Android系统中iptables的应用(三)NatController

最新推荐文章于 2023-03-14 21:45:00 发布
最新推荐文章于 2023-03-14 21:45:00 发布
阅读量7.6k 收藏 10
点赞数 1
分类专栏: Android 文章标签: android iptables android natcontrolle natcontroller
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokeweng/article/details/48827949
版权
个人邮箱:xiaokeweng@gmail.com  欢迎大家直接发邮件给我共同交流学习

      NatController这个模块支持android系统中网络共享功能,也可以勉强代称为网络地址转换(NAT:Network Address Translation),即在不同的网络接口设备之间搭建数据通路,互为上载出口,通过网络地址转换来实现数据包内部代理转发。例如,手机做无线热点hotspot,数据流量给其他通过wifi链接到本机的设备。从framework下发的可用Netdcmd只有一个:

 nat

 enable/disable<intiface><extiface>

(1)Netd.CommanderListener初始化后: 
createChildChains(V4V6, "filter", "FORWARD", FILTER_FORWARD);                                                                   
createChildChains(V4, "mangle", "FORWARD", MANGLE_FORWARD);
createChildChains(V4, "nat", "POSTROUTING", NAT_POSTROUTING);
sNatCtrl->setupIptablesHooks();
nat表新增规则:
  -N natctrl_nat_POSTROUTING
  -A POSTROUTING -j natctrl_nat_POSTROUTING
filter表:
  -N natctrl_FORWARD
  -N natctrl_tether_counters
  -A FORWARD -j natctrl_FORWARD
  -A natctrl_FORWARD -j DROP

mangle表:
  -N natctrl_mangle_FORWARD
  -A FORWARD -j natctrl_mangle_FORWARD
  -A natctrl_mangle_FORWARD -p tcp -m tcp --tcp-flags SYN SYN -j TCPMSS –clamp-mss-to-pmtu
    重要的是最后一条规则,这条规则的意义是,使TCP的SYN包中的MSS字段,根据upstream的MTU自动调整,相互兼容,避免downstream的数据包因超过通路upstream的MTU而无法通过。关于MSS的计算,通常ipv4协议MSS=MTU减40(IP数据包包头20字节和TCP数据包头20字节)。

(2)开启设备的某一种数据共享后:本例中开启mtk的hotspot共享,iniface=ap0,extiface=ccmni1
 
    sNatCtrl->enableNat( [intiface] , [extiface] );
nat表新增规则:
  -A natctrl_nat_POSTROUTING -o ccmni1 -j MASQUERADE
使出口为ccmni1的数据包,按照ccmni1网络接口设备的当前ip进行自动进行dst address的nat

filter表新增规则:
  -A natctrl_FORWARD -i ccmni1 -o ap0 -m state --state RELATED,ESTABLISHED -g natctrl_tether_counters
  -A natctrl_FORWARD -i ap0 -o ccmni1 -m state --state INVALID -j DROP
  -A natctrl_FORWARD -i ap0 -o ccmni1 -g natctrl_tether_counters
  -A natctrl_tether_counters -i ap0 -o ccmni1 -j RETURN
   -A natctrl_tether_counters -i ccmni1 -o ap0 -j RETURN
在ap0与ccmni1之间建立一条nat通道,保证有效数据能够成功通过iface转发。

(3)关于jump target MASQUERADE的man手册
MASQUERADE
       This target is only valid in the nat table, in the POSTROUTING chain.  It should only be used with dynamically  assigned  IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
       Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is  going out,  but  also  has  the effect that connections are forgotten when the interface goes down.  This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway).

       --to-ports port[-port]
              This  specifies  a  range of source ports to use, overriding the default SNAT source port-selection heuristics (see above).  This is only valid if the rule also specifies -p tcp or -p udp.

