netfilter禁止ping发送

最新推荐文章于 2023-07-27 11:04:13 发布
最新推荐文章于 2023-07-27 11:04:13 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: 网络程序设计 ping netfilter 文章标签: ping iptables netfilter hook sockopt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zha_ojunchen/article/details/106738776
版权

源代码地址 https://gitee.com/junwuming/Linux-Network/tree/master/Netfilter

实验目的

了解Netfilter框架,掌握Linux内核模块编程的方法,熟悉Netfilter框架进行数据拦截的方法,能够利用Netfilter框架实现网络数据包的控制。

功能描述

能够利用Netfilter框架和钩子函数实现以下功能:

  • 禁止Ping发送;

  • 禁止某个IP地址数据包的接收;

  • 禁止某个端口的数据响应;

需求分析

  1. 禁止ping发送

    需要在发出的包里面检查发出包的类型,禁止ICMP报文发送。即使需要在OUT处挂载钩子函数,过滤ICMP报文

  2. 禁止某个IP地址的数据包接收

    需要在接收的包里面检查包的IP地址,禁止特定IP数据包接收。即使需要在IN处挂载钩子函数,过滤目标IP报文。

  3. 禁止某个端口的数据响应

    需要在接收的包里面检查包的目的端口地址,禁止特定端口的数据包接收。即使需要在IN处挂载钩子函数,过滤目标报文。

实验环境

Linux zhao 4.15.0-106-generic #107~16.04.1-Ubuntu SMP Thu Jun 4 15:40:05 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

实验模块

实验分为三个模块

  • 钩子模块
  • 钩子函数
  • 内核交互

综合部分:首先在内核实现ping、IP、port三个部分的功能,然后在用户层通过内核交互动态配置内核模块的功能。并检测是否有效!

钩子模块

备注:原理是针对内核3.x(实验是针对新版本的内核)

使用Netfilter模块在网络通信的各个模块设计hook点:下图为Linux内核为3.x的网络编程hook点(新版的内容可能有点区别)

image-20200613122457545

钩子函数

ping模块

在OUT钩子处,挂上如下图所示的功能函数:

image-20200613125947238

IP. . 模块

在IN钩子处,挂上如下图所示的功能函数:

image-20200613130116215

port模块

在IN钩子处,挂上如下图所示的功能函数:

image-20200613130203444

内核交互

使用sockopt实现和内核的交互,进而实现动态配置内核。sockopt有get和set方法,二者的操作方式如下所示:

image-20200613124840907

在本实验中在内核使用band_status数据结构,从用户层读取内核band_status交互设置 band_status 从而开启或者关闭内核的功能!

实验编码

OUT钩子函数

static unsigned int nf_hook_out(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
    struct iphdr *iph;
    if (!skb)
    return(NF_ACCEPT);

    iph = ip_hdr(skb);
    unsigned int  dest_ip  = iph->daddr;

    if(iph->protocol==IPPROTO_ICMP){                                          /*ICMP协议*/
    /*丢弃ICMP报文*/
        if (IS_BANDPING(b_status))                        /*设置了禁止PING操作*/
        {
            // 注意是大端对齐 字节序
            printk(KERN_ALERT "DROP ICMP packet from %d.%d.%d.%d\n",
            (dest_ip & 0x000000ff) >> 0,
            (dest_ip & 0x0000ff00) >> 8,
            (dest_ip & 0x00ff0000) >> 16,
            (dest_ip & 0xff000000) >> 24);

            return(NF_DROP);                                /*丢弃该报文*/
        }
    }
   
    return(NF_ACCEPT);
}

IN钩子函数

/* 接收数据、 端口、IP地址 */
/* 在LOCAL_IN挂接钩子 */
static unsigned int nf_hook_in(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
    struct iphdr *iph;
    if (!skb)
    return(NF_ACCEPT);

