_ip;
        uint16_t tmp_port;
        uint32_t new_port ,old_port;
        uint32_t  l3sum = 0;
        uint32_t  l4sum = 0;
        new_ip  = ip_port_entry->ip;
        uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));

        if(mac_entry)
        {
                uint8_t *gateway_mac = mac_entry;
                eth->h_dest[0] = gateway_mac[0];
                eth->h_dest[1] = gateway_mac[1];
                eth->h_dest[2] = gateway_mac[2];
                eth->h_dest[3] = gateway_mac[3];
                eth->h_dest[4] = gateway_mac[4];
                eth->h_dest[5] = gateway_mac[5];
        }

        struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
        reverse_tcp_port_key.ip =  iph->daddr;
        reverse_tcp_port_key.port =  ntohs(udp->source);
        reverse_tcp_port_value.ip = iph->saddr;
        reverse_tcp_port_value.port =  ntohs(udp->dest);

        bpf_map_update_elem(&reverse_port_map, (const void *)&reverse_tcp_port_key, (struct nat_ip_port_info *)&reverse_tcp_port_value, 0);
        old_ip = (iph->daddr);
        tmp_ip = old_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
        iph->daddr = (new_ip);

        old_ip = iph->saddr;
        new_ip  = tmp_ip;
        iph->saddr = tmp_ip;
        l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);

        old_port = (udp->dest);
        tmp_port = old_port;
        new_port = htons(ip_port_entry->port);
        udp->dest = htons(ip_port_entry->port);
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);

        return 0;
}

static inline  int reverse_udp_port_ip_udp_dnat(struct __sk_buff *skb,struct ethhdr *eth,struct udphdr* udp,struct iphdr *iph)
{
        uint32_t tmp_ip,new_ip,old_ip;
        uint16_t tmp_port;
        uint32_t l3sum = 0 ,l4sum = 0;
        uint32_t new_port,old_port;
        struct nat_ip_port_info reverse_tcp_port_key,reverse_tcp_port_value;
        reverse_tcp_port_key.ip = iph->daddr;
        reverse_tcp_port_key.port = ntohs(udp->dest);
        struct nat_ip_port_info *ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &reverse_tcp_port_key);
        if(ip_port_entry)
        {
                tmp_ip = iph->daddr;
                uint8_t *mac_entry = bpf_map_lookup_elem(&gateway_mac_map, &(iph->daddr));
                if(mac_entry)
                {
                        uint8_t *gateway_mac = mac_entry;
                        eth->h_dest[0] = gateway_mac[0];
                        eth->h_dest[1] = gateway_mac[1];
                        eth->h_dest[2] = gateway_mac[2];
                        eth->h_dest[3] = gateway_mac[3];
                        eth->h_dest[4] = gateway_mac[4];
                        eth->h_dest[5] = gateway_mac[5];
                }

                old_port = (udp->source);
                tmp_port = old_port;
                new_port = htons((uint16_t)ip_port_entry->port);
                udp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);

                old_ip = iph->daddr;
                new_ip = ip_port_entry->ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                iph->daddr = new_ip;

                old_ip = iph->saddr;
                new_ip = tmp_ip;
                iph->saddr = new_ip;
                l3sum = bpf_csum_diff(&old_ip, 4, &new_ip, 4, l3sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l3sum, IS_PSEUDO | 0);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
                bpf_l3_csum_replace(skb, IP_CSUM_OFFSET , 0, l3sum, 0);
        }

        return 0;
}

static inline  int local_port_udp_dnat(struct __sk_buff *skb,struct udphdr* udp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;
        old_port = (udp->dest);
        dport = ntohs(udp->dest);
        tmp_port = ntohs(udp->source);
        new_port = htons(*port_entry);
        udp->dest = new_port;
        l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
        bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        bpf_map_update_elem(&reverse_local_port_map, (const void *)&(tmp_port), (const void *)&dport, 0);
        return 0;
}

static inline  int reverse_local_port_udp_dnat(struct __sk_buff *skb,struct udphdr* udp,__u16 *port_entry)
{
        uint16_t tmp_port,dport;
        uint32_t new_port,old_port;
        uint32_t l4sum = 0;

