centos7 netfilter过滤程序

已于 2022-07-03 15:16:13 修改
阅读量692 收藏
点赞数
分类专栏: linux 文章标签: 服务器 linux centos vscode
于 2022-07-03 15:01:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/win32fanex/article/details/125584225
版权

windows客户端上安装vscode和putty。

我纯粹是把vscode作为一个远程书写工具。编译工作是通过putty在服务器中执行make命令完成。因此我的vscode只安装了SSH插件和C/C++插件。为了让vscode在书写C/C++代码有智能提示,我在vscode配置文件c_cpp_properties.json中添加了头文件路径:

{
    "configurations": [
        {
            "name": "Linux",
            "includePath": [
                "${workspaceFolder}/**",
                "/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/include/**",
                "/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/arch/x86/include/**"
            ],
            "defines": [                
                "__KERNEL__",
                "__GNUC__"],
            "compilerPath": "/usr/bin/gcc",
            "cStandard": "gnu17",
            "cppStandard": "c++14",
            "intelliSenseMode": "linux-gcc-x64"
        }
    ],
    "version": 4
}

我之前使用的阿里云centos8上面是预装了linux内核源码的,相关一些设置阿里云应该都替用户弄好了。后来换了另一运营商的centos7,没有预装内核源码。安装内核源码并不困难,但安装完毕后暴露出许多问题。

首先是代码中的头文件飘红,似乎c_cpp_properties.json并不管用。不理它强行make编译,结果抛出海量错误。经研究是安装内核源码后没有添加gcc头文件搜索路径所致,可以在vi /etc/profile 在尾部添加:

# C
export C_INCLUDE_PATH=/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/include/**:/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/arch/x86/include/**
# CPP
export CPLUS_INCLUDE_PATH=/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/include/**:/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64/arch/x86/include/**

然后执行source /etc/profile使更改生效。

vscode只是作为一个远程书写工具,除了我输入的代码外,其它相关参数,都是vscode在读取远程服务器上配置后显示的

第二个问题是centos7默认安装的gcc版本较低,不支持新的C/C++语言特性,可能会造成编译错误,需要升级gcc。

第三个问题是编译时提示“Cannot use CONFIG_STACK_VALIDATION, please install libelf-dev or elfutils-libelf-devel”

解决方法是“yum install elfutils-libelf-devel”

第四个问题是编译时提示“module verification failed: signature and/or required key missing - tainting kernel”

解决方法是在Makefile第一行添加“CONFIG_MODULE_SIG=n”,注意重新编译前先rmmod掉刚才加载的同名内核驱动。

下面是我centos7下netfilter示例程序,它会在加载入内核后10分钟内禁止icmp协议,使得对网站ping操作失效。

#include <linux/time.h>
#include <linux/netdevice.h>
#include "linux/module.h"
#include "linux/netfilter_ipv4.h"
#include "linux/kernel.h"
#include "linux/kern_levels.h"
#include "linux/skbuff.h"
#include "linux/ip.h"
#include <linux/inet.h> 
#include "linux/if_ether.h"
#include "linux/if_packet.h"
#include "linux/init.h"
 
static struct timespec start;
static struct timespec now;

 
/*copyright statement*/
MODULE_LICENSE("Dual BSD/GPL");
 
 
static unsigned int nf_hook_out(unsigned int hooknum,
  struct sk_buff *skb,
  const struct net_device *in,
  const struct net_device *out,
  int (*okfn)(struct sk_buff*))
{
	struct sk_buff *sk = skb;
	struct iphdr *iph=ip_hdr(sk);

	now = current_kernel_time();

	if(iph->protocol==IPPROTO_ICMP)
	{
		if(now.tv_sec - start.tv_sec < 600){
			return NF_DROP;
		}
		else{
			return NF_ACCEPT;
		}
		
	}else
	{
		return NF_ACCEPT;
	}
}
 
 
static struct nf_hook_ops nfout=
{
	.list = {NULL,NULL},
	.hook = nf_hook_out,
	.hooknum = NF_INET_LOCAL_OUT,
	.pf = PF_INET,
	.priority = NF_IP_PRI_FIRST
};
 
/*initialization module*/
static int __init banping_init(void)
{
	nf_register_hook(&nfout);
    start = current_kernel_time();
	printk(KERN_ALERT"Banping module init%ld\n",start.tv_sec);
	return 0;
}
/*clear module*/
static void __exit banping_exit(void)
{
	nf_unregister_hook(&nfout);
	printk(KERN_ALERT"Banping module exit\n");
}
module_init(banping_init);
module_exit(banping_exit);
 
