linux 内核 netfilter 网络过滤模块 (3)-NAT

最新推荐文章于 2024-06-26 14:50:46 发布
最新推荐文章于 2024-06-26 14:50:46 发布
阅读量993 收藏 2
点赞数

本文对netfilter中NAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。

 

1. NAT模块的初始化

NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。

nf_nat_init()函数:

 

nf_nat_standalone_init()函数:

NAT表是一个xt_table,定义如下:

static struct xt_table nat_table = {
	.name		= "nat",
	.valid_hooks	= NAT_VALID_HOOKS,
	.me		= THIS_MODULE,
	.af		= AF_INET,
};

iptables的表如filter, nat,mangle表都是通过ipt_register_table()注册的,在netfilter中被使用。我们需要知道iptables的表中的每条规则都包括三部分:

entry:规则的入口,同时做一些匹配数据包的工作。

match:匹配数据包的条件大多放在这里。

target:对于符合条件的数据包要执行的动作放在这里。

NAT表中的每条规则就包括上面三个部分。

注册NAT表时传入的第三个参数nat_initial_table定义如下:

static struct
{
	struct ipt_replace repl;
	struct ipt_standard entries[3];
	struct ipt_error term;
} nat_initial_table __net_initdata = {
	.repl = {
		.name = "nat",
		.valid_hooks = NAT_VALID_HOOKS,
		.num_entries = 4,
		.size = sizeof(struct ipt_standard) * 3 + sizeof(struct ipt_error),
		.hook_entry = {
			[NF_INET_PRE_ROUTING] = 0,
			[NF_INET_POST_ROUTING] = sizeof(struct ipt_standard),
			[NF_INET_LOCAL_OUT] = sizeof(struct ipt_standard) * 2
		},
		.underflow = {
			[NF_INET_PRE_ROUTING] = 0,
			[NF_INET_POST_ROUTING] = sizeof(struct ipt_standard),
			[NF_INET_LOCAL_OUT] = sizeof(struct ipt_standard) * 2
		},
	},
	.entries = {
		IPT_STANDARD_INIT(NF_ACCEPT),	/* PRE_ROUTING */
		IPT_STANDARD_INIT(NF_ACCEPT),	/* POST_ROUTING */
		IPT_STANDARD_INIT(NF_ACCEPT),	/* LOCAL_OUT */
	},
	.term = IPT_ERROR_INIT,			/* ERROR */
};

xt_register_target()函数为iptables 规则注册target,这里注册了snat和dnat两个target,他们的定义如下:

static struct xt_target ipt_snat_reg __read_mostly = {
	.name		= "SNAT",
	.target		= ipt_snat_target,
	.targetsize	= sizeof(struct nf_nat_multi_range_compat),
	.table		= "nat",
	.hooks		= 1 << NF_INET_POST_ROUTING,
	.checkentry	= ipt_snat_checkentry,
	.family		= AF_INET,
};
 
static struct xt_target ipt_dnat_reg __read_mostly = {
	.name		= "DNAT",
	.target		= ipt_dnat_target,
	.targetsize	= sizeof(struct nf_nat_multi_range_compat),
	.table		= "nat",
	.hooks		= (1 << NF_INET_PRE_ROUTING) | (1 << NF_INET_LOCAL_OUT),
	.checkentry	= ipt_dnat_checkentry,
	.family		= AF_INET,
};

介绍完NAT模块的初始化,接下来看看NAT处理数据包的过程。

 

2. NAT处理流程

NAT模块通过挂在netfilter上的hook函数起作用,其任务就是将设置好的NAT表中的iptables规则作用于conntrack连接,使其做NAT转换,并生成新的conntrack连接。而后续相同的数据包直接根据新的conntrack连接进行NAT转换而不需要再匹配NAT表。NAT表与netfilter其他表的区别就是一个连接上的数据包只需要查找一次NAT表。

NAT有四个hook点,这四个hook点的函数都是调用nf_nat_fn(),其中PRE_ROUTING和LOCAL_OUT做DNAT,POST_ROUTING和LOCAL_IN做SNAT,所以我们的SNAT规则是加在POST_ROUTING链上的。但LOCAL IN和LOCAL OUT上的hook点一般不做工作,因此我们只关注PRE ROUTING和POST ROUTING的hook点。