        tmp_port = ntohs(udp->dest);
        uint16_t *reverse_port_entry = bpf_map_lookup_elem(&reverse_local_port_map, &tmp_port);
        if(reverse_port_entry)
        {
                old_port = (udp->source);
                new_port = htons(*port_entry);
                udp->source = new_port;
                l4sum = bpf_csum_diff(&old_port, 4, &new_port, 4, l4sum);
                bpf_l4_csum_replace(skb, UDP_CSUM_OFFSET, 0, l4sum, 0);
        }

        return 0;
}
#endif

static inline int dnat(struct __sk_buff *skb)
{
        void *data_end = (void *)(unsigned long long)skb->data_end;
        void *data = (void *)(unsigned long long)skb->data;               
        uint32_t ipproto;
    uint32_t l4sum = 0;
    uint32_t new_ip ,old_ip;
    uint32_t new_port ,old_port;
    uint8_t *mac_entry = NULL;
        uint64_t nh_off;
    uint32_t  l3sum = 0;
    __u32 *ip_entry = NULL;
    struct ethhdr *eth = (struct ethhdr *)data;
    struct nat_ip_port_info *ip_port_entry = NULL;
    struct tcphdr* tcp = NULL;
    uint32_t flag = 0;
#if 1
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }


        struct iphdr *iph = data + nh_off;
        struct nat_ip_port_info ip_port_info;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }        

    
    if (iph->protocol == IPPROTO_TCP)
    {
        ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
        if(ip_entry)
        {
            if(*ip_entry != iph->daddr)
            {
            //    LOG("wireguard ingress tcp------========src ip%u==========dst ip%u===============\n",iph->saddr,iph->daddr);
                wireguard_tcp_snat(skb,iph,ip_entry);
                flag = 1;
                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                return 2;
            }
        }

        #if 0
        if(flag == 0)
        {
                ip_entry = bpf_map_lookup_elem(&nat_ip_map, &(iph->daddr));
                if(ip_entry)
                {
                        if(*ip_entry  != iph->saddr)
                        {
                                ip_tcp_dnat(skb,eth,iph,ip_entry);
                    flag = 1;
                        }
                        else
                        {
                                reserve_ip_tcp_dnat(skb,eth,iph,ip_entry);
                    flag = 1;
                        }
                }
        }

        if(flag == 0)
        {
                    tcp = (struct tcphdr*)(iph + 1);
                    if ((void *)(tcp + 1) > data_end)
                    {
                            return 0;
                    }

                    uint16_t tmp_port = ntohs(tcp->dest);
                    uint16_t *local_port_entry = NULL;
                    local_port_entry =  bpf_map_lookup_elem(&nat_local_port_map,(const void *)&tmp_port);
                    if(local_port_entry)
                    {
                            local_port_tcp_dnat(skb,tcp,local_port_entry);
                flag = 1;
                    }
                    else
                    {
                            struct nat_ip_port_info nat_ip_port_key;
                            nat_ip_port_key.port = ntohs(tcp->dest);
                            nat_ip_port_key.ip   = (iph->daddr);
                            ip_port_entry = bpf_map_lookup_elem(&nat_port_map,(const void *) &nat_ip_port_key);
                            if(ip_port_entry)
                            {
                                    tcp_port_ip_tcp_dnat(skb,eth,tcp,iph,ip_port_entry);
                    flag = 1; 
                            }
                            else
                            {
                                    nat_ip_port_key.port = ntohs(tcp->dest);
                                    nat_ip_port_key.ip   = (iph->daddr);
                                    ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &nat_ip_port_key);
                                    if(ip_port_entry)
                                    {
                                            reverse_tcp_port_ip_tcp_dnat(skb,eth,tcp,iph);
                        flag = 1;
                                    }
                               }
                    }
        }
        #endif
    }

    data_end = (void *)(unsigned long long)skb->data_end;
    data = (void *)(unsigned long long)skb->data;
    eth = (struct ethhdr *)data;
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }
    
        iph = data + nh_off;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }

    if (iph->protocol == IPPROTO_ICMP)
    {

                    ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
                //if(ip_entry && 134744072 != iph->saddr)
                if(ip_entry)
                {
                        if(*ip_entry != iph->daddr)
                        {
        //                      LOG("wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                                wireguard_icmp_snat(skb,iph,ip_entry);
                                flag = 1;
                                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                                return 2;
                        }
                }

