Linux4.4.0-21内核版本下一个简单的netfilter实例源码

最新推荐文章于 2023-06-23 17:32:22 发布
最新推荐文章于 2023-06-23 17:32:22 发布
阅读量894 收藏 1
点赞数
分类专栏: 【Linux内核&驱动&内核模块】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paradox_1_0/article/details/103099029
版权

本实例其实是《Linux网络编程》第二版第17章的一个netfilter框架的演示实例,但是在新版本内核下因为一些数据结构和常量定义名的调整是不能编译通过的。这里是在4.4.0-21内核版本下经过一些细节修改以及自己编写的用户态设置套接字选项的代码。

test.c

#include <linux/netfilter_ipv4.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/skbuff.h>
#include <linux/ip.h>					/*IP头部结构*/
#include <net/tcp.h> 				/*TCP头部结构*/
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include "nf_sockopte.h"
/* 版权声明*/
MODULE_LICENSE("Dual BSD/GPL");


/*
NOTE:linux内核4.0版本之后一些数据结构的定义已经完全不一样了
*/


/* NF初始化状态宏 */
#define NF_SUCCESS 0
#define NF_FAILURE 1
/* 初始化绑定状态 */
band_status b_status ;
/* 快速绑定操作宏*/
/* 判断是否禁止TCP的端口 */
#define IS_BANDPORT_TCP(status)( status.band_port.port != 0 && status.band_port.protocol == IPPROTO_TCP)
/* 判断是否禁止UDP端口 */
#define IS_BANDPORT_UDP(status)( status.band_port.port != 0 && status.band_port.protocol == IPPROTO_UDP)
/* 判断端是否禁止 PING */
#define IS_BANDPING(status)( status.band_ping )
/* 判断是否禁止IP协议 */
#define IS_BANDIP(status)( status.band_ip )

typedef struct tag_pseudo_header{

	uint32_t source_address;	//源IP地址
	uint32_t dest_address;		//目的IP地址
	uint8_t placeholder;		//必须置0,用于填充对齐
	uint8_t protocol;			//8为协议号(IPPROTO_TCP=6,IPPROTO_UDP=17)
	uint16_t tcplength;			//UDP/TCP头长度(不包含数据部分)

} PseudoHeader_S;


static unsigned short do_csum(const unsigned char *buff, int len)
{
	register unsigned long sum = 0;
	int swappem = 0;
	if (1 & (unsigned long)buff){
		
		sum = *buff<<8;
		buff++;
		len--;
		++swappem;
	}
	
	while(len > 1){
		
		sum += *(unsigned short *)buff;
		buff += 2;
		len -= 2;
	}
	
	if(len > 0){
	
		sum += *buff;
	}
	
	while(sum >> 16){
		
		sum = (sum & 0xffff) + (sum >> 16);
	}
	
	if(swappem)
		sum = ((sum & 0xff00)>>8) +((sum & 0x00ff)<<8);
	return (~sum);
}


/* nf sock 选项扩展操作*/
static int 
nf_sockopt_set(struct sock *sock, 
	int cmd, 
	void __user *user, 
	unsigned int len)
{
	int ret = 0;
	struct band_status status;
	
	/* 权限检查 */
	if(!capable(CAP_NET_ADMIN))				/*没有足够权限*/
	{
		ret = -EPERM;
		goto ERROR;
	}
	/* 从用户空间复制数据*/
	ret = copy_from_user(&status, user,len);
	if(ret != 0)								/*复制数据失败*/
	{
		ret = -EINVAL;
		goto ERROR;
	}
	
