Netfilter学习之NAT类型动态配置(七)全锥型NAT内核空间实现

最新推荐文章于 2023-12-27 10:28:06 发布
最新推荐文章于 2023-12-27 10:28:06 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: Netfilter学习和使用 TCP/IP网络协议栈学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013354486/article/details/79838240
版权

 本文主要实现全锥型NAT的内核空间iptables命令行扩展对应的钩子函数及其功能的实现。实现思路见上文。

1.关键部分实现代码

(1)建立ipt_FULLCONE.c以激活钩子函数,关键在于保持和用户空间libipt的一致性。

static struct xt_target fullcone_tg_reg __read_mostly = {
	.name		= "FULLCONE",
	.family		= NFPROTO_IPV4,
	.target		= fullcone_tg,
	.targetsize	= sizeof(struct nf_nat_ipv4_multi_range_compat),
	.table		= "nat",
	.hooks		= 1 << NF_INET_PRE_ROUTING,
	.checkentry	= fullcone_tg_check,
	.destroy	= fullcone_tg_destroy,
	.me		= THIS_MODULE,
};

在fullcone_tg中调用nf_nat_fullcone_ipv4

static unsigned int
fullcone_tg(struct sk_buff *skb, const struct xt_action_param *par)
{
	struct nf_nat_range range;
	const struct nf_nat_ipv4_multi_range_compat *mr;

	mr = par->targinfo;
	range.flags = mr->range[0].flags;
	range.min_proto = mr->range[0].min;
	range.max_proto = mr->range[0].max;

	return nf_nat_fullcone_ipv4(skb, xt_hooknum(par), &range,
				      xt_out(par));
}

(2)在nf_nat_fullcone_ipv4.c中实现具体功能

unsigned int
nf_nat_fullcone_ipv4(struct sk_buff *skb, unsigned int hooknum,
		    const struct nf_nat_range *range,
		    const struct net_device *out)
{
	struct nf_conn *ct;
	struct nf_conn_nat *nat;
	enum ip_conntrack_info ctinfo;
	struct nf_nat_range newrange;
	__be32 newdst;

	//we need to monitor packets at prerouting and put dst to nf_nat_setup_info
	NF_CT_ASSERT(hooknum == NF_INET_PRE_ROUTING);

	ct = nf_ct_get(skb, &ctinfo);		//get infomationn from sockets
	nat = nfct_nat(ct);

	NF_CT_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED || 
			   ctinfo == IP_CT_RELATED_REPLY));
				
	/* Source address is 0.0.0.0 - locally generated packet that is
	 * probably not supposed to be masqueraded.
	 */
	if (ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip == 0)
		return NF_ACCEPT;
	
	newdst = nf_nat_fullcone_match(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);

	if (newdst)
	{
		//transfer from original range
		memset(&newrange.min_addr, 0, sizeof(newrange.min_addr));
		memset(&newrange.max_addr, 0, sizeof(newrange.max_addr));
		newrange.flags = range->flags | NF_NAT_RANGE_MAP_IPS;
		newrange.min_addr.ip = newdst;
		newrange.max_addr.ip = newdst;
		newrange.min_proto = range->min_proto;
		newrange.max_proto = range->max_proto;
		
		//Hnad modified range to generic setup. Change dst by normal way.
		return nf_nat_setup_info(ct, &newrange, NF_NAT_MANIP_DST);
	}
	else
		return NF_ACCEPT;			
}
EXPORT_SYMBOL_GPL(nf_nat_fullcone_ipv4);

(3)进入nf_nat_core.c中,调用nf_nat_setup_info,详细源码介绍可见前文《Netfilter学习之NAT类型动态配置(四)nf_nat_core.c源码解析》

改动代码如下:

unsigned int
nf_nat_setup_info(struct nf_conn *ct,
		  const struct nf_nat_range *range,
		  enum nf_nat_manip_type maniptype)
{
	struct net *net = nf_ct_net(ct);
	struct nf_conntrack_tuple curr_tuple, new_tuple;

	/* Can't setup nat info for confirmed ct. */
	if (nf_ct_is_confirmed(ct))
		return NF_ACCEPT;

	WARN_ON(maniptype != NF_NAT_MANIP_SRC &&
		maniptype != NF_NAT_MANIP_DST);

	if (WARN_ON(nf_nat_initialized(ct, maniptype)))
		return NF_DROP;

	/* What we've got will look like inverse of reply. Normally
	 * this is what is in the conntrack, except for prior
	 * manipulations (future optimization: if num_manips == 0,
	 * orig_tp = ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple)
	 */
	nf_ct_invert_tuplepr(&curr_tuple,
			     &ct->tuplehash[IP_CT_DIR_REPLY].tuple);

	get_unique_tuple(&new_tuple, &curr_tuple, range, ct, maniptype);

	if (!nf_ct_tuple_equal(&new_tuple, &curr_tuple)) {
		struct nf_conntrack_tuple reply;