       --random
              Randomize source port mapping If option --random is used then port mapping will be randomized (ker‐nel >= 2.6.21).
xiaokeweng
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 13.0 系统限制上网系列之iptables用IOemNetd实现app上网白名单的功能实现
安卓兼职framework和app工程师的博客
05-05 215
在13.0的系统rom定制化开发,对于系统限制网络的使用,在systemnetd网络这块的产品需要,会要求设置app上网白名单的功能, liunxiptables命令也是比较重要的,接下来就来在IOemNetd这块实现app上网白名单的的相关功能,就是在系统只能允许某个app上网,就是除了这个app,其他的app都不能上网,最后在framework自定义服务实现接口调用
android流量防火墙iptables原理详解
08-27
Android 流量防火墙是一种基于 Iptables 的防火墙解决方案,旨在限制单个应用的联网状态。Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,这些规则是在做信息包过滤决定时,防火墙所...
NAT端口转发工具
02-15
windows 版本, 32bit, NAT端口转发工具, 模拟防火墙等端口转发工具
iptablesAndroid 抓包的妙用
有价值炮灰
01-31 941
本文主要介绍了 iptables 规则的配置方法,并且实现了一种在 Android 全局 HTTP(S) 抓包的方案,同时借助owner拓展实现应用维度的进一步过滤,从而避免手机其他应用的干扰。相比于传统的 HTTP 代理抓包方案,该方法的优势是可以实现全局抓包,应用无法通过禁用代理等方法绕过;
android nat64,dpvs学习笔记: 18 nat64 的实现
weixin_35835184的博客
05-28 641
这几天 iqiyi 同学做了大更新,dpvs 增加 nat64 功能,这样机房对外暴露 ipv6, 对内还不用修改 ipv4 业务代码。算是重量级武器吧,为 ipv6 升级过渡提供了双栈的保障。提前想好的问题如何使用 nat64 配置呢?会不会很繁琐后端 real server 看到的也是 ipv6 地址?怎么正确的获取源 ip,涉及 toa 的实现为了兼容 4 to 4 和 6 to 6,现有...
Androidiptables
愿有岁月可回首,且以深情共白头
11-05 2178
iptables是什么 iptables是Linux系统最重要的网络管控工具。它与Kernel的netfilter模块配合工作,其主要功能是为netfilter设置一些过滤(filter)或网络地址转换(NAT)的规则。当Kernel收到网络数据包后,将会依据iptables设置的规则进行相应的操作。 Table iptables内部(其实是Kernel的netfilter模块)维护着四个Ta...
通过adb shell使用iptables命令进行Android网络转发
weixin_44183535的博客
03-06 4046
最近接到一个任务:对Android平台RK3399的板子进行WIFI到Ethernet的网络转发,首先想到的最直接、最简单的方法就是通过其内核自带的iptables在命令行实现。 此是我第一次上传博文,由此记录我之前的调试经验,为了以后遗忘的时候可以再次回顾,有不妥的地方还有劳各位朋友纠正。 1、首先通过windows进入adb shell 按下微软图标+R,输出cmd进入windows命令行。...
Linux系统Iptables在网络安全应用.pdf
09-06
Linux系统Iptables在网络安全应用.pdf
详解Android 利用Iptables实现网络黑白名单(防火墙)
08-27
主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
操作系统安全:iptables工具.pptx
06-01
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;NATTable的...
基于iptablesAndroid手机防火墙.zip
最新发布
05-11
丰富的应用生态系统Android系统拥有庞大的应用程序生态系统,用户可以从Google Play商店或其他第应用市场下载和安装各种各样的应用程序,满足各种需求。 可定制性:Android操作系统可以根据用户的个人喜好进行...
Android 9.0双网卡转发到wlan0上网并通过busybox 获取gateway
Tanck的专栏
11-26 1615
busybox traceroute -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 5- | cut -d ’ ’ -f 1 | awk ‘$1=$1’ tb8788p1_64_bsp:/ # busybox traceroute -w 1 -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 2- 1 192.168.50.1 (192...
安卓自定义转发客户端内网访问问题