MODULE_AUTHOR("FEI FENG");
MODULE_DESCRIPTION("Ban ping");
MODULE_VERSION("0.0.1");

CONFIG_MODULE_SIG=n
KERNELDIR :=/usr/src/kernels/3.10.0-1160.15.2.el7.x86_64
 
CURRENT_PATH :=$(shell pwd)

obj-m := netflt.o
 
build:kernel_modules
 
kernel_modules:
 
	$(MAKE) -C $(KERNELDIR) M=$(CURRENT_PATH) modules
 
clean:
 
	$(MAKE) -C $(KERNELDIR) M=$(CURRENT_PATH) clean

大狗狗
关注
专栏目录
Centos7系统安全漏洞及修复方案
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
CentOS7 运维 - iptables防火墙 | 规则实例 | SNAT | DNAT | 超详细
serendipity_cat的博客
03-17 2136
CentOS7运维 - iptables防火墙一、概述二、规则表raw表mangle表nat表filter表三、规则链inputoutputforwardpreroutingpostrouting规则表优先顺序规则链之间的匹配顺序四、iptables的安装iptables 命令行配置方法实例►添加新的规则►查看规则列表►删除第一条规则[从下网上删]►在第二行增加一条规则►设置默认策略①清空规则②规则的匹配③隐含匹配④TCP标记匹配⑤ICMP类型匹配⑥显示匹配⑦IP范围匹配⑧MAC地址匹配⑨状态匹配 一、概述
Centos7 iptables/netfilter 详解
3Golds
05-05 374
iptables/netfilternetfilter:在Linux内核中的一个软件框架,用于管理网络数据包。不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改、以及数据包过滤等防火墙功能。利用运作于用户空间的应用软件,如iptable等,来控制Netfilter,系统管理者可以管理通过Linux操作系统的各种网络数据包iptables:一个运行在用户空间的应用软件,通过控制Linux内核...
CentOS 7下 iptables/netfilter使用详解(一)
weixin_34007879的博客
05-05 680
一、理论部分1、什么是防火墙? 防火墙:(英文:Firewall),隔离工具 防火墙其实就是一个组件,这个组件能够屏蔽来自于互联网,或来自于企业内部的用户的***操作(DDos***,端口扫描等等);主要目的是防范非授权的访问的!它工作于网络或主机的边缘(通信报文的进出口),对于进出本网络或主机的报文根据事先定义的检查规则做匹配检测,对于能够被规则...
iptables
Faith的博客
09-20 518
netfilter:在Linux内核中的一个软件框架,用于管理网络数据包。不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改、以及数据包过滤等防火墙功能。利用运作于用户空间的应用软件,如iptable等,来控制Netfilter,系统管理者可以管理通过Linux操作系统的各种网络数据包 iptables:一个运行在用户空间的应用软件,通过控制Linux内核netfilte
centos7 iptables和firewalld学习记录
anyangyu0343的博客
07-14 394
centos7系统使用firewalld服务替代了iptables服务,但是依然可以使用iptables来管理内核的netfilter 但其实iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能 在iptables命令中设置数据过滤或处理数据包的策...
centos7 中iptables、firewalld 和 netfilter 的关系
weixin_30498921的博客
05-23 287
  centos7系统使用firewalld服务替代了iptables服务,但是依然可以使用iptables来管理内核的netfilter   但其实iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 转载于:https://www.cnblogs.com...
Centos7的Firewalld防火墙基础命令详解
01-10
netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系; firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系; 1、...
CentOS 7 Firewalld防火墙基础命令深度解析与实战
CentOS 7中的Firewalld防火墙是一个强大的网络访问控制工具,它作为Linux内核的一部分,通过用户态的firewalld命令程序来管理和控制包过滤机制。火walld主要负责为内核的netfilter子系统提供策略,通过定义规则决定...
KVM离线yum源部署-centos 7
最新发布
beck_li的博客
06-24 895
一、虚拟化简介 1 二、硬件虚拟化确认 2 三、 系统优化 2 四、 安装虚拟化包 3 1、 挂载系统光盘 3 2、 配置光盘yum源 3 3、 关闭防火墙和selinux,如果不关闭可造成虚拟机只能被宿主ssh登录 3 3.1关闭防火墙 3 3.2关闭selinux 3 4、 安装kvm 3 5、 启动并设置开机启动 3 6、 检查KVM / QEMU是否正常运行 3 7、 查看kvm模块是否加载 4
