Linux Netfilter开发小结

最新推荐文章于 2024-06-06 15:02:04 发布
最新推荐文章于 2024-06-06 15:02:04 发布
阅读量9.1k 收藏 23
点赞数 5
分类专栏: linux 文章标签: linux netfilter linux过滤 linux网络防火墙 linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51500620
版权

前置知识:





IP包: 
struct ip {
#if BYTE_ORDER == LITTLE_ENDIAN
	unsigned char	ip_hl:4,		/* header length */
		ip_v:4;			/* version */
#endif
	unsigned char	ip_tos;			/* type of service */
	short	ip_len;	/* total length */
	unsigned short	ip_id;/* identification */
	short	ip_off;		
	unsigned char	ip_ttl;/* time to live */
	unsigned char	ip_p;/* protocol */
	unsigned short	ip_sum;	
          struct	in_addr ip_src,ip_dst;/* source and dest address */
};



IHL(Internet Header Length 报头长度),位于IP报文的第二个字段,4位,表示IP报文头部按32位字长(32位,4字节)计数的长度,也即报文头的长度等于IHL的值乘以4。 (ip_hl)




TCP头 
struct tcphdr {
	u_short	th_sport;	/* source port */
	u_short	th_dport;	/* destination port */
	tcp_seq	th_seq;	/* sequence number */
	tcp_seq	th_ack;	/* acknowledgement number */
#if BYTE_ORDER == LITTLE_ENDIAN
	u_char	th_x2:4,	/* (unused) */
		th_off:4;	/* data offset */
#endif
#if BYTE_ORDER == BIG_ENDIAN
	u_char	th_off:4,	/* data offset */
		th_x2:4;	/* (unused) */
#endif
	u_char	th_flags;
#define	TH_FIN	0x01
#define	TH_SYN	0x02
#define	TH_RST	0x04
#define	TH_PUSH	0x08
#define	TH_ACK	0x10
#define	TH_URG	0x20
#define TH_FLAGS (TH_FIN|TH_SYN|
             TH_RST|TH_ACK|TH_URG)


	u_short	th_win;	/* window */
	u_short	th_sum;	/* checksum */
	u_short	th_urp;	/* urgent pointer */
};





UDP 
struct udphdr 
{
	u_short	uh_sport;		/* source port */
	u_short	uh_dport;		/* destination port */
	short	uh_ulen;		/* udp length */
	u_short	uh_sum;	
		/* udp checksum */
};






ARP 
typedef struct _ETHERNET_FRAME
{
    BYTE    DestinationAddress[6]; 
       BYTE    SourceAddress[6];    
      	WORD    FrameType;    // in host-order
} EHTERNET_FRAME, *PETHERNET_FRAME;


typedef struct _ARP_HEADER
{  
	WORD    HardType;      //硬件类型  
	WORD    ProtocolType;  //协议类型 
	BYTE    HardLength;    //硬件地址长度  
	BYTE    ProtocolLength; //协议地址长度    
	WORD    Opcode;        //操作类型      
	BYTE    SourceMAC[6];          
	BYTE    SourceIP[4];          
	BYTE    DestinationMAC[6];      
	BYTE    DestinationIP[4];    
} ARP_HEADER, *PARP_HEADER;


typedef struct _ARP
{    
	EHTERNET_FRAME EthernetFrame;    
	ARP_HEADER  ArpHeader;
}ARP, *PARP;









其他的可以看或文章最尾部的参考文章
数据包报头百度百科
http://baike.baidu.com/link?url=DuxdZVeorGksQX94G8UP19wx_iy-o504SjAhiQjZuRWSWNaZEVthpt6cm4L_z0FryXPqF4-YPtaN0UBbe_8Yeq


基于linux内核的网络防火墙开发

Linux核心网络堆栈中有一个全局变量 : 
struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS],该变量是一个二维数组,其中第一维用于指定协议族,第二维用于指定hook的类型(即5个HOOK点 )。注册一个Netfilter hook实际就是在由协议族和hook类型确定的链表中添加一个新的节点。 


在Linux防火墙开发中,有5个地方可以拦截





图很清楚的说明了在对应的位置能干什么


Filter:包过滤
Nat:地址转换
Mangle:修改包数据


规则链:
五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。  


5个HOOK点的定义: 
NF_INET_PRE_ROUTING    在完整性校验之后,选路确定之前
NF_INET_LOCAL_IN        在选路确定之后,且数据包的目的是本地主机
NF_INET_FORWARD        目的地是其它主机地数据包
NF_INET_LOCAL_OUT     来自本机进程的数据包在其离开本地主机的过程中
NF_IP_POST_ROUTING    在数据包离开本地主机“上线”之前 
NF_INET_POST_ROUTING 同上