下文中有的地方将conntrack简写为ct。

nf_nat_fn()函数:

static unsigned int
nf_nat_fn(unsigned int hooknum,
	  struct sk_buff *skb,
	  const struct net_device *in,
	  const struct net_device *out,
	  int (*okfn)(struct sk_buff *))
{
	struct nf_conn *ct;
	enum ip_conntrack_info ctinfo;
	struct nf_conn_nat *nat;
	/* maniptype == SRC for postrouting. */
		
	/* 判断应该做SNAT还是DNAT */
enum nf_nat_manip_type maniptype = HOOK2MANIP(hooknum); 
 
	/* 分片包就报warning,因为在这之前已经过了defrag的hook了。 */
	NF_CT_ASSERT(!(ip_hdr(skb)->frag_off & htons(IP_MF | IP_OFFSET)));
 
	/*获得skb的nf_conn结构,因为conntrack的hook在NAT之前,所以skb中应该有nf_conn了,并从skb->nfctinfo中获得当前连接跟踪的状态。 */
	ct = nf_ct_get(skb, &ctinfo); 
	if (!ct) /* 找不到tuple可能因为数据包不合法,就如序列号过大 */
		return NF_ACCEPT;
 
	/* Don't try to NAT if this packet is not conntracked */
	if (ct == &nf_conntrack_untracked)
		return NF_ACCEPT;
 
	/* 在ct->ext中查找存不存在关于NAT的extension,没找到则新建。在本函数中用不到,NAT的extension在后面介绍。 */
	nat = nfct_nat(ct);
	if (!nat) {
		/* NAT module was loaded late. */
		if (nf_ct_is_confirmed(ct)) {
			printk("CT not confirmed ct=%p\n\n",ct);
			return NF_ACCEPT;
		}
		/* GFP即get free page,这些宏指定了内存分配时的优先级。
		这里只是分配空间 */
		nat = nf_ct_ext_add(ct, NF_CT_EXT_NAT, GFP_ATOMIC);
		if (nat == NULL) {
			pr_debug("failed to add NAT extension\n");
			return NF_ACCEPT;
		}
	}
 
	/* 判断连接状态 */
	switch (ctinfo) {
	case IP_CT_RELATED:
	case IP_CT_RELATED+IP_CT_IS_REPLY:
		if (ip_hdr(skb)->protocol == IPPROTO_ICMP) {
			if (!nf_nat_icmp_reply_translation(ct, ctinfo,
							   hooknum, skb))
				return NF_DROP;
			else
				return NF_ACCEPT;
		}
	case IP_CT_NEW: /* 新来的,还没创建conntrack条目,需要查找NAT表 */
		/* Seen it before?  This can happen for loopback, retrans,
		   or local packets.. */
		/* 另外,如果只有单方向数据,这个if也会使其不需要查找nat表。 */
		if (!nf_nat_initialized(ct, maniptype)) {
			unsigned int ret;
 
			if (hooknum == NF_INET_LOCAL_IN)
				/* LOCAL_IN hook doesn't have a chain!  */
				ret = alloc_null_binding(ct, hooknum);
			else
	/* 在nat(iptable)表中匹配该hook中的iptables规则并执行target。结果是给skb指向的ct做了NAT,且更新ct->status为IPS_DST_NAT_DONE_BIT或IPS_SRC_NAT_DONE_BIT。 */
				ret = nf_nat_rule_find(skb, hooknum, in, out,
						       ct);
 
			if (ret != NF_ACCEPT) {
				return ret;
			}
		} else
			pr_debug("Already setup manip %s for ct %p\n",
				 maniptype == IP_NAT_MANIP_SRC ? "SRC" : "DST",
				 ct);
		break;
 
	default:
		/* ESTABLISHED或REPLY的连接,就直接根据ct修改skb了。 */
		NF_CT_ASSERT(ctinfo == IP_CT_ESTABLISHED ||
			     ctinfo == (IP_CT_ESTABLISHED+IP_CT_IS_REPLY));
	}
 
	/* 前面已经修改了连接跟踪,这里正式修改了数据包里的地址 */
	return nf_nat_packet(ct, ctinfo, hooknum, skb);
}

其中nf_nat_rule_find()函数通过调用ipt_do_table(skb, hooknum, in, out,net->ipv4.nat_table)来修改ct做NAT,ipt_do_table()函数的工作就是匹配iptables规则matches并执行target。以下面的数据包为例:

src ip:192.168.1.102,dst ip:192.168.2.100,wan ip:192.168.2.1

数据包从路由器LAN->WAN方向传输,即从局域网到公网,所以需要做SNAT,即在POST_ROUTING处为数据包做NAT。

在nf_nat_rule_find()函数前后ct的变化如下(TCP和UDP相同):