	/* 命令类型 */
	switch(cmd)
	{
		case SOE_BANDIP:							/*禁止IP协议*/
			/* 设置禁止IP协议 */
			if(IS_BANDIP(status))					/*设置禁止IP协议*/
				b_status.band_ip = status.band_ip;
			else									/*取消禁止*/
				b_status.band_ip = 0;
	
			break;
		case SOE_BANDPORT:						/*禁止端口*/
			/* 设置端口禁止和相关的协议类型 */
			if(IS_BANDPORT_TCP(status))				/*禁止TCP*/
			{
				b_status.band_port.protocol = IPPROTO_TCP;
				b_status.band_port.port = status.band_port.port;
			}
			else if(IS_BANDPORT_UDP(status))			/*禁止UDP*/
			{
				b_status.band_port.protocol = IPPROTO_UDP;
				b_status.band_port.port = status.band_port.port;
			}
			else									/*其他*/
			{
				b_status.band_port.protocol = 0;
				b_status.band_port.port = 0;
			}
			
			break;
		case SOE_BANDPING:								/*禁止ping*/
			if(IS_BANDPING(status))								/*禁止PING*/
			{
				b_status.band_ping = 1;
			}
			else 									/*取消禁止*/
			{
				b_status.band_ping = 0;
			}
			
			break;
		default:									/*其他为错误命令*/
			ret = -EINVAL;
			break;
	}
	
ERROR:
	return ret;
}
/* nf sock 操作扩展命令操作*/
static int 
nf_sockopt_get(struct sock *sock, 
	int cmd, 
	void __user *user, 
	unsigned int len)
{
	int ret = 0;
	
	/* 权限检查*/
	if(!capable(CAP_NET_ADMIN))							/*没有权限*/
	{
		ret = -EPERM;
		goto ERROR;
	}	
	
														/* 将数据从内核空间复制到用户空间 */
	switch(cmd)
	{
		case SOE_BANDIP:
		case SOE_BANDPORT:
		case SOE_BANDPING:
			/*复制数据*/
			ret = copy_to_user(user, &b_status,len);
			if(ret != 0)								/*复制数据失败*/
			{
				ret = -EINVAL;
				goto ERROR;
			}
			break;
		default:
			ret = -EINVAL;
			break;
	}
	
ERROR:
	return ret;
}
/* 在LOCAL_OUT上挂接钩子 */
static unsigned int nf_hook_out(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
	struct sk_buff *sk = skb;
	struct iphdr *iph = ip_hdr(sk);
	
	if(IS_BANDIP(b_status))							/*判断是否禁止IP协议*/
	{
		if(b_status.band_ip == iph->saddr)			/*IP地址符合*/
		{
			return NF_DROP;							/*丢弃该网络报文*/
		}
	}
	
	return NF_ACCEPT;
}
/* 在LOCAL_IN挂接钩子 */
static unsigned int nf_hook_in(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
	struct sk_buff *sk = skb;
	struct iphdr *iph = ip_hdr(sk);
	unsigned int src_ip = iph->saddr;
	struct tcphdr *tcph = NULL;
	struct udphdr *udph = NULL;
	
	switch(iph->protocol)									/*IP协议类型*/
	{
		case IPPROTO_TCP:									/*TCP协议*/
															/*丢弃禁止端口的TCP数据*/
			if(IS_BANDPORT_TCP(b_status))
			{
				tcph = tcp_hdr(sk);							/*获得TCP头*/
				if(tcph->dest == b_status.band_port.port)	/*端口匹配*/
				{
					return NF_DROP;							/*丢弃该数据*/
				}
			}
			
			break;
		case IPPROTO_UDP:									/*UDP协议*/
															/*丢弃UDP数据*/
			if(IS_BANDPORT_UDP(b_status))					/*设置了丢弃UDP协议*/
			{
				udph = udp_hdr(sk);							/*UDP头部*/
				if(udph->dest == b_status.band_port.port)	/*UDP端口判定*/
				{
					return NF_DROP;							/*丢弃该数据*/
				}
			}
			
			break;
		case IPPROTO_ICMP:									/*ICMP协议*/
															/*丢弃ICMP报文*/
			if(IS_BANDPING(b_status))						/*设置了禁止PING操作*/
			{
				printk(KERN_ALERT "DROP ICMP packet from %d.%d.%lld.%lld\n",
								 (src_ip&0xff000000)>>24,
								 (src_ip&0x00ff0000)>>16,
								 (src_ip&0xff0000ff00)>>8,
								 (src_ip&0xff000000ff)>>0);
				return NF_DROP;								/*丢弃该报文*/
			}
			
			break;
		default:
			break;
	}
	
	return NF_ACCEPT;
}

/*//4.4.201

typedef unsigned int nf_hookfn(void *priv, struct sk_buff *skb, const struct nf_hook_state *state);

struct nf_hook_ops 
{
	struct list_head 	list;
	nf_hookfn		*hook;
	struct net_device	*dev;
	void			*priv;
	u_int8_t		pf;
	unsigned int		hooknum;
	int			priority;
};*/

