linux 网络netfilter学习

最新推荐文章于 2024-01-02 18:55:14 发布
最新推荐文章于 2024-01-02 18:55:14 发布
阅读量206 收藏
点赞数
分类专栏: linux linux c 文章标签: Linux

学习网上有关Linux 内核hook博客。
深入Linux网络核心堆栈–netfilter详解(整理)

通过hook过滤ip地址代码:
/* 
* 安装一个丢弃所有到达的数据包的Netfilter hook函数的示例代码 
*/

#define __KERNEL__
#define MODULE

#include <linux/kernel.h>  
#include <linux/init.h>  
#include <linux/module.h>  
#include <linux/version.h>  
#include <linux/string.h>  
#include <linux/kmod.h>  
#include <linux/vmalloc.h>  
#include <linux/workqueue.h>  
#include <linux/spinlock.h>  
#include <linux/socket.h>  
#include <linux/net.h>  
#include <linux/in.h>  
#include <linux/skbuff.h>  
#include <linux/ip.h>  
#include <linux/tcp.h>  
#include <linux/netfilter.h>  
#include <linux/netfilter_ipv4.h>  
#include <linux/icmp.h>  
#include <net/sock.h>  
#include <asm/uaccess.h>  
#include <asm/unistd.h>  

MODULE_LICENSE("GPL");  
MODULE_AUTHOR("xsc");  

/* 用于注册我们的函数的数据结构 */
static struct nf_hook_ops nfho;

/* 过滤接口 */
static char *drop_if="lo";
/* 过滤ip */
//static char *drop_ip="/x7f/x00/x00/x01";  /*  127.0.0.1 */ 
static char *parg="192.168.2.1";
module_param(parg, charp, S_IRUGO);

/* 
 * there is not a inet_addr in kernel.use in_aton or write one.
*/
unsigned int inet_addr(char *str)
{
    int a,b,c,d;
    char arr[4];

    sscanf(str,"%d.%d.%d.%d",&a,&b,&c,&d);
    arr[0] = a;arr[1] = b;
    arr[2] = c;arr[3] = d;
    return *(unsigned int*)arr;
}


/* 注册的hook函数的实现 */
unsigned int hook_func(unsigned int hooknum,
                       struct sk_buff *skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff *))
{
    struct sk_buff *sk = skb_copy(skb,1);
    struct iphdr *ip;
    ip = ip_hdr(sk);
//  printk( KERN_ALERT "zzk lo NF_DROP !\n");

    if( ip->saddr == inet_addr(parg) )
    {
        return NF_DROP;
    }
    else
    {
        return NF_ACCEPT;
    }
}

/* 初始化程序 */
int init_module()
{
    /* 填充我们的hook数据结构 */
    nfho.hook     = hook_func;         /* 处理函数 */
    nfho.hooknum  = NF_INET_PRE_ROUTING; /* 使用IPv4的第一个hook */
    nfho.pf       = PF_INET;
    nfho.priority = NF_IP_PRI_FIRST;   /* 让我们的函数首先执行 */

    nf_register_hook(&nfho);