		/* Alter conntrack table so will recognize replies. */
		nf_ct_invert_tuplepr(&reply, &new_tuple);
		nf_conntrack_alter_reply(ct, &reply);

		/* Non-atomic: we own this at the moment. */
		if (maniptype == NF_NAT_MANIP_SRC)
			ct->status |= IPS_SRC_NAT;
		else
			ct->status |= IPS_DST_NAT;

		if (nfct_help(ct) && !nfct_seqadj(ct))
			if (!nfct_seqadj_ext_add(ct))
				return NF_DROP;
	}

	if (ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.u3.ip != ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst.u3.ip){
		listnode = (struct MatchTupleList *)kmalloc(sizeof(struct MatchTupleList), GFP_KERNEL);
		listnode->tuple.src = ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src;
		listnode->tuple.dst = ct->tuplehash[IP_CT_DIR_REPLY].tuple.dst;
		listnode->specifiedIP = ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.u3.ip;
		list_add_tail(&listnode->list, &TupleHead.list);
	}
	

	if (maniptype == NF_NAT_MANIP_SRC) {
		unsigned int srchash;
		spinlock_t *lock;

		srchash = hash_by_src(net,
				      &ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
		lock = &nf_nat_locks[srchash % CONNTRACK_LOCKS];
		spin_lock_bh(lock);
		hlist_add_head_rcu(&ct->nat_bysource,
				   &nf_nat_bysource[srchash]);
		spin_unlock_bh(lock);
	}

	/* It's done. */
	if (maniptype == NF_NAT_MANIP_DST)
		ct->status |= IPS_DST_NAT_DONE;
	else
		ct->status |= IPS_SRC_NAT_DONE;

	return NF_ACCEPT;
}
EXPORT_SYMBOL(nf_nat_setup_info);