/*enum nf_inet_hooks 
{
	NF_INET_PRE_ROUTING,
	NF_INET_LOCAL_IN,
	NF_INET_FORWARD,
	NF_INET_LOCAL_OUT,
	NF_INET_POST_ROUTING,
	NF_INET_NUMHOOKS
};*/

/* 初始化nfin钩子,在钩子LOCAL_IN上 */
static struct nf_hook_ops nfin = 
{
	.hook = nf_hook_in,
	.hooknum = NF_INET_LOCAL_IN,
	.pf = PF_INET,
	.priority = NF_INET_LOCAL_OUT
};
/*初始化nfout钩子,在钩子LOCAL_OUT上*/
static struct nf_hook_ops nfout=
{
	.hook = nf_hook_out,
	.hooknum = NF_INET_LOCAL_OUT,
	.pf = PF_INET,
	.priority = NF_IP_PRI_FIRST
};


/*struct nf_sockopt_ops {
	struct list_head list;

	u_int8_t pf;

	int set_optmin;
	int set_optmax;
	int (*set)(struct sock *sk, int optval, void __user *user, unsigned int len);
#ifdef CONFIG_COMPAT
	int (*compat_set)(struct sock *sk, int optval,
			void __user *user, unsigned int len);
#endif
	int get_optmin;
	int get_optmax;
	int (*get)(struct sock *sk, int optval, void __user *user, int *len);
#ifdef CONFIG_COMPAT
	int (*compat_get)(struct sock *sk, int optval,
			void __user *user, int *len);
#endif
	struct module *owner;
};*/

/* 初始化nf套接字选项 */
static struct nf_sockopt_ops nfsockopt = {
 .pf	= PF_INET,
 .set_optmin = SOE_BANDIP,
 .set_optmax = SOE_BANDIP + 4,
 .set	= nf_sockopt_set,
 .get_optmin = SOE_BANDIP,
 .get_optmax = SOE_BANDIP + 4,
 .get	= nf_sockopt_get,
};

/* 初始化模块 */
static int __init init(void)
{
	nf_register_hook(&nfin);					/*注册LOCAL_IN的钩子*/
	nf_register_hook(&nfout);					/*注册LOCAL_OUT的钩子*/
	nf_register_sockopt(&nfsockopt);			/*注册扩展套接字选项*/
	
	printk(KERN_ALERT "netfilter example 2 init successfully\n");
												/*打印信息*/
	return NF_SUCCESS;
}
/* 清理模块 */
static void __exit exit(void)
{	
	nf_unregister_hook(&nfin);					/*注销LOCAL_IN的钩子*/
	nf_unregister_hook(&nfout);					/*注销LOCAL_OUT的钩子*/
	nf_unregister_sockopt(&nfsockopt);			/*注销扩展套接字选项*/
	printk(KERN_ALERT "netfilter example 2 clean successfully\n");
}
module_init(init);								/*初始化模块*/
module_exit(exit);								/*模块退出*/
/* 作者、描述、版本、别名*/
MODULE_AUTHOR("Jingbin Song");				/*作者声明*/
MODULE_DESCRIPTION("netfilter DEMO");		/*模块描述信息声明*/
MODULE_VERSION("0.0.1");					/*模块版本声明*/
MODULE_ALIAS("ex17.2");						/*模块别名声明*/

nf_sockopte.h

/* file: nf_sockopte.h
 * example 17-1
 * author: songjingbin <flyingfat@163.com>
 * sockopt extern header file  */
#ifndef __NF_SOCKOPTE_H__
#define __NF_SOCKOPTE_H__
/* cmd命令定义:
SOE_BANDIP:IP地址发送禁止命令
SOE_BANDPORT:端口禁止命令
SOE_BANDPING:ping禁止
 */
#define SOE_BANDIP    0x6001
#define SOE_BANDPORT  0x6002
#define SOE_BANDPING  0x6003
/* 禁止端口结构*/
typedef struct nf_bandport
{
	/* band protocol, TCP?UDP  */
	unsigned short protocol;
	