    //    LOG("icmp ingress------icmp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr)
    }
        data_end = (void *)(unsigned long long)skb->data_end;
        data = (void *)(unsigned long long)skb->data;
        eth = (struct ethhdr *)data;
        nh_off = sizeof(*eth);
        if ((void *)data + nh_off > data_end) {
                return 2;
        }

        iph = data + nh_off;
        if ((void *)iph + sizeof(*iph) > data_end)
        {
                return 2;
        }    

    if (iph->protocol == IPPROTO_UDP)
    {
    //    LOG("000000wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                ip_entry = bpf_map_lookup_elem(&reverse_wireguard_map, &(iph->saddr));
                //if(ip_entry && 134744072 != iph->saddr)
        if(ip_entry)
                {
                        if(*ip_entry != iph->daddr)
                        {
    //            LOG("wireguard ingress------udp=======src ip%u========dst ip%u==================\n",iph->saddr,iph->daddr);
                                wireguard_udp_snat(skb,iph,ip_entry);
                                flag = 1;
                bpf_clone_redirect(skb, skb->ifindex, 1);
                //bpf_redirect(skb->ifindex, 1);
                return 2;
                        }
                }
        #if 0
                if(flag == 0)
                {
                        ip_entry = bpf_map_lookup_elem(&nat_ip_map, &(iph->daddr));
                        if(ip_entry)
                        {
                                if(*ip_entry  != iph->saddr)
                                {
                                        ip_udp_dnat(skb,eth,iph,ip_entry);
                                        flag = 1;
                }
                else
                                {
                                        reserve_ip_udp_dnat(skb,eth,iph,ip_entry);
                                        flag = 1;
                                }
                        }
                }

                if(flag == 0)
                {
                        struct udphdr *udp = (struct udphdr*)(iph + 1);
                        if ((void *)(udp + 1) > data_end)
                        {
                                return 0;
                        }

                        uint16_t tmp_port = ntohs(udp->dest);
                        uint16_t *local_port_entry = NULL;
                        local_port_entry =  bpf_map_lookup_elem(&nat_local_port_map,(const void *)&tmp_port);
                        if(local_port_entry)
                        {
                                local_port_udp_dnat(skb,udp,local_port_entry);
                                flag = 1;
                        }
                        else
                        {
                                struct nat_ip_port_info nat_ip_port_key;
                                nat_ip_port_key.port = ntohs(udp->dest);
                                nat_ip_port_key.ip   = (iph->daddr);
                                ip_port_entry = bpf_map_lookup_elem(&nat_port_map,(const void *) &nat_ip_port_key);
                                if(ip_port_entry)
                                {
                                        udp_port_ip_udp_dnat(skb,eth,udp,iph,ip_port_entry);
                                        flag = 1;
                                }
                                else
                                {
                                        nat_ip_port_key.port = ntohs(udp->dest);
                                        nat_ip_port_key.ip   = (iph->daddr);
                                        ip_port_entry = bpf_map_lookup_elem(&reverse_port_map, &nat_ip_port_key);
                                        if(ip_port_entry)
                                        {
                                                reverse_udp_port_ip_udp_dnat(skb,eth,udp,iph);
                                                flag = 1;
                                        }
                                }
                        }
                }
        #endif        
    }
    
    
//    bpf_clone_redirect(skb, skb->ifindex, 0);
#endif
    return 0;
}


/* Test: Verify skb data can be modified */
SEC("test_rewrite_ingress")
int do_test_rewrite(struct __sk_buff *skb)
{
    return dnat(skb);

}
char _license[] SEC("license") = "GPL";
 