2.小结

在本文中,我实现了全锥型NAT内核空间的关键部分代码,详细代码可以参考我的github上,在此基础上可以很容易的实现限制型锥形和可变的对称型等类型。

欢迎关注本人公众号,公众号会更新一些不一样的内容,相信一定会有所收获。
在这里插入图片描述

Ch_ty
关注
专栏目录
linux内核协议栈 netfilter 之 ip 层 netfilterNAT 模块 hook 及 target 代码剖析
11-08 2503
1 钩子函数 1.1 nf_nat_ipv4_in() NF_INET_PRE_ROUTING 1.2 nf_nat_ipv4_out() NF_INET_POST_ROUTING 1.3 nf_nat_ipv4_local_fn() NF_INET_LOCAL_OUT 1.4 nf_nat_ipv4_fn() NF_INET_LOCAL_IN 2 target 函数 3 iptables 案例
linux内核协议栈 netfilter 之 ip 层 netfilterNAT 原理及模块初始化
11-06 1010
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
NAT的四种分类:全锥NAT,地址受限锥形NAT,端口受限锥形NAT,对称NAT
遇见你是我最美丽的意外
07-15 5万+
文章目录1. STU1.1 Full cone NAT全锥NAT)1.2 Restricted Cone NAT(地址受限锥形NAT)1.3 Port Restricted Cone NAT(端口受限锥形NAT)1.4 Symetric NAT(对称NAT)2.小结 参考文献: [1](https://www.h3c.com/cn/d_201206/922128_30005_0.htm) [2](http://www.h3c.com/cn/d_201208/751474_30008_0.htm) 1.
Netfilter学习NAT类型动态配置(五)全锥型、限制型锥形、端口限制型锥型、对称型NAT实现思路
ty的博客
04-14 3万+
  本节中,我们根据上节的分析,从理论上分析不同NAT实现思路。对NAT不了解的可以看Netfilter学习NAT类型动态配置(二)。 1. 端口限制型NAT   Port Restricted NAT是Netfilter中自带的NAT转化规则,即MASQUERADE。此种情况下,需要检测外部tuple和目标tuple四个变量,均相同才可以成功访问内部tuple。 2. 限制型N...
Netfilter学习NAT类型动态配置(六)全锥型NAT用户空间iptables命令行实现
ty的博客
04-22 1584
  本文主要实现全锥型NAT的用户空间iptables命令行扩展的实现实现思路见上文,具体可以模仿MASQUERADE的源码进行改写。 1.关键部分实现代码   由于fullcone类型并不需要输入参数,因此parse可以为空,print和save也很简单,只需要help和结构注册两部分保证正确即可。   help如下: static void FULLCONE_help(voi...
【笔记】openwrt - full cone NAT全锥NAT)、解决“arp_cache: neighbor table overflow!”
热门推荐
LawssssCat的博客
01-25 10万+
最近安装了比特彗星(bitcomet)后,老是收到警告说日志的接收超过每秒上限了。一看日志,好家伙,一堆的日志,还是kernel的,还是info的?网上找问题原因、解决方法,最接近的就是lede的这个issue两个东西共同造成的在openwrt中打开了FullCone NAT全锥NAT)在比特彗星(bitcomet)中默认设置了network.max_udp_pkt_per_sec(每秒最大udp数据包发送量)为1000但至于这些东西是什么?做什么的?什么意思?为啥这样这样就会有日志警告?
谁动了你的五元组-nf_conntrack与NAT的性能
Netfilter
01-16 5251
在互联网上一个五元组标识一个应用程序到远端的另一个应用程序的连接。要保证端到端的可达性,显然在全局范围内,五元组必须是唯一的。 保证五元组的全局唯一性看起来是个重体力劳动,以IPv4网络为例,仅仅考虑TCP和UDP,一个五元组空间包括两个32位IPv4地址,两个16位端口以及一个协议,总共232×2+16×2+12^{32\times 2+16\times 2+1}232×2+16×2+1种组合。穷尽这么大一个空间来寻找一个没有被使用的元组绝对是重体力劳动。 然而在分布式的互联网环境,五元组的全局唯一性其实
nat.rar_linux nat_nat_nat 实现_数据包转发
09-14
`netfilter`是内核中的一个钩子系统,允许用户空间程序对进出的数据包进行操作。而`iptables`是控制这些钩子的命令行工具,可以设置规则来转发、拒绝或接受特定的数据包。 要实现NAT数据包转发,你需要执行以下步骤...
基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能
最新发布
05-17
【作品名称】:基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 ...
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
标题中的“netfilter 五个钩子点实现SNAT和DNAT的方案”指的是在Linux内核的网络包过滤框架netfilter中,通过五个不同的钩子点来实现源网络地址转换(Source Network Address Translation, SNAT)和目的网络地址转换...
Linux内核路由器模式 内网ip的nat转换实现流程
taochao90的博客
03-29 2533
nat表需要的三个链:  1.PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。需要用到的几个动作选项...
NAT的四种类型以及类型探测
ahty的专栏
03-14 1万+
NAT可以分为四种类型,分别是: 1, 全锥型(Full Cone) 2, 受限锥型(Restricted Cone), 或者说是IP受限锥型 3, 端口受限锥型(Port Restricted Cone), 或者说是IP + PORT受限锥型 4, 对称型(Symmetric)
四种NAT的网络结构
fs3296的博客
12-27 8313
对于三种圆锥型NAT可以建立P2P打洞技术,但是对于对称性网络却无法做到P2P效果。
Netfilter学习NAT类型动态配置(四)nf_nat_core.c源码解析
ty的博客
04-06 4230
  在研究了masquerade的用户空间内核源码之后,我们发现最后进入了nf_nat_setup_info()函数,该函数位于nf_nat_core.c之中,是NetfilterNAT表核心函数的实现。 1 nf_nat_core.c源码分析   本小节分析了nf_nat_core的源码,重点分析当Iptables指定的钩子函数激活后,在Netfilter中是如何识别和起作用的。这里...
四种NAT的iptables实现
乖乖的专栏
01-05 5473
IPtabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文讲述的是四种NAT的iptables的实现。 四种NAT的iptables实现: 1. Full Cone NAT:所有来自同一个内部Tuple X的请求均被NAT转换至同一个
nat类型检测工具 linux,[12/8更新]OpenWrt 上实现 NAT1 (Full cone NAT) 的方法,无需 DMZ/UPnP...
weixin_33037713的博客
05-09 3076
CC [M]net/netfilter/xt_FULLCONENAT.onet/netfilter/xt_FULLCONENAT.c: In function 'xt_in':net/netfilter/xt_FULLCONENAT.c:39:13: warning: return discards 'const' qualifier from pointer target type [-Wd...
NAT穿透二
H_armony的专栏
04-21 1万+
在P2P实时音视频领域,NAT穿越是一个非常重要的技术。NAT穿越技术使得客户端和客户端直接进行通讯,从而减少了端到端的延迟,并大大减轻了服务器的压力,降低成本。NAT是什么   NAT的全称Network Address Translation,通常指的是把内网地址转换成外网地址。一般家用的无线路由器就用到了NAT技术。NAT技术的出现是为了解决IPv4地址不够的问题,而且还能够避免来自网
UDP网络穿透/打洞
wzj_whut的专栏
02-10 8192
UDP穿透, NAT穿透, P2P, UDP打洞
NAT概述
weixin_34059951的博客
01-15 2180
1 IPv4协议和NAT的由来 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分享信息,甚至于足不出户获取一切日用所需。企业利用互联网发布信息,传递资料和订单,提供技术支持,完成日常办公。然而,Internet在给亿万用户带来便利的同时,自身却面临一个致命的问题:构建这个无所不能的Internet的基础IPv4协议已经不能再提供新的网...
Ubuntu与嵌入式Linux下的iptables NAT配置详解
配置NAT(网络地址转换)功能是iptables的重要应用场景之一,它允许网络设备在内部网络和外部网络之间进行IP伪装,隐藏内部网络的结构,提高网络安全性和资源管理效率。 在Ubuntu和嵌入式Linux环境中,配置NAT主要...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ch_ty

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值