	/* band port */
	unsigned short port;
} nf_bandport;
/* 与用户交互的数据结构 */
typedef struct band_status
{
	/* IP发送禁止,IP地址,当为0时,未设置  */
	unsigned int  band_ip;
	
	/* 端口禁止,当协议和端口均为0时,未设置 */
	nf_bandport band_port;
	
	/* 是否允许ping回显响应,为0时响应,为1时禁止 */
	unsigned char band_ping;
} band_status;
#endif /* __NF_SOCKOPTE_H__ */

Makefile

target = test
obj-m := test.o  
#generate the path  
	CURRENT_PATH:=$(shell pwd)  
#the current kernel version number  
	LINUX_KERNEL:=$(shell uname -r)  
#the absolute path  
LINUX_KERNEL_PATH:=/usr/src/linux-headers-$(LINUX_KERNEL) 
#complie object  
all:  
	make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH)
#clean  
clean:  
	make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH)

用户sock设置程序:

#include "nf_sockopte.h"

#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/ip.h>
#include <netinet/ip_icmp.h>
#include <unistd.h>
#include <signal.h>
#include <arpa/inet.h>
#include <errno.h>
#include <sys/time.h>
#include <stdio.h>
#include <string.h> /*bzero*/
#include <netdb.h>
#include <pthread.h>
int main(int argc, char *argv[])
{

	int sockfd;
	band_status status;
	socklen_t len;
	len = sizeof(status);

	sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
	if (sockfd == -1){

		printf("create the socket is failled.\n");
		return -1;
	}

	status.band_ip = 1;
	status.band_port.protocol = 0;
	status.band_port.port = 0;	
	status.band_ping = 1;

	if (setsockopt(sockfd, IPPROTO_IP, SOE_BANDPING, 
						(char *)&status, &len) == -1) {

		printf("the setsockopt failure.\n");


		switch(errno)
		{
			case EBADF:
						printf("EBADF\n");
			break;
			case EFAULT:
						printf("EFAULT\n");
			break;
			case EINVAL:
						printf("EINVAL\n");
			break;
			case ENOPROTOOPT:
						printf("NOPROTOOPT\n");
			break;
			case ENOTSOCK:
						printf("ENOTSOCK\n");
			break;
		}
        
        close(sockfd); 
		return -1;
	}

    close(sockfd);
	return 0;
}

因为原始套接字的原因,这里需要以root权限执行,否则创建套接字会失败!