对包的处理结果: 

NF_DROP        丢弃该数据包
NF_ACCEPT    保留该数据包
NF_STOLEN    忘掉该数据包
NF_QUEUE     将该数据包插入到用户空间
NF_REPEAT    再次调用该hook函数

优先级: 
enum nf_ip_hook_priorities {
        NF_IP_PRI_FIRST = INT_MIN,
        NF_IP_PRI_CONNTRACK_DEFRAG = -400,
        NF_IP_PRI_RAW = -300,
        NF_IP_PRI_SELINUX_FIRST = -225,
        NF_IP_PRI_CONNTRACK = -200,
        NF_IP_PRI_MANGLE = -150,
        NF_IP_PRI_NAT_DST = -100,
        NF_IP_PRI_FILTER = 0,
        NF_IP_PRI_SECURITY = 50,
        NF_IP_PRI_NAT_SRC = 100,
        NF_IP_PRI_SELINUX_LAST = 225,
        NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
        NF_IP_PRI_LAST = INT_MAX,
};

一般写NF_IP_PRI_FIRST啦~或+1 +2...



///开始编写防火墙//
在注册之前 我们需要填写一个结构 

struct nf_hook_ops {
      struct list_head list;
      /* 此下的值由用户填充 */
      nf_hookfn *hook//回调函数;
      int pf;//协议 IPV4 还是ipV6
      int hooknum;//hook点
      /* Hook以升序的优先级排序 */
     int priority;
};


例子:
    
