今天尝试给Netfilter添加modules

最新推荐文章于 2024-09-14 15:53:27 发布
最新推荐文章于 2024-09-14 15:53:27 发布
阅读量1.6k 收藏
点赞数
文章标签: hook struct module 数据结构 redhat vmware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suisuibianbian/article/details/547078
版权

在网上下了一段代码,禁止某IP地址访问,代码如下

/* 安装丢弃所有来自指定IP地址的数据包的Netfilter hook的示例代码 */

#define __KERNEL__
#define MODULE

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/skbuff.h>
#include <linux/ip.h>                  /* For IP header */
//


#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>

/* 用于注册我们的函数的数据结构 */
static struct nf_hook_ops nfho;

/* 我们要丢弃的数据包来自的地址,网络字节序 */
static unsigned char *drop_ip = "/xDC/xB5/x1C/x2A"; //220.181.28.42是www.163.com的IP地址

/* 注册的hook函数的实现 */
unsigned int hook_func(unsigned int hooknum,
                       struct sk_buff **skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff *))
{
    struct sk_buff *sb = *skb;
   
    // 译注:作者提供的代码中比较地址是否相同的方法是错误的,见注释掉的部分
    if (sb->nh.iph->saddr == *(unsigned int *)drop_ip) {
    // if (sb->nh.iph->saddr == drop_ip) {
        printk("Dropped packet from... %d.%d.%d.%d/n",
      *drop_ip, *(drop_ip + 1),
  *(drop_ip + 2), *(drop_ip + 3));
        return NF_DROP;
    } else {
        return NF_ACCEPT;
    }
}

/* 初始化程序 */
int init_module()
{
    /* 填充我们的hook数据结构 */
    nfho.hook       = hook_func;         /* 处理函数 */
    nfho.hooknum  = NF_IP_PRE_ROUTING; /* 使用IPv4的第一个hook */
    nfho.pf       = PF_INET;
    nfho.priority = NF_IP_PRI_FIRST;   /* 让我们的函数首先执行 */

    nf_register_hook(&nfho);

    return 0;
}

/* 清除程序 */
void cleanup_module()
{
    nf_unregister_hook(&nfho);
}

在VMware下安装了redhat9.0,内核版本是2.4.20-8,先编译,

#gcc -I/usr/src/linux-2.4/include -c ipfilter.c

编译成功生成ipfilter.o文件

然后加载这个module,

#insmod ipfilter.o

加载成功,测试,www.163.com不能访问了,卸载模块,

#rmmod ipfilter

卸载成功,www.163.com又可以访问了,呵呵,测试成功。

suisuibianbian
关注
【k8s集群部署篇】在openEuler环境下部署多master高可用kubernetes集群详细教程(V1.30版本)
jks212454的博客
08-06 743
【k8s集群部署篇】在openEuler环境下部署多master高可用kubernetes集群详细教程(V1.30版本)
【k8s集群部署篇】在openEuler环境下部署单master节点kubernetes集群详细教程(V1.30版本)
jks212454的博客
08-05 108
【k8s集群部署篇】在openEuler环境下部署单master节点kubernetes集群详细教程(V1.30版本)
Netfilter_Modules
10-16
netfilter
Linux网络防火墙【2】 Linux内核网络netfilter module
chengfangang的专栏
03-26 1006
上篇中讲到了 netfilter的基本框架,现在 我写个 netfilter 框架下的module, 演示一下如何使用 netfilter module定制 自己的功能模块。 我个人使用的是linux 版本是3.13.5.不同的版本,内核可能会有差异,但是 总体是还是没有变化的。 netfilter 框架提供了 5个hook点。如下图 /* 这是hook点的定义, 对应于 上图中的
Linux中netfilter模块编程实践
weixin_40581617的博客
08-29 589
 上篇我们看了netfilter的实现机制,这篇来实现下netfilter模块实操一把。 为了注册一个钩子,需要填充nf_hook_ops结构体,包括优先级,钩子地点和钩子函数。然后调用nf_register_hook()函数。 1.   数据结构     struct nf_hook_ops {         /* User fills in from here down. */ ...
linux内核配置netfilter,linux-将内核配置变量映射到模块
weixin_33203970的博客
05-02 720
How do I find the full set of kconfig options required to yield a kernel module?通常,确定用于构建内核模块的选项集是复杂的过程.下面描述的步骤可以指导该过程.1.查找一个Makefile找到一个构建内核模块的Makefile.该文件位于生成.ko文件的同一目录中;该目录通常与模块源文件的目录重合.此Makefile包含...
Linux协议栈-netfilter(1)-框架
热门推荐
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1253
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2276
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
【k8s集群部署篇】使用containerd运行时部署kubernetes集群(V1.27版本)
jks212454的博客
08-02 970
【k8s集群部署】使用containerd运行时部署kubernetes集群(V1.27版本)
br_netfilter 模块开机自动方法
weixin_30608131的博客
05-29 3639
环境 cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 在/etc/sysctl.conf中添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 执行sysctl -p 时出现: [r...
Linux netfilter 学习笔记 之十五 netfilter模块添加一个match
lickylin的专栏
07-24 7297
通过这段时间的学习,基本上熟悉了netfilter模块,为了进一步加深对netfilter的认识以及理解iptables与netfilter的联系,准备添加一个match模块。   在看到网关产品会有一个公网限制的功能,就想着添加一个公网数目限制的功能。   该模块实现的功能, 通过该match我们可以设置能够通过网关上网的数目,要想进行公网限制,就需要根据mac地址进行限制操作,这个模块
自动加载br_netfilter模块
qq_37312316的博客
11-29 5679
在/etc/sysctl.conf中添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1 执行sysctl -p 时出现: [root@localhost ~]# sysctl -p sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or d
Linux防火墙之ipfilter(iptalbes)介绍使用
Mainux的专栏
03-05 5344
Linux防火墙之ipfilter(iptalbes)介绍使用
openWRT自学---对官方的开发指导文档的解读和理解 记录2:如何控制内核模块的编译...
weixin_30945039的博客
04-13 279
openwrt对于kernel module的处理分两类:随内核主线而来的kernel module 和 其他作为独立project的kernel module。而这两种,openwrt将采用相同的模版进行处理。 对于随内核主线一起提供的kernel module,the makefiles are located in package/kernel/modules/*.mk and they ...
数据结构--树
最新发布
wxdzuishaui的博客
09-14 440
【代码】数据结构--树。
数据结构之栈和队列的应用
zhj2003_的博客
09-11 911
栈和队列的应用十分广泛,本文简单地展示了这两种数据结构的特点,然而它的魅力不止这些,相信读者一定会遇到更加有趣的算法。上述内容如果有错误的地方,希望大佬们可以指正。我一直在学习的路上,您的帮助使我收获更大!我也会不断更新文章!
深入解析Linux Netfilter机制
"Linux netfilter机制分析" Netfilter是Linux内核中的一个核心组件,它提供了一种框架,用于处理网络数据包,如包过滤、连接跟踪和地址转换。理解Netfilter的工作原理对于开发者来说非常重要,因为它允许他们定制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值