wireguard源码分析(六)

最新推荐文章于 2024-10-15 15:24:52 发布
最新推荐文章于 2024-10-15 15:24:52 发布
阅读量356 收藏 10
点赞数 4
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54742617/article/details/141832074
版权

这段Go代码主要用于配置和管理Windows系统上的网络接口,包括IP地址和路由的设置,并启用防火墙规则。下面逐块分析每个部分的作用:

1. 导入包

import (
	"fmt"
	"log"
	"net/netip"
	"time"

	"golang.org/x/sys/windows"
	"golang.zx2c4.com/wireguard/windows/conf"
	"golang.zx2c4.com/wireguard/windows/services"
	"golang.zx2c4.com/wireguard/windows/tunnel/firewall"
	"golang.zx2c4.com/wireguard/windows/tunnel/winipcfg"
)

分析

  • fmtlogtime 是Go标准库,分别用于格式化字符串、日志记录和时间操作。
  • net/netip 提供IP地址和前缀处理功能。
  • windows 提供与Windows操作系统交互的功能。
  • 其他包 (conf, services, firewall, winipcfg) 是WireGuard项目的相关模块,用于配置网络、管理服务、防火墙规则等。

2. cleanupAddressesOnDisconnectedInterfaces 函数

func cleanupAddressesOnDisconnectedInterfaces(family winipcfg.AddressFamily, addresses []netip.Prefix) {
	if len(addresses) == 0 {
		return
	}
	addrHash := make(map[netip.Addr]bool, len(addresses))
	for i := range addresses {
		addrHash[addresses[i].Addr()] = true
	}
	interfaces, err := winipcfg.GetAdaptersAddresses(family, winipcfg.GAAFlagDefault)
	if err != nil {
		return
	}
	for _, iface := range interfaces {
		if iface.OperStatus == winipcfg.IfOperStatusUp {
			continue
		}
		for address := iface.FirstUnicastAddress; address != nil; address = address.Next {
			if ip, _ := netip.AddrFromSlice(address.Address.IP()); addrHash[ip] {
				prefix := netip.PrefixFrom(ip, int(address.OnLinkPrefixLength))
				log.Printf("Cleaning up stale address %s from interface '%s'", prefix.String(), iface.FriendlyName())
				iface.LUID.DeleteIPAddress(prefix)
			}
		}
	}
}

分析

  • 此函数用于清理在断开连接的网络接口上存在的旧IP地址。
  • 首先创建一个哈希表,存储传入的IP地址。
  • 然后获取系统中所有网络接口的地址信息。
  • 对于每个断开的接口,如果发现其IP地址在哈希表中存在,则认为是旧地址,并将其删除。

3. configureInterface 函数

func configureInterface(family winipcfg.AddressFamily, conf *conf.Config, luid winipcfg.LUID) error {
	retryOnFailure := services.StartedAtBoot()
	tryTimes := 0
startOver:
	var err error
	if tryTimes > 0 {
		log.Printf("Retrying interface configuration after failure because system just booted (T+%v): %v", windows.DurationSinceBoot(), err)
		time.Sleep(time.Second)
		retryOnFailure = retryOnFailure && tryTimes < 15
	}
	tryTimes++
	// ... (略去部分代码)

分析

  • 该函数用于配置指定的网络接口,包括IP地址和路由。
  • retryOnFailure 判断系统是否在启动时执行,可能需要重试配置。
  • 通过 startOver 标签实现配置失败后的重试机制。
  • 使用循环遍历 conf.Peers 来估算路由数量,并生成路由数据。
  • 如果没有关闭路由表的功能,尝试配置路由。
  • 处理IP地址配置,遇到已经存在的对象时,会先清理断开连接的接口上的旧地址,再重试配置。
  • 还包括配置接口的MTU、路由发现行为、DNS等。

4. enableFirewall 函数

func enableFirewall(conf *conf.Config, luid winipcfg.LUID) error {
	doNotRestrict := true
	if len(conf.Peers) == 1 && !conf.Interface.TableOff {
		for _, allowedip := range conf.Peers[0].AllowedIPs {
			if allowedip.Bits() == 0 && allowedip == allowedip.Masked() {
				doNotRestrict = false
				break
			}
		}
	}
	log.Println("Enabling firewall rules")
	return firewall.EnableFirewall(uint64(luid), doNotRestrict, conf.Interface.DNS)
}

分析

  • 此函数用于启用防火墙规则。
  • 如果配置中只有一个 peer 且没有关闭路由表,则检查是否有允许的IP覆盖整个地址空间(allowedip.Bits() == 0),若是,则不限制防火墙规则。
  • 通过调用 firewall.EnableFirewall 启用防火墙规则。

总结

这段代码的核心是配置和管理Windows系统上的网络接口,主要包括IP地址、路由的设置,以及防火墙规则的启用。它使用了重试机制,以应对系统启动后的特殊情况,并通过清理断开连接的接口上的旧地址,确保配置的准确性。