 struct nf_hook_ops   nfho;
    /* 填充我们的hook数据结构 */    
    nfho.hook = hook_func;  /* 处理函数 */    
    nfho.hooknum  = NF_INET_PRE_ROUTING;
    /* 使用IPv4的第一个hook */    
    nfho.pf       = PF_INET; 
    //优先级 /* 让我们的函数首先执行 */  
    nfho.priority = NF_IP_PRI_F
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netfilter -- Linux网络过滤模块分析
04-11
Netfilter -- Linux网络过滤模块分析,Iptables 指南 1.1.19 Oskar Andreasson oan@frozentux.net Copyright © 2001-2003 by Oskar Andreasson 本文在符合 GNU Free Documentation 许可版本1.1的条件下,可以拷贝、分发、更改,但必须保留绪言和所有的章节,如印刷成书,封面要包括“原著:Oskar Andreasson”,且书背不准有文字。本文附录有 “GNU Free Documentation License”的详细内容。 文中的所有脚本均置于GNU General Public License版本2下,可以自由地分发、更改。 给出这些脚本是希望它们有所作用,但没有任何保证,也没有商业可用性或某些特殊用途的内在保证。参见GNU General Public License 本文附带一份GNU General Public License,在章节“GNU Free Documentation License”中,如没有,请联系the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111- 1307 USA
goland 开发工具插件 ja-netfilter-all
08-24
总结而言,Ja-Netfilter-All插件是Goland开发Go语言网络过滤应用的得力助手,它不仅提供了Netfilter的API接口,还集成了代码提示、自动完成和调试功能,使得开发者能够更加专注于业务逻辑,而非底层的网络处理细节。...
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2125
Linux 内核开发 - NetFilter
深入Linux网络核心堆栈--netfilter详解(整理)
maimang1001的专栏
04-02 2120
目录 1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1] 4.1 - 深入hook函数 4.2 - 基于接口进行过滤 4.3 - 基于地址进行过滤 4.4 - 基于TCP端口进行过滤 5 - Netfilter...
Linux Kernel nf_tables 本地权限提升漏洞(CVE-2024-1086)
最新发布
做自己喜欢的事,并将其发挥到极致!
06-06 7218
2024年1月,各Linux发行版官方发布漏洞公告,修复了一个 netfilter:nf_tables 模块中的释放后重用漏洞(CVE-2024-1086)。在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回,进而在NF_HOOK()函数产生释放后重用漏洞。鉴于该漏洞易于利用,并且允许本地攻击者提升至ROOT权限。​
轻松实现Linux下的互联网过滤功能
凤凰涅槃
10-23 1094
 目前,很多学校都建起了校园网并连接上互联网,但互联网上的不良信息非常多,如何进行网站过滤,防止不健康网站对学生的影响呢?以下本着零成本、高效益的原则,谈谈在免费的Linux下如何实现互联网的过滤功能。  设置代理服务器   校园网通过Linux上网,在网关上利用Squid架设代理服务器。  首先要安装好Linux,我用的是易装好用的RedHat Linux 7.2。
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
iCloudEnd的博客
03-02 1391
介绍 Firewalls是一个重要的工具,可以配置为保护您的服务器和基础设施。防火墙的主要功能是过滤数据、重定向流量和防止网络攻击。既有基于硬件的防火墙,也有基于软件的防火墙。在这里我不会过多讨论背景,因为您可以在网上找到很多关于它的文档。 你有没有想过从头开始实现一个简单的迷你防火墙?听起来很疯狂?但借助 Linux 的强大功能,您可以做到这一点。看完本系列文章,你会发现其实很简单。 您可能曾经...
Linux下使用Netfilter框架编写内核模块
weixin_42915431的博客
12-30 8860
上篇文章我们从内核源码的角度分析Linux Netfilter框架下,hook钩子是如何被执行的,这次我们写个简单的示例代码,详细介绍下如何使用Netfilter框架编写内核模块。
netfilter开发一个hook函数
倚楼听风雨的博客
09-20 1606
一、什么是hook函数     netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么!在钩子函数的代码最后需要决定netfiler框架接下来需要怎么处理packet,可以返回以下5种值:     NF_ACCEP
基于Linux内核Netfilter框架的P2P管理.pdf
09-06
作者还对如何利用Netfilter进行P2P识别和管理进行了简要分析和总结。他们指出,虽然Netfilter提供了一种有效的方法来应对P2P带来的挑战,但这种方法也有其局限性,例如可能需要不断更新特征码以应对P2P应用的动态...
ZigBee树路由协议的Linux实现.pdf
09-06
总结来说,该研究旨在通过将ZigBee的低功耗树路由协议移植到Linux平台上,利用Linux的优势来增强无线传感器网络的性能和效率。这不仅有助于降低节点的功耗,延长电池寿命,还能为物联网环境中的数据传输提供更高效、...
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook点中选取了2个作为测试钩子点。仅供参考
Linux搭建无线AP全攻略.pdf
09-06
总结起来,Linux搭建无线AP的优势在于其跨硬件平台的支持、低成本、开放性和坚固性,以及灵活性和可扩展性。无论是在嵌入式设备还是普通PC上,都可以轻松实现AP功能,而且可以根据需求定制各种网络服务和安全策略。...
linux IDEpychar
03-11
Linux系统中,IDE(集成开发环境)是程序员进行代码编写、调试和管理的重要工具。PyCharm是一款由JetBrains公司开发的专业Python IDE,尤其受到Python开发者们的喜爱。本话题将详细探讨如何在Linux环境下安装和...
用netfilter hook开发LKM[转]
Power of technology will free your body and spirit
10-21 1635
在原有的网络部分的LKM中,如果对网络部分进行处理,一般是先生成 struct packet_type 结构,在用dev_add_pack 将其插入网络层(注意此时的 packet_type 实际相当于一个的三层的协议,如ip_packet_type,ipx_8023_packet_type等)。 而netfilter本身在IP层内提供了另外的5个插入点(其文档中称为HOOK): 
Netfileter & iptables 实现(一)— Netfilter实现
maimang1001的专栏
05-24 362
Netfileter & iptables 实现(一)— Netfilter实现本文主要介绍 Netfilter 的实现,因为 NetfilterLinux网络数据包过滤的框架,而 iptables 就是建立在 Netfilter 之上的。先了解Netfilter的实现对分析 iptables 的实现有非常大的帮助https://mp.weixin.qq.com/s/3Os9elb_TBSN9ofRveihDg 在《Netfilter & iptables 原理》一文中,我们介绍了 N
学习如何在netfilter开发一个自定义hook
perddy的专栏
10-31 1292
记录相关网址:     1、Linux netfilter Hacking HOWTO              http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html#toc3             2、CSDN上一篇参考博文:               A exa
网络虚拟化之内核能力NetFilter
技术百宝箱
07-07 844
关键点:1.网络层,也就是IP层2.有5个拦截点3.NAT、IPTable Netfilter框架由著名的Linux开发人员Rusty Russell于1998年开发,旨在改进以前实现ipchains(Linux2.2.x)和ipfwadm(Linux2.0.x)。
linux hook 函数,(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上)...
weixin_39637920的博客
05-04 70
#defineETH "eth0" //接口名称#defineSIP"192.168.6.130" //接口的IP地址#defineDIP "118.6.24.132" //要发送UDP报文的目的IP地址#defineSPORT 39804 //源端口#defineDPORT 6980 //目的端口unsigned char SMAC[ETH_ALEN]= {0x...
Netfilter模块开发指南:从入门到实践
Netfilter模块是Linux内核的一部分,用于实现网络过滤和路由决策功能。这些模块扩展了标准的IPTables框架,提供了额外的规则匹配、处理和跟踪网络流量的能力。通过编写针对Netfilter框架的内核模块(kernel ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值