paradox_1_0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 4.4.0-116-generic 内核安装包
04-28
Linux 4.4.0-116-generic 内核安装包
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
Linux netfilter源码分析(6)
maimang1001的专栏
06-08 190
Linux netfilter源码分析(6)http://staff.ustc.edu.cn/~james/linux/netfilter-6.html
linux-内核:netfilter框架
最新发布
赵凯月的博客
06-23 1204
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
走进Linux内核之Netfilter框架
m0_74282605的博客
03-07 1115
而 okfn 设置为 ip_rcv_finish,也就是说,当 NF_IP_PRE_ROUTING 链上的所有钩子函数都成功对数据包进行处理后,将会调用 ip_rcv_finish 函数来继续对数据包进行处理。在用户态层面,根据不同的协议类型,为上层用户提供了不同的系统调用工具,比如我们常用的针对IPv4协议iptables,IPv6 协议的ip6tables,针对ARP协议的arptables,针对网桥控制的ebtables,针对网络连接追踪的conntrack等。
Netfilter实验
Zzxy
04-30 1015
利用netfilter过滤http报文,获取POST请求中的name和password。
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
iCloudEnd的博客
03-02 1192
介绍 Firewalls是一个重要的工具,可以配置为保护您的服务器和基础设施。防火墙的主要功能是过滤数据、重定向流量和防止网络攻击。既有基于硬件的防火墙,也有基于软件的防火墙。在这里我不会过多讨论背景,因为您可以在网上找到很多关于它的文档。 你有没有想过从头开始实现一个简单的迷你防火墙?听起来很疯狂?但借助 Linux 的强大功能,您可以做到这一点。看完本系列文章,你会发现其实很简单。 您可能曾经...
linux源码树没有netinet文件,linux_net_tool - 源码下载|系统编程|Linux/Unix编程|源代码 - 源码中国...
weixin_42298100的博客
05-12 257
linux_net_tool\net-tools-1.60.tar.bz2..............\..............\net-tools-1.60\RPM\README..............\..............\..............\...\net-tools-1.45-config.patch..............\..............\.....
linux源码树没有netinet,没买书,先观摩源码--《linux高性能服务器编程》2
weixin_39845406的博客
05-13 72
#include #include #include #include #include #include #include #include #include int main( int argc, char* argv[] ){if( argc <= 2 ){printf( "usage: %s ip_address port_number\n", basename( argv[0] )...
linux网络操作系统开源码,Linux系统下dhcp源码
weixin_32653933的博客
05-11 398
实例简介】提供Linux系统下DHCP源码下载dhcp-3.1.1.tar.gz【实例截图】【核心代码】dhcp-3.1.3.tar└── dhcp-3.1.3├── client│ ├── clparse.c│ ├── dhclient.8│ ├── dhclient.c│ ├── dhclient.conf│ ├── dhclient.conf.5│ ├── dhcl...
netfilter-nfqueue-samples:使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙
06-04
netfilter-nfqueue-samples 使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙 编译链接到 nfnetlinkg、netfilter_queue、memcached、mysqlclient 和 pthread 示例链接:-lnfnetlink -lnetfilter_queue -lmemcached -lmysqlclient -lpthread -lz -lm -ldl
Linux 4.4.0内核源码分析TCP实现
05-17
Linux 4.4.0内核源码分析TCP实现
linux-image-4.4.0-123-generic_4.4.0-123.147_amd64.deb
06-21
linux-image-4.4.0-123-generic_4.4.0-123.147_amd64.deb
cumulus-linux-4.4.0-vx-amd64-qemu.zip
12-01
cumulus4.4.0 镜像,可加载到EVE环境。测试好使。
linux-modules-4.4.0-155-generic_4.4.0-155.182_amd64.deb
06-21
linux-modules-4.4.0-155-generic_4.4.0-155.182_amd64.deb
Linux内核空间文件操作函数
paradox_1_0的博客
11-09 1992
内核中操作文件的函数与用户空间不同,需要使用内核空间专用的一套函数,主要有filp_open()、filp_close()、vfs_read()、vsf_write()、set_fs()、get_fs()等,上述函数在头文件linux/fs和asm/uaccess.h中声明。 1.内核空间中的文件结构 内核中对文件操作额文件结构struct file,是进行文件操作时经常使用的结构,结构的...
Linux中mdelay()和msleep()学习总结
paradox_1_0的博客
11-16 1424
Linux内核开发中,mdelay()和msleep()都有延时作用,但它们是有区别的。 共同点:mdelay()和msleep()都是延时的毫秒数。 不同点:mdelay()是忙等待函数,其在延时过程中是占用cpu资源的,被占用的cpu同一时间不能执行其他任务;而msleep是休眠函数,是将当前调用线程挂起一段时间,不占用cpu资源。 另外一点区分udelay()、mdelay()、nde...
Linux内核create_singlethread_workqueue与create_workqueue学习
paradox_1_0的博客
11-16 1199
区别: 使用create_singlethread_workqueue创建工作队列即使对于多CPU系统,内核也只负责在一个cpu上创建一个worker_thread内核线程;而使用create_workqueue创建工作队列对于多CPU系统,内核将会在每个CPU上创建一个worker_thread内核线程,使得线程处理的事务能够并行化. 代码: worker_thread.c #inc...
Unable to locate package linux-headers-4.4.0-19041-Microsoft
05-27
这个问题可能是由于您的操作系统没有安装对应的内核头文件包导致的。请确认您的操作系统版本内核版本是否匹配,并尝试安装适当的内核头文件包。您可以使用以下命令来检查您的内核版本: ``` uname -r ``` 然后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值