centos 适配netfilter(iptables)的match模块
sidemap的博客
11-12 576
适配的版本: 操作系统:centos7.7 内核:4.4.193 iptables:1.8.3 参考内容: https://blog.csdn.net/cheng_fangang/article/details/8691313#commentBox(iptables部分参考)http://blog.chinaunix.net/uid-27057175-id-5181560.html(内核部分...
Centos 6.6上 netfilter/iptables防火墙的基本用法
weixin_34273046的博客
05-06 237
友情提醒:本文实验环境 vmware 10 + Centos 6.6 X86_64,文件命令请谨慎使用1 事前必知:1)什么是防火墙? 防火墙:工作于主机或网络边缘,对于进出的报文根据事先定义的规则做检查,被匹配到的报文作出相应处理的组件。 所以: (1)防火墙不是...
linux防火墙,netfilter机制
aoli_shuai的博客
11-29 792
linux防火墙 selinux 在配制远程连接时是要关闭selinux的。 临时关闭selinux: setenforce 0 永久关闭要编辑配置文件 vim /etc/selinux/config SELINUX=disabled 平时一般关闭selinux 2.iptablesiptables是linux的防火墙机制。在centos6时,是用的netfilter机制,centos7时用的是
CentOS过滤问题——唯一确定需要过滤进程号的方式
goTsHgo的博客
10-17 1288
前言 本文介绍了为什么可以通过 ps -ef 配置文件名 的方式来过滤出 配置文件对应的进程 一、ps命令介绍 ps命令是Process Status的缩写,用于查看系统进程的状态,ps命令输出值非常多,通常会结合管道符 和grep 使用。 二、使用步骤 1.我们直接输入ps命令,不加任何参数。 代码如下(ps示例): 可以看到默认输出4列信息 PID: 运行着的命令(CMD)的进程编号 TTY: 命令所运行的位置(终端) TIME: 运行着的该命令所占用的...
linux kernel insmod模块出现的两个错误以及解决方案
悟空明镜
08-21 1万+
编译了自己的驱动,但是insmod出现问题: 第一个问题: [ 12.722535] sciu2s: module verification failed: signature and/or required key missing - tainting kernel [ 12.722560] sciu2s: Unknown symbol usb_serial_deregister_...
insmod 签名引发的问题
热门推荐
YW
03-08 1万+
  insmod 添加.ko时  dmesg  (1)发现 hello: module verification failed: signature and/or required key missing - tainting kernel自3.7内核以后有了内核签名机制。我的.config是这样CONFIG_MODULE_SIG=y# CONFIG_MODULE_SIG_FORCE is not...
内核编译之模块验证失败和手动模块签名
linux-0.11调试教程
02-08 4550
cd scripts/ sudo perl sign-file sha512 ../signing_key.priv ../signing_key.x509 ../libahci.ko 四个参数,第一个是sha512 第二个第三个都在/usr/src/linux-3.18.4/下 每次编译都要签名,所以只编译bzImage然后cp替换/boot目录下的vmlinu
内核签名
chuxuezhe_158的博客
09-07 2018
1)对于我们自己写的驱动程序,dmesg中有类似于: itx3010_J45: module verification failed: signature and/or required key missing - tainting kernel (我们写的驱动) 是因为3.7以后的内核添加内核签名机制, 当CONFIG_MODULE_SIG_FORCE=y时,内核将只加载带有公钥的合法签名模...
Ubuntu16.04安装NVIDIA驱动问题总结
root_clive的博客
09-03 5347
本文记录在Ubuntu16.04安装NVIDIA的驱动过程中遇到的问题及解决方法,希望对看到的人有所帮助。 1、显卡驱动安装 (1) 禁用nouveau驱动 sudo vim /etc/modprobe.d/blacklist.conf 在最后添加下面的两行 blacklist nouveau options nouveau modeset=0 (2) 更新initramfs ...
centos7编写c语言程序
09-25
CentOS 7上编写C语言程序的步骤如下: 1. 首先,在终端中安装gcc编译器。可以使用以下命令进行安装:sudo yum install gcc 2. 然后,使用文本编辑器(如Vi)来创建一个C源文件。可以使用以下命令创建一个名为test....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值