linux 网络netfilter学习

最新推荐文章于 2024-05-04 01:12:59 发布
最新推荐文章于 2024-05-04 01:12:59 发布
阅读量217 收藏
点赞数
分类专栏: linux linux c 文章标签: Linux
本文介绍了一种利用Linux内核Hook机制实现特定IP地址过滤的方法。通过注册自定义的hook函数,可以对网络数据包进行预路由处理,当源IP地址匹配指定值时,将数据包丢弃。此技术可用于简单的防火墙功能实现。
摘要由CSDN通过智能技术生成

学习网上有关Linux 内核hook博客。
深入Linux网络核心堆栈–netfilter详解(整理)

通过hook过滤ip地址代码:
/* 
* 安装一个丢弃所有到达的数据包的Netfilter hook函数的示例代码 
*/

#define __KERNEL__
#define MODULE

#include <linux/kernel.h>  
#include <linux/init.h>  
#include <linux/module.h>  
#include <linux/version.h>  
#include <linux/string.h>  
#include <linux/kmod.h>  
#include <linux/vmalloc.h>  
#include <linux/workqueue.h>  
#include <linux/spinlock.h>  
#include <linux/socket.h>  
#include <linux/net.h>  
#include <linux/in.h>  
#include <linux/skbuff.h>  
#include <linux/ip.h>  
#include <linux/tcp.h>  
#include <linux/netfilter.h>  
#include <linux/netfilter_ipv4.h>  
#include <linux/icmp.h>  
#include <net/sock.h>  
#include <asm/uaccess.h>  
#include <asm/unistd.h>  

MODULE_LICENSE("GPL");  
MODULE_AUTHOR("xsc");  

/* 用于注册我们的函数的数据结构 */
static struct nf_hook_ops nfho;

/* 过滤接口 */
static char *drop_if="lo";
/* 过滤ip */
//static char *drop_ip="/x7f/x00/x00/x01";  /*  127.0.0.1 */ 
static char *parg="192.168.2.1";
module_param(parg, charp, S_IRUGO);

/* 
 * there is not a inet_addr in kernel.use in_aton or write one.
*/
unsigned int inet_addr(char *str)
{
    int a,b,c,d;
    char arr[4];

    sscanf(str,"%d.%d.%d.%d",&a,&b,&c,&d);
    arr[0] = a;arr[1] = b;
    arr[2] = c;arr[3] = d;
    return *(unsigned int*)arr;
}


/* 注册的hook函数的实现 */
unsigned int hook_func(unsigned int hooknum,
                       struct sk_buff *skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff *))
{
    struct sk_buff *sk = skb_copy(skb,1);
    struct iphdr *ip;
    ip = ip_hdr(sk);
//  printk( KERN_ALERT "zzk lo NF_DROP !\n");

    if( ip->saddr == inet_addr(parg) )
    {
        return NF_DROP;
    }
    else
    {
        return NF_ACCEPT;
    }
}

/* 初始化程序 */
int init_module()
{
    /* 填充我们的hook数据结构 */
    nfho.hook     = hook_func;         /* 处理函数 */
    nfho.hooknum  = NF_INET_PRE_ROUTING; /* 使用IPv4的第一个hook */
    nfho.pf       = PF_INET;
    nfho.priority = NF_IP_PRI_FIRST;   /* 让我们的函数首先执行 */

    nf_register_hook(&nfho);