    iph = ip_hdr(skb);
    unsigned int  src_ip  = iph->saddr;
    if (IS_BANDIP(b_status))                    /*判断是否禁止IP协议*/
    {
        /* TODO ? ip->saddr or ip->daddr */
        if (b_status.band_ip == iph->saddr)  /*接收报文的源IP地址符合*/
        {
            printk(KERN_ALERT "DROP IP packet from %d.%d.%d.%d\n",
            (src_ip & 0x000000ff) >> 0,
            (src_ip & 0x0000ff00) >> 8,
            (src_ip & 0x00ff0000) >> 16,
            (src_ip & 0xff000000) >> 24);
            return(NF_DROP);                /*丢弃该网络报文*/
        }
    }

    
    struct tcphdr *tcph = NULL;
    struct udphdr *udph = NULL;
    unsigned short port_local  = ntohs(b_status.band_port.port);
    switch (iph->protocol)                                        /*IP协议类型*/
    {
    case IPPROTO_TCP:                                              /*TCP协议*/
    /*丢弃禁止端口的TCP数据*/
    if (IS_BANDPORT_TCP(b_status))
    {
        tcph = tcp_hdr(skb);                           /*获得TCP头*/
        
        /*端口匹配*/
        if (tcph->dest == b_status.band_port.port)
        {

            printk(KERN_ALERT "DROP TCP port %d IP packet from %d.%d.%d.%d\n",
            port_local,
            (src_ip & 0x000000ff) >> 0,
            (src_ip & 0x0000ff00) >> 8,
            (src_ip & 0x00ff0000) >> 16,
            (src_ip & 0xff000000) >> 24);
        return(NF_DROP);                        /*丢弃该数据*/
        }
    }

    break;
    case IPPROTO_UDP:                                              /*UDP协议*/
    /*丢弃UDP数据*/
    if (IS_BANDPORT_UDP(b_status))                      /*设置了丢弃UDP协议*/
    {
        udph = udp_hdr(skb);                           /*UDP头部*/
        
        if (udph->dest == b_status.band_port.port)    /*UDP端口判定*/
        {
            printk(KERN_ALERT "DROP UDP port %d IP packet from %d.%d.%d.%d\n",
            port_local,
            (src_ip & 0x000000ff) >> 0,
            (src_ip & 0x0000ff00) >> 8,
            (src_ip & 0x00ff0000) >> 16,
            (src_ip & 0xff000000) >> 24);
        return(NF_DROP);                        /*丢弃该数据*/
        }
    }

    break;

    default:
    break;
    }

    return(NF_ACCEPT);
}

sockopt钩子

/* 初始化nf套接字选项 */
static struct nf_sockopt_ops nfsockopt = {
 .pf  = PF_INET,
 .set_optmin = SOE_BANDIP,
 .set_optmax = SOE_BANDIP+2,
 .set = nf_sockopt_set,
 .get_optmin = SOE_BANDIP,
 .get_optmax = SOE_BANDIP+2,
 .get = nf_sockopt_get,
};

内核初始化

static int __init ban_init(void)
{
    b_status.band_ip = 0;
    b_status.band_port.protocol=0;
    b_status.band_port.port=0;
    b_status.band_ping=0;
    nf_register_net_hook(&init_net, &nf_ops_in);
    nf_register_net_hook(&init_net, &nf_ops_out);
    nf_register_sockopt(&nfsockopt);      /*注册扩展套接字选项*/
    printk(KERN_ALERT "netfilter example 2 install successfully\n");
    return NF_SUCCESS;
}


static void __exit ban_exit(void)
{
    nf_unregister_net_hook(&init_net, &nf_ops_in);
    nf_unregister_net_hook(&init_net, &nf_ops_out);
    nf_unregister_sockopt(&nfsockopt);      /*注册扩展套接字选项*/
    printk(KERN_ALERT "netfilter example 2 clean successfully\n");