PRE_ROUTING:

 

源ip/port

目的ip/port

skb->nfctinfo

ipt_do_table()之前

192.168.1.102:3386

192.168.2.100:10115

IP_CT_NEW

192.168.2.100:10115

192.168.1.102:3386

IP_CT_NEW

ipt_do_table()之后

192.168.1.102:3386

192.168.2.100:10115

IP_CT_NEW

192.168.2.100:10115

192.168.1.102:3386

IP_CT_NEW

POST_ROUTING:

 

源ip/port

目的ip/port

skb->nfctinfo

ipt_do_table()之前

192.168.1.102:3386

192.168.2.100:10115

IP_CT_NEW

192.168.2.100:10115

192.168.1.102:3386

IP_CT_NEW

ipt_do_table()之后

192.168.1.102:3386

192.168.2.100:10115

IP_CT_NEW

192.168.2.100:10115

192.168.2.1:3386

IP_CT_NEW

skb的状态skb->nfctinfo在nf_conntrack_in()根据ct的状态ct->status被更新,即下一个包进来的时候才会更新。第一个数据包根据iptables设置的NAT规则做NAT后,conntrack条目被更新。

之后的数据包再进入netfilter的时候,由于conntrack优先级在NAT之前,所以skb->nfctinfo会在进入nf_nat_fn()之前更新,因此就会使用新的conntrack做NAT而无需再查找NAT表中的规则。之后的数据包的状态可能为IP_CT_IS_REPLY或IP_CT_ESTABLISHED,如果有expect连接,则可能为IP_CT_RELATED或IP_CT_RELATED + IP_CT_IS_REPLY。

如果只有单方向的数据包,那skb的状态在nf_conntrack_in()就不会被修改,所以会一直是IP_CT_NEW,因此后续数据包会一直查找NAT表。不过一般不会一直都是单方向的,即使跑UDP不分片包的数据,一般也会看到有REPLY方向的数据包,有了REPLY方向的数据包,在conntrack钩子就会更新conntrack和skb的状态。

ICMP做NAT要做一下特殊介绍,在POST_ROUTING处的连接如下:

 

源ip/port

目的ip/port

skb->nfctinfo

ipt_do_table()之前

192.168.1.102: 768

192.168.2.100:2048

IP_CT_NEW

192.168.2.100: 768

192.168.1.102:0

IP_CT_NEW

ipt_do_table()之后

192.168.1.102: 768

192.168.2.100: 2048

IP_CT_NEW

192.168.2.100: 768

192.168.2.1:0

IP_CT_NEW

由于ICMP没有端口号,所以会以ICMP报头中的Identifier作为源port,以ICMP报头中的Type + Code字段作为目的port。如果内网有多台主机,Identifier会发生变化,即连接上的源port会发生变化,以此区分不同的连接。而由于目的port是根据Type + Code确定的,这个值对于特定类型的ICMP报文的值是一样的。

UDP分片包做NAT:

由于defrag的hook在conntrack之前,所以不用担心分片包的问题。

 

 