m0_59771039
关注
  • 20
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ebpf
techtitan的专栏
05-15 111
参考资料 https://blog.csdn.net/Rong_Toa/article/details/108993870 字节总结 https://kernel.taobao.org/2019/05/bcc_to_xdp/ 阿里总结
NAT类型检测
08-16
NAT类型分为几种,包括开放NAT、端口限制NAT和完全限制NAT,每种类型对网络连接的影响不同,尤其是在多人在线游戏、远程桌面访问和VoIP等需要稳定、低延迟的网络应用中。 1. 开放NAT(Full Cone NAT): 这是最宽松...
擎创技术流 |如何使用eBPF监控NAT转换
智能运维及数据中台探索
01-02 932
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例:路由器,防火墙 NAT典型应用场景:在私有网络内部(园区,家庭)使用私有地址,出口设备部署NAT 对于从内到外的流量,网络设备通过NAT将数据包的源地址进行转换(转换为特定的公有地址),目标地址不变; 对于“从外到内”的流量则数据包的目的地址进行转换,源地址不变。
利用 eBPF 支撑大规模 Kubernetes Service
Docker的专栏
12-29 745
本文翻译自 2019 年 Daniel Borkmann 和 Martynas Pumputis 在 Linux Plumbers Conference 的一篇分享:《Making th...
使用 eBPF 技术跟踪 Netfilter 数据流
云原生实验室
08-30 752
1. 网络层数据流向与 Netfilter 体系图 1-1 为网络层内核收发核心流程图,在函数流程图中我们可以看到 Netfliter 在其中的位置(图中深色底纹圆角矩形)。图中对应的 h...
nat测试工具
03-13
NAT类型通常分为几种,包括严格NAT(Symmetric NAT)、端口限制NAT(Port-restricted NAT)、锥形NAT(Cone NAT)和全锥形NAT(Full Cone NAT)。不同类型的NAT会影响网络设备之间的通信方式,尤其是对于需要P2P(点...
nat测试类型
11-10
NAT(Network Address Translation,网络地址转换)是网络通信中的一种技术,主要用于解决IP地址短缺问题,同时也提供了网络隐私保护和网络安全隔离的功能。在标题提到的"nat测试类型"中,我们主要关注的是NAT的工作...
基于eBPF/XDP实现conntrack功能
06-19
连接跟踪(conntrack)是网络应用非常非常的基础,比如有状态防火墙 (firewall),网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后...
NAT.rar_nat
09-24
本资料"**NAT.rar_nat**"重点讲解了NAT的原理、类型以及如何探测和穿越NAT。 ### 1. NAT的基本概念 网络地址转换(Network Address Translation)是一种网络技术,它允许一个网络内的设备使用非全球唯一的私有IP...
stm32入门-----TIM定时器(PWM输出比较——下)
最新发布
m0_73633088的博客
07-21 480
stm32入门-----TIM定时器(PWM输出比较——上)-CSDN博客)这里就分为三个部分的项目,分别是PWM驱动LED呼吸灯,PWM驱动直流电机转动和PWM驱动舵机。[6-4] PWM驱动LED呼吸灯&PWM驱动舵机&PWM驱动直流电机_哔哩哔哩_bilibili舵机是一种根据输入PWM信号占空比来控制输出角度的装置输入PWM信号要求:周期为20ms,高电平宽度为。
MCU常见相关术语缩写说明
GY3509
07-17 455
MCU常见相关术语缩写说明
TIM基本定时器
weixin_73497355的博客
07-18 974
stm32基本定时器详解。
MSPM0GXX单片机内部比较器深度解析
weixin_43719763的博客
07-21 606
本文仅以TI公司生产的MSPM0GXX单片机为例,对其内部比较器的作用,使用场景,原理进行分析和讲解。
ARM体系结构和接口技术(十)按键中断实验
weixin_44254079的博客
07-21 795
ARM,异常处理
STM32学习历程(day6)
weixin_60039521的博客
07-10 1068
学好GPIO外设的使用方法 后面的这些外设使用起来都大差不差 而且ARM公司提供的库函数的函数注释也很详细 感觉最主要的就是要学会看框图 知道自己的工程需要哪些外设 然后他的电路图如何走 跟着一步步初始化和使能就可以。
ARM体系结构和接口技术(六)KEY按键实验① 按键轮询检测
weixin_44254079的博客
07-18 275
arm 按键
单片机原理及技术(五)—— 单片机与开关、键盘以及显示器件的接口设计(C51编程)
歆歆~黯了
07-21 674
单片机控制发光二极管显示、开关状态检测、单片机控制LED数码管的显示、按键式键盘
stm32学习:(寄存器2)GPIO总体说明
weixin_59669309的博客
07-17 931
STM32有多组GPIO,比如我们使用的芯片:共有7组GPIO端口,他们分别是GPIOxx从A-G),16个引脚,共有112个GPIO引脚。具体一个其他STM32芯片有多少组GPIO,可以去查看他们的对应的。每个引脚的电平是0-3.3V,部分引脚最高可以兼容到5V。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值