}

Makefile

CONFIG_MODULE_SIG=n
obj-m += zjc.o

all:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules

clean:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

用户测试程序

使用sockopt的get和set和内核通信,实现band_status数据结构的读取和设置:

int main(int argc, char const *argv[]) {
    setbuf(stdout, NULL);
    socklen_t len = sizeof(status);
    int sockfd;
    printf("打开设备\n");
    if ((sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) == -1) {
        perror("设备打开失败");
        return -1;
    }
    printf("读取设备");
    if (getsockopt(sockfd, IPPROTO_IP, SOE_BANDPING, (void *) &status, &len)) {
        perror("读取失败");
        return -1;
    }
    get_band_status();

    printf("设置内核\n");
    set_band_status();
    if (setsockopt(sockfd, IPPROTO_IP, SOE_BANDPING, &status, len)) {
        perror("设置内核失败\n");
        return -1;
    }
    if (setsockopt(sockfd, IPPROTO_IP, SOE_BANDIP, &status, len)) {
        perror("设置内核失败\n");
        return -1;
    }
    if (setsockopt(sockfd, IPPROTO_IP, SOE_BANDPORT, &status, len)) {
        perror("设置内核失败\n");
        return -1;
    }
    if (getsockopt(sockfd, IPPROTO_IP, SOE_BANDPING, (void *) &status, &len)){
        return -1;
    }
    get_band_status();
    return 0;

}

实验测试

内核交互模块测试

  1. 用户层:读取内核band_status, 设置内核band_status,再次读取更新的band_status作为校验。

    image-20200613204053604

  2. 结果正确

ping模块测试

  1. 打开ping,关闭ip,port模块

    image-20200613204232969

  2. 用户层测试ping baidu.com的结果

    image-20200613204317492

  3. dmesg查看内核日志

    image-20200613204357602

  4. ping实现成功

port模块测试

  1. 打开port模块,关闭其他的模块,以TCP 1234测试为例(UDP是一样的、就不测试了)

    image-20200613204533893

  2. 使用sendip对本机的1234发送TCP报文,查看内核信息(snedip使用man sendip可查)

    其中192.168.224.132为本机的ifconfig出来的ip地址

    image-20200613205716356

    sendip -p ipv4 -p tcp -td 1234 -d ceshidata 192.168.224.132

    image-20200613205046096

    image-20200613205108883

  3. 结果正确

IP模块测试

  1. 开启ip模块,关闭其他的模块(防止可能出现的干扰),设置目标IP 百度的IP (ping一下获得)使用sendip模拟百度数据到发送本机,禁止本机接收来自百度的数据。

  2. 使用sendip模拟百度对本机的发送报文,查看内核信息(snedip使用man sendip可查)