    return 0;
}

/* 清除程序 */
void cleanup_module()
{
    nf_unregister_hook(&nfho);
}
Makefile
obj-m += ip_filter.o
    CURRENT_PATH:=$(shell pwd)
    LINUX_KERNEL_PATH:=/lib/modules/$(shell uname -r)/build
all:
    $(MAKE) -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) modules
clean:
    rm -rf .*.cmd *.o *.mod.c *.ko .tmp_versions
榕树子
关注
专栏目录
Linux下基于Netfilter网络监听器的设计与实现.pdf
09-06
Linux下基于Netfilter网络监听器的设计与实现》这篇文献主要探讨了如何在Linux操作系统中利用Netfilter框架设计和实现一个高效的网络监听器。NetfilterLinux内核2.4.x版本引入的一个功能强大的网络数据包过滤...
Linux netfilter 学习记 之十 ip层netfilter的连接跟踪模块 学习小结
lickylin的专栏
06-29 2322
对于linux代码,如果说只是为了理解连接跟踪模块的工作原理
Linux网络编程必看书籍推荐
热门推荐
无界编程
08-17 11万+
首先要说讲述计算机网络和TCP/IP的书很多。先要学习网络知识才谈得上编程讲述计算机网络的最经典的当属Andrew S.Tanenbaum的《计算机网络》第五版,这本书难易适中。《计算机网络(第5版)》是国内外使用最广泛、最权威的计算机网络经典教材。目前已经是第五版,本书作者80年代就开发出MINIX,是一个用于操作系统教学的类UNIX(的小型操作系统。而linux就是受其影响。。。。第五版是
2024年Linux最新(一)Linux 防火墙(重点)iptables(1),Linux运维面试必看书籍
最新发布
2401_83620927的博客
05-04 757
定义规则千万不能将自己连接主机 那个网段给拒绝了,(可以将允许自己的网关也就是ip.1可以访问的规则放到第一条,将拒绝本网段的规则放在后面)因为有先后顺序,前面的规则满足,后面的就不会会查看也可以将规则插入到最前面还有给自己的ip访问权限,不然自己不能ping自己也可以用计划任务,执行修改规则操作(自动还原,不能让自己连不上去)还有OUTPUT链等规则也类似。
Linux 驱动】Netfilter/iptables (八) Netfilter的NAT机制
wenqian 'blog
12-27 3405
NAT是Network Address Translation的缩写,意即“网络地址转换”。从本质上来说,是通过修改IP数据首部中的地址,以实现将一个地址转换成另一个地址的技术。当然在某种情况下,修改的不仅仅是IP首部的来源或目的地址,还包括其它要素。 随着接入Internet的计算机数量不断猛增,IP地址资源也就愈加显得捉襟见肘。这也是Ipv6出现的一大原因。我们现在所有的IP地址是32位,意味
Linux Netfilter介绍
weixin_42915431的博客
12-31 7413
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
Linux network — 网络层收发包流程及 Netfilter 框架浅析
一只立志于养老婆的程序猿
01-02 2899
本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 Netfilter 数据包过滤框架的基本原理以及使用方式进行简单阐述。Linux 网络协议栈是 Linux 内核中非常重要的子系统之一,虽然上层应用的开发维护工作极少涉及修改内核网络部分的工作,但了解其设计思想,基本工作原理,也可以为我们日常工作带来比较不少的帮助,特别是涉及到前后台网络交互,服务器网络性能相关的工作时。
linux防火墙Netfilter(iptables)
beeworkshop的博客
11-07 930
Linux的防火墙由Netfilter实现: Netfilter的过滤功能在内核中实现,不依靠daemon。 工作于OSI 7层模型的第2, 3, 4层。 只检测报文头。 iptables是Netfilter的客户端管理工具。 Netfilter的模块位于/lib/modules/$(uname -r)/kernel/net/netfilter/中。 Netfilter Tables ...
Linux下Netfilter简介
血饮渊虹的博客
10-27 3418
1、什么是Netfilter NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 iptables是Linux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配...
Linux netfilter 学习
02-24
本文档主要为本人博客里的《Linux netfilter学习记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter的table注册及规则的添加》、《ip层netfilter的table中规则的匹配检查》、《ip层netfilterfilter表的创建及其hook函数分析》、《ip层netfilter的连接跟踪模块的概念及相关的数据结构分析》、《 ip层netfilter的连接跟踪模块初始化》、《ip层netfilter的连接跟踪模块代码分析》、《ip层netfilter的连接跟踪模块 学习小结》、《ip层netfilter的NAT模块初始化以及NAT原理》、《ip层netfilter的NAT模块代码分析》等内容
Linux netfilter 学习记 之七 ip层netfilter的连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6256
内核版本 2.6.16   连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook点
知秋一叶
01-14 3424
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
Linux netfilter 学习记 之一 HOOK机制的分析与应用
lickylin的专栏
06-19 8126
ddddd
Linux netfilter 学习记 之十二 ip层netfilter的NAT模块代码分析
lickylin的专栏
07-04 1万+
本节主要是分析NAT模块相关的hook函数与target函数,主要是理清NAT模块实现的原理等。   1.NAT相关的hook函数分析 NAT模块主要是在NF_IP_PREROUTING、NF_IP_POSTROUTING、NF_IP_LOCAL_OUT、NF_IP_LOCAL_IN四个节点上进行NAT操作,在上一节中我们知道nat表中只有PREROUTING、POSTROUTING、LOC
Linux数据包路由原理、Iptables/netfilter入门学习
weixin_33859504的博客
05-05 187
相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wikipedia.org/wiki/Netfilter http://www.netfilter.org/projects/iptables/ http://linux.vbird.org/l...
Linux Netfilter网络安全架构详解与iptables应用
Linux网络安全架构Netfilter的分析和探讨主要针对Linux平台上的网络安全问题进行深入研究。Linux作为开放源代码的操作系统,其网络安全架构是保障系统安全的关键部分。NetfilterLinux内核中一个强大的网络过滤框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值