UFO_SERIESOFSOFT的博客
03-18 300
开始设计vpn的服务器和客户端时,以为客户端可以使用服务器内网ip进行访问。然而,实际测试发现,客户端数据包可以被服务器处理,但是服务器数据包无法被客户端处理。 首先,我测试了icmp。客户端ping服务器(内网ip)和服务器ping客户端(vpn ip)都是可达的。 之后,我再测试了udp和tcp。客户端发送的数据包都可以被服务器处理,然而,服务器发送的数据包,客户端都无法处理。 总结就是,服务...
用Bandwidth Controller实现局域网带宽控制
weixin_33984032的博客
05-12 115
用Bandwidth Controller实现局域网带宽控制 很多做网络管理的朋友都知晓微软的ISA Serve防火墙,在ISA Server 2000,带宽管理功能是通过设置优先级来实现,但是管理员更多的是希望限制用户可以使用的实时带宽,并且ISA Server 2000的带宽管理功能难以理解和部署,所以在ISA Server 2004,微软取消了带宽管理功能,如果你要限制用户使用的带宽...
Android系统iptables应用(二)BandwidthController
Hi~ xiaokeweng
09-29 9802
android系统iptables应用,bandwidthcontroller模块的iptables规则
android wlan0 网卡过程,Android 9.0双网卡转发到wlan0上网并通过busybox 获取gateway
weixin_32964881的博客
05-25 666
busybox traceroute -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 5- | cut -d ' ' -f 1 | awk '$1=$1'tb8788p1_64_bsp:/ # busybox traceroute -w 1 -q 1 -m 1 1.0.0.0 | sed -n 2p | cut -b 2-1 192.168.50.1 (192.16...
Android app网络访问控制
doomvsjing的博客
07-25 2883
Android下基于Iptables的一种app网络访问控制方案(一) http://blog.csdn.net/zhanglianyu00/article/details/50177873Android系统iptables应用(二)BandwidthController http://blog.csdn.net/xiaokeweng/article/details/48810049
某查线路app设备检测安全分析
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-14 501
又好久没更新了。最近一直都在知识的海洋里苦苦挣扎,也算是学了一些东西,自以为技术还可以了,结果遇到几个难搞的app,又把我干废了。还是得多学多练啊这个app是好友@Artio 给我的,我本着好奇想玩一下,结果还挺有意思。还是得沉住气啊,慢慢来,别慌,不然思维容易卡住,一点点来,抽丝剥茧当我hook掉之后,再次打开这个app,就不再限制wifi访问了,好神奇,具体细节我就没去研究了。
(整理篇二)Android—流量监控
ll_cloud的专栏
09-15 1403
Android与流量相关的文件:/proc/net/dev,记录各个网络接口(wlan, ccmni1,lo,ifb,tunl,sit,ip6tnl,p2p)发送、接收流量的值。 /proc/uid_stat/app_uid,該路徑下有兩個文件:tcp_snd,tcp_rcv,記錄了app_uid所代表的的應用程序發送、接收的流量值。二 Android与流量监控开发相关的类:TrafficS
浅谈Linux系统iptables应用
05-15
iptables 是 Linux 系统的一个强大的防火墙工具,它可以用于过滤、重定向和修改网络数据包。它是一个基于内核的软件,可以对数据包进行过滤和修改,从而实现网络连接的控制和管理。在 Linux 系统iptables 是最常用的防火墙软件之一,它可以在多个层面上进行过滤和管理网络连接。以下是 iptables 在 Linux 系统的一些应用: 1. 防火墙:iptables 可以配置防火墙规则,保护系统免受来自外部网络的攻击。它可以限制不同网络之间的数据流量,并允许或阻止特定的端口和协议。 2. NATiptables 可以实现网络地址转换(NAT),它可以将私有 IP 地址转换为公共 IP 地址以实现 Internet 访问。通过 NAT,可以将多个设备连接到 Internet,而不需要每个设备都拥有公共 IP 地址。 3. 端口转发:iptables 可以将进入系统的数据包重定向到其他系统或端口。这是在服务器环境非常有用的,因为它可以将外部流量重定向到内部服务器。 4. 流量限制:iptables 可以限制流量,这对于限制恶意用户或应用程序的带宽使用非常有用。它可以限制连接的数量、速率和带宽,从而保证网络的稳定性和可靠性。 总之,iptables 是 Linux 系统非常有用的一个工具,可以用于保护网络安全、管理网络连接和实现网络地址转换等功能。它的功能非常强大,但也需要用户具备一定的技术水平和经验,才能正确配置和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值