    image-20200613205546031

    image-20200613205620497

    image-20200613205758907

    image-20200613205825508

  3. 结果正确

实验注意

  1. 教材的内核版本为3.x,至今的多为内核4.15以上的版本,数据结构变化。

参考文献

[ 1 ] : 理解 Linux 下的 Netfilter/iptables

zha_ojunchen
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1472
netfilteriptables、firewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
netfilter例1:禁止访问某ip地址
newand
12-06 1054
netfilter的功能很强大,可以提供类似防火墙那样的访问控制,可以更改报文结构,可以新增报文。 本模块实现这样一个功能,对禁止访问指定的ip地址(包括ipv6的和ipv4的)。  文件名:block_packet.c /* * this programe is working as plugin of netfilter * which block some special ipv6
初次使用netfilter,写了一个禁止ping命令的小程序
小松的博客
12-23 842
banping.c #include"linux/module.h" #include"linux/netfilter_ipv4.h" #include"linux/kernel.h" #include"linux/skbuff.h" #include"linux/ip.h" #include"linux/if_ether.h" #include"linux/if_packet.h" /
基于Netfilter hook功能的数据包拦截---有关DCN优化的碎碎念
iteye_4516的博客
08-24 255
接前一篇博客,我们需要拦截每一个收到或者发出的数据包,并对它进行处理,进过调研,实验(感谢实验室赵博,井大神),打算使用linux内核中的Netfilter模块实现这个功能。Netfilter中有一个hook的功能,可以在: NF_IP_PRE_ROUTING              在完整性校验之后,选路确定之前NF_IP_LOCAL_IN               在选路确定之后,且数据...
linux防火墙,netfilter机制
aoli_shuai的博客
11-29 766
linux防火墙 selinux 在配制远程连接时是要关闭selinux的。 临时关闭selinux: setenforce 0 永久关闭要编辑配置文件 vim /etc/selinux/config SELINUX=disabled 平时一般关闭selinux 2.iptablesiptables是linux的防火墙机制。在centos6时,是用的netfilter机制,centos7时用的是
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1248
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
初步带你理解netfilter/iptables防火墙,超详细介绍!
渡渡甲的博客
09-21 947
iptables防火墙 文章目录iptables防火墙前言1. iptables 防火墙1.1 iptables 概述1.2 netfilter/iptables关系2. iptables 的表、链结构2.1 ptables的四表五链结构介绍2.2 数据包过滤的匹配流程3. 编写防火墙规则3.1 iptabes 安装3.2 iptables 基本语法、数据包控制类型3.2.1 iptables 防火墙的配置方法:3.2.2 iptables 命令行配置方法∶3.2.3 数据包的常见控制类型3.3 添加、
Linux笔记 No.25---(netfilter/iptables防火墙)
weixin_45880055的博客
11-27 1070
防火墙分类 从逻辑上分类: 分类 说明 主机防火墙 针对单个主机进行防护 网络防火墙 处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网 从物理上分类: 分类 说明 硬件防火墙 在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高 软件防火墙 应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低 iptables并不是真正意义上的防火墙,我们可以理解为一个客户端工具,用户通过ipatbles这个客户端,将用户的
OPENWRT 教程第七章 防火墙开发之iptables
09-06 2013
Openwrt 是一个 GNU/Linux 的发行版, 和其他大多数的发行版一样,Openwrt 的防火墙同样也是基于 iptablesiptables -L INPUT --line-numbers //列出INPUT 链所有的规则 iptables -D INPUT 4 //删除指定的第4行规则 iptables -R FORWARD ...
linux防火墙-netfilter
chiluo7579的博客
11-19 266
setenforce 0 //临时关闭selinux getenforce //查询selinux状态 vim /etc/selinux/config //修改配置文件,永久关闭selinux,重启生效 cento...
通过Linux内核协议栈netfilter拦截数据报文
最新发布
kevin_0903的博客
07-27 528
netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。void *priv;
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3349
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
Linux 防火墙知识
qq_44402007的博客
04-16 556
110.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表应用 1.firewalld 和netfilter 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ...
netfilter防火墙
乐猿
11-30 831
netfilter防火墙
Linux 跟踪连接netfilter 调优
大JAVA解决方案
04-16 1125
Netfilter介绍 linux内核中的netfilter是一款强大的基于状态的防火墙,具有连接跟踪(conntrack)的实现。conntrack是netfilter的核心,许多增强的功能,例如,地址转换(NAT),基于内容的业务识别(l7, layer-7 module)都是基于连接跟踪。 nf_conntrack模块在kernel 2.6.15(2006-01-0...
netfilter 防火墙 包过滤 实例
eqxu的专栏
06-19 1617
下面这个模块是用来将 #include #include static struct nf_hook_ops user_hook_ops= {   { NULL, NULL },   user_hookfn, //用户定义的钩子函数   PF_INET,   NF_IP_LOCAL_IN, //挂载点 。对于所有进入本机的数据包(包括使用网络套接字的IPC),都是在此挂载点完成的过滤
netfilter
nongfuchui的博客
08-28 969
#firewalld&netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7中称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
netlink套接字实现与使用方法详解(用户态/内核态)
zhaominyong的专栏
11-03 1567
https://zhuanlan.zhihu.com/p/269141945
Linux 127.0.0.1无法ping通问题解决
qq_36825618的博客
09-07 5810
linux服务器经常因为内核配置原因,导致localhsot(127.0.0.1)地址无法连接,ping 127.0.0.1出现间歇性不通情况,连接本地应用如mysql也会出现connection timeout情况
Netfilter框架详解:连接跟踪与iptables机制
发送时,数据添加头部以适应不同网络层的需求,而在接收端则逐层去除头部,直至抵达应用层。 2. Netfilter框架 Netfilter是Linux内核的一部分,它提供了一种机制,允许开发者在数据包的生命周期中插入自定义的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值