whatday
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3509
本文对netfilterNAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
goland 开发工具插件 ja-netfilter-all
08-24
这个插件集成了对Netfilter框架的支持,NetfilterLinux内核的一个模块,用于处理网络数据包,它允许用户在数据包经过网络栈的不同阶段进行操作,包括防火墙规则、NAT转换等。 首先,Ja-Netfilter-All提供了一套...
linux nat源码分析,LinuxNAT/NAPT规则源码分析
weixin_28674303的博客
05-12 162
38 static int39 udp_unique_tuple(struct ip_conntrack_tuple *tuple,40 const struct ip_nat_range *range,41 enum ip_nat_manip_type maniptype,42 const struct ip_conntrack *...
Linux通用系统高危漏洞(CVE-2024-1086)修复案例
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-26 1538
2024年3月28日,监 Linux kernel权限提升漏洞(CVE-2024-1086)的PoC/EXP在互联网上公开,该漏洞的CVSS评分为7.8,目前漏洞细节已经公开披露,美国网络安全与基础设施安全局(CISA)6月1日也更新了其已知漏洞(KEV)目录,要求联邦机构在 2024 年 6 月 20 日之前打上补丁,修复追踪编号为 CVE-2024-1086 的 Linux 内核权限提升漏洞。由于该漏洞的公开性,攻击者可能会利用这个漏洞进行恶意攻击,因此建议尽快采取修复措施。
linux下的nat源码分析,关于linuxnat实现的一些思考
weixin_32001191的博客
05-12 391
DNAT主要是用于保护nat内侧的服务器,针对外部主动连接内部的情形,而SNAT恰恰相反,为了保护和限制内部的网络客户机,针对的是内部主动连接外部的情形,在linuxnat是基于连接跟踪模块起作用的,连接跟踪模块将每一个数据包试图和一个连接关联,结果就是要么这个数据包属于一个已经存在的连接,要么这个数据包不属于任何一个已经存在的连接,这种情况下连接跟踪模块将要为此数据包创建一个连接,显然该数据...
linux内核nat源码,LinuxNAT/NAPT规则源码分析
weixin_35056480的博客
05-08 676
前面有一篇文章分析了为什么在PREROUTING做DNAT对本地连接不起作用?本文再紧接着上文,深入分析一下NAT/NAPT的规则。事情的起因要从上的那篇的文章说起,因为我的本科生毕业设计也是做P2P相关的内容,所以对于此类防火墙穿透的技术还是很关心,也是很感兴趣的,可当我跟随着那篇文章的链接找到《The hole trict》的时候,又不禁觉得有些失望,原来只是UDP打洞技术(UDP HoleP...
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
qq_21160025的博客
06-03 9999
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
Linux协议栈--NAT源码分析
maimang1001的专栏
01-27 1340
Linux协议栈--NAT源码分析 NAT的初始化 NAT的实现 NAT的实际转换过程 参考NAT的初始化前面我们在Iptables规则提到过,NAT是Iptables的一种。所以NAT的初始化会在Iptables框架注册一个项。然后NAT也需要在Netfilter框架注册钩子函数才能捕获数据包并对其进行修。这些都是在/net...http://cxd2014.github.io/2017/09/29/linux-nat/ NAT的初始化 前面我们在Iptables规则提到过,NAT是Ip
Linux内核网络部分源码分析-唐文
08-28
NetfilterLinux内核的一个框架,它提供了一个统一的接口来处理各种网络功能,如包过滤网络地址转换(NAT)、连接跟踪等。通过Netfilter内核能够灵活地插入不同的模块来实现特定的功能,并且这些功能可以在...
Netfilter框架-完全解析.doc
02-25
Netfilter框架是Linux内核的一个核心组件,自2.4.x版本开始引入,它提供了一个通用且抽象的架构,允许开发者实现数据包过滤网络地址转换(NAT)和连接跟踪等功能。Netfilter框架主要涉及到五个关键点,即"A"、"B...
nat-pt.rar_ipv4 ipv6_linux NAT-PT_linux ipv6 natpt_linux-usermo
09-20
通常,用户模式的NAT-PT解决方案会依赖于内核提供的某些功能,如Netfilter框架,它为网络数据包过滤和转换提供了接口。 文件“nat-pt”可能包含了实现NAT-PT的源代码、配置文件、文档或者示例,帮助用户在Linux系统...
Netfilter源代码分析详解
fangxin205的专栏
03-27 6425
一、概述 1. Netfilter/IPTables框架简介 Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构,并允许使用者对数据报进行过滤、地址转换、处理等操作。 Netfi
netfilternat
fengcai_ke的博客
07-18 724
netfilter nat实现分析
继iptables之后的新一代包过滤框架是nftables
weixin_34183910的博客
11-12 610
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日 记吧,自幼喜欢每天写日记,学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊 得过且过,就准备把自己知道的关于Linux网络的东西一点一...
【kernel exploit】CVE-2022-1015 nftables 栈溢出漏洞分析与利用
panhewu9919的博客
07-16 2709
CVE-2022-1015 内核nftables 栈溢出
netfilter之链接跟踪做nat
City_of_skey的博客
12-14 1169
上一节我们将了NAT是基于链接跟踪实现的,当一条链接跟踪建立要改变它的tuple的reply方向才能做nat,这个链接跟踪的nat是函数nf_nat_setup_info实现 1、nf_nat_setup_info nf_nat_setup_info对链接跟踪的做NAT,只会改变链接跟踪reply方向的ip、端口,不会改变数据包的ip、端口,数据包的DAT在上一节已经介绍了是在PRE_ROUT...
NetFilterNAT机制(IP地址的分类)
Edidaughter的博客
09-30 728
SNAT和DNAT
Linux netfilter/iptables内核模块介绍
chengfangang的专栏
03-20 1876
http://www.linuxidc.com/Linux/2012-09/71468.htm netfilter架构 netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么? 在钩子函数的代
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值