    return 0;
}

/* 清除程序 */
void cleanup_module()
{
    nf_unregister_hook(&nfho);
}
Makefile
obj-m += ip_filter.o
    CURRENT_PATH:=$(shell pwd)
    LINUX_KERNEL_PATH:=/lib/modules/$(shell uname -r)/build
all:
    $(MAKE) -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) modules
clean:
    rm -rf .*.cmd *.o *.mod.c *.ko .tmp_versions
榕树子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux-Netfilter机制学习(一)
深海蓝的技术随笔
03-31 1309
原文地址:http://blog.chinaunix.net/uid-22227409-id-2656911.html Linux-Netfilter机制学习(一) 基于Linux2.6.30内核源代码 钩子函数的注册管理 主要说明Netfilter钩子函数的挂载点,hook函数的保存机制,注册方式; 1)  hook的存储机制 钩子函数由一个全局二维链表数组nf_hook
Linux Netfilter开发小结
zhuhuibeishadiao
05-25 9150
前置知识: IP包: struct ip { #if BYTE_ORDER == LITTLE_ENDIAN unsigned char ip_hl:4, /* header length */ ip_v:4; /* version */ #endif unsigned char ip_tos; /* type of service */ sho
Linux netfilter 学习
02-24
本文档主要为本人博客里的《Linux netfilter学习记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter的table注册及规则的添加》、《ip层netfilter的table中规则的匹配检查》、《ip层netfilterfilter表的创建及其hook函数分析》、《ip层netfilter的连接跟踪模块的概念及相关的数据结构分析》、《 ip层netfilter的连接跟踪模块初始化》、《ip层netfilter的连接跟踪模块代码分析》、《ip层netfilter的连接跟踪模块 学习小结》、《ip层netfilter的NAT模块初始化以及NAT原理》、《ip层netfilter的NAT模块代码分析》等内容
Linux netfilter 学习记 之十一 ip层netfilter的NAT模块初始化以及NAT原理
lickylin的专栏
07-01 6238
1.NAT的原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。 1.1 SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的lan侧会下挂至少两台设备,而这两台设备的ip地址都是lan侧地址,而lan侧设备又要访问公网,这就需要SNAT大展身手了,通过将lan侧发送的ip数据包的源ip地
netfilter学习
Derry的专栏
01-16 912
//链接跟踪状态信息 enum ip_conntrack_info { IP_CT_ESTABLISHED, IP_CT_RELATED, IP_CT_NEW, IP_CT_IS_REPLY, IP_CT_NUMBER = IP_CT_IS_REPLY * 2 - 1 };   net/netfilter/core.c 包含全局数组 struct list_head nf_
Netfilter 学习
王以山的专栏
03-23 1883
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
网络安全课程设计项目-基于Netfilter、Netlink的Linux传输层状态检测防火墙C语言源码+文档说明
最新发布
08-27
一个基于Netfilter、Netlink的Linux传输层状态检测防火墙,核心代码不到2000行,使用红黑树实现状态检测,内核模块代码通过读写锁几乎全面实现并发安全。 仅用于学习与交流,一定程度上可以放心使用。 支持的功能...
Linux网络层收发包流程及Netfilter框架浅析
j简说Linux的博客
11-19 764
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,如 WiFi,以太网,光纤,电话线等;数据链路层主要负责链路层协议解析(主要为以太网帧,其他类型此处暂不考虑),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如我们常用的 HTTP,FTP,SMTP,DNS,DHCP 等。
Linux下基于Netfilter网络监听器的设计与实现.pdf
09-06
Linux下基于Netfilter网络监听器的设计与实现》这篇文献主要探讨了如何在Linux操作系统中利用Netfilter框架设计和实现一个高效的网络监听器。NetfilterLinux内核2.4.x版本引入的一个功能强大的网络数据包过滤...
华中科技大学网络安全课程设计项目,基于Netfilter、Netlink的Linux传输层状态检测防火墙+源代码+文档说明
01-08
华中科技大学网络安全课程设计项目,基于Netfilter、Netlink的Linux传输层状态检测防火墙+源代码+文档说明 - 小白不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的课程设计,代码都测试ok,都是...
一文讲解如何学习 Linux 内核网络协议栈
youzhangjing_的博客
11-16 1460
发送流程(上层调用下层)通常是直接调用(因为没有不确定性,比如TCP知道下面一定IP),但接收过程不一样了,比如报文在 IP 层时,它上面可能是 TCP,也可能是 UDP,或者是 ICMP 等等,所以接收过程使用的是注册-回调机制。网卡可以分为物理网卡和虚拟网卡。如下图所示,每个网卡都有两端,一端是协议栈(IP、TCP、UDP),另一端则有所区别,对物理网卡来说,这一端是网卡生产厂商提供的设备驱动程序,而对虚拟网卡来说差别就大了,正是由于虚拟网卡的存在,内核才能支持各种隧道封装、容器通信等功能。
Netfilter学习(一)
weixin_30455661的博客
09-20 144
  开始学习Netfilter了,由于以前没有接触过该方面的知识,开始学习比较吃力,所以找了份资料,比着前辈的思路慢慢学习,这样我想会较快的了解Netfilter,在这里非常感谢这为前辈,由于不知道您尊姓大名,所以,再次表示感谢。   我为自己制定的计划:先把前辈的文档好好学习,对Netfilter有大概了解后,然后按照自己的路走下去。   凡是在这里记录的前辈的内...
Linux Netfilter介绍
weixin_42915431的博客
12-31 7335
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
内核编程学习(2)netfilter初探
07-31 2387
本次的任务是要在linux下利用netfilter往内核挂钩子,截获数据包。 这几天的练习,发现很多结构体以及技术涉及到内核版本,如果你发现有些结构体的成员什么的未定义,大多是这种问题。本机内核版本2.6.32-21-generic。查看内核版本命令uanme -r。 通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数
Linux netfilter 学习记 之十 ip层netfilter的连接跟踪模块 学习小结
lickylin的专栏
06-29 2311
对于linux代码,如果说只是为了理解连接跟踪模块的工作原理
Linux下Netfilter简介
血饮渊虹的博客
10-27 3384
1、什么是Netfilter NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 iptables是Linux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配...
Linux network — 网络层收发包流程及 Netfilter 框架浅析
一只立志于养老婆的程序猿
01-02 2736
本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 Netfilter 数据包过滤框架的基本原理以及使用方式进行简单阐述。Linux 网络协议栈是 Linux 内核中非常重要的子系统之一,虽然上层应用的开发维护工作极少涉及修改内核网络部分的工作,但了解其设计思想,基本工作原理,也可以为我们日常工作带来比较不少的帮助,特别是涉及到前后台网络交互,服务器网络性能相关的工作时。
linux防火墙Netfilter(iptables)
beeworkshop的博客
11-07 909
Linux的防火墙由Netfilter实现: Netfilter的过滤功能在内核中实现,不依靠daemon。 工作于OSI 7层模型的第2, 3, 4层。 只检测报文头。 iptables是Netfilter的客户端管理工具。 Netfilter的模块位于/lib/modules/$(uname -r)/kernel/net/netfilter/中。 Netfilter Tables ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值