九砾
关注
wireguard源码分析(二)
qq_54742617的博客
09-02 376
这个代码片段是 WireGuardWindows 平台上的实现。它提供了启动 WireGuard 隧道服务和生成密钥对的功能。通过使用 Windows 特定的系统调用和 WireGuard 的库函数,代码实现了这些功能。
DH、DHE、ECDHE加密算法
迷雾总会解
09-12 4720
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
wireguard main.go代码分析
qq_54742617的博客
09-02 1889
这个代码管理 WireGuard VPN 软件在 Windows 平台上的各个方面,包括服务安装、执行、日志记录和用户界面管理。它确保适当的系统检查,如验证 WOW64 状态和管理员权限,并提供清晰的错误处理和用户反馈机制。新的main()函数可能是在之前版本的基础上进行了扩展和增强,增加了更多的功能和健壮性,比如更广泛的命令行选项、更复杂的服务管理、更好的日志记录和错误处理机制,以及对系统兼容性(如 WOW64 和管理员权限)的更详细检查。这些改进使得新的main()
彻底理解 WireGuard 的路由策略
云原生实验室
08-31 2460
❝原文链接????:https://icloudnative.io/posts/linux-routing-of-wireguard/或者点击左下角的阅读原文直接查看原文????很久以前,我们只需要在 Linux 终端中输入 route -n(后来演变出了 ip route,也就是 iproute2 提供的命令),就可以知晓系统中所有数据包的走向,但是,大人,时代变了!如果你是 WireGuard 玩家,...
WireGuard基本原理
曹世宏的博客
11-13 2万+
WireGuard:下一代内核网络隧道 摘要: WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
WireGuard 的使用与配置详解
热门推荐
wq1205750492的博客
05-17 3万+
WireGuard 的使用与配置详解 一、快速开始 1. 安装 WireGuard 安装 在中继服务器上开启 IP 地址转发: echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf echo "net.ipv4.conf.all.proxy_arp = 1" >> /etc/sysctl.conf sysctl -p /etc/sysctl.conf 添加 iptables 规则,允许本机的 NAT 转换: iptables
wireguard研究
xiaopeng_thriller的博客
02-01 2163
WireGuard测试报告 wireguard简介 WireGuard 是由 Jason Donenfeld 等人用 C 语言编写的一个开源 VPN 协议,被视为下一代 VPN 协议,旨在解决许多困扰 IPSec/IKEv2、OpenVPN 或 L2TP 等其他 VPN 协议的问题。它与 Tinc 和 MeshBird 等现代 VPN 产品有一些相似之处,即加密技术先进、配置简单。从 2020 年 1 月开始,它已经并入了 Linux 内核的 5.6 版本,这意味着大多数 Linux 发行版的用户将拥有一个
wireguard源码分析(五)
qq_54742617的博客
09-02 1727
这段批处理脚本用于在 Windows 系统上构建 WireGuard 应用程序。脚本自动化了依赖项的下载、资源文件的生成、代码的编译以及可执行文件的签名等过程。以下是对脚本各个部分的详细分析: 1. 初始设置 关闭命令回显 @echo off 作用:关闭命令行回显,使脚本运行时不会显示每条执行的命令,仅显示输出信息。 版权信息 rem SPDX-License-Identifier: MIT rem Copyright (C) 2019-2022 WireGuard LLC. All Rig
wireguard源码分析(三)
qq_54742617的博客
09-02 859
这段代码用于处理 WireGuard 项目的多语言支持,具体来说,它是在构建过程中自动生成与本地化相关的 Go 代码文件。
wireguard协议分析
William辰的博客
09-30 2418
wireguard协议
wireguard-yaml
03-12
Wireguard-Yaml 要求: Python3 设置 转到文件夹 virtualenv venv pip3 install --editable . . venv/bin/activate 打开脚本,修改硬编码的API密钥(TODO :) 用法 wireguard 还要检查wireguard --help以获取...
wireguard-go-docker:Wireguard Docker映像
05-03
Wireguard-Go码头工人 设置 首先,您需要服务器的密钥对。 使用以下命令生成公用密钥和专用密钥: # Generate privatekey docker run --rm -i masipcat/wireguard-go wg genkey > privatekey # Generate publickey ...
wireguard_config_maker:简单的Java程序可创建Wireguard客户端配置文件
05-16
Wireguard Config Maker 我之所以使用Java,是因为不同操作系统之间具有可移植性,因此任何人都可以自由地使用不同的平台来构建类似的东西。 当前仅支持ipv4地址。 用于创建wireguard客户端配置文件的简单Java程序...
群晖NAS DS220+ 安装WireGuard保姆级教程(远程访问局域网非翻墙)
05-19
如何在群晖NAS中安装WireGuard,这是一篇保姆级教程! 按照该教程可以有效的避开坑,经过本人2天的研究,终于可以完美的...、通过虚拟IP地址外网正常访问NAS(也可以访问局域网,万维网) 七、用完记得关掉群晖NASSSH
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-15 1215
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
前端开发攻略---8种方法实现在浏览器中跨页面通信
最新发布
nibabaoo的博客
10-15 1274
浏览器实现跨标签页通信的多种方式
Linux系统性能调优技巧详解
运维人生
10-13 620
Linux系统性能调优是一个复杂而持续的过程,需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整,可以显著提升Linux系统的运行效率和稳定性,为业务提供强有力的支持。性能调优是一个持续的过程,需要不断地监控、分析和调整,以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。
找到占用5601端口的进程ID
m0_46695127的博客
10-13 295
找到占用5601端口的进程ID
openwrt wireguard
07-17
WireGuard 是一种高效而现代的加密隧道网络协议,它设计用于提供安全的点到点通信,拥有低延迟、简单配置和极小的内存占用等特点。 在 OpenWRT 上安装和配置 WireGuard,你可以这样做: 1. 安装:首先需要在 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值