安科网

Linux内核--基于Netfilter的内核级包过滤防火墙实现

fenxinzi

fenxinzi

2012-05-29

关注 关注

测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1

知识基础:本防火墙的开发基于对Linux内核网络栈有个良好的概念,本人对网络栈的分析是基于早期版本(Linux 1.2.13),在明确了网络栈架构的前提下,上升一步分析高级版本内核中的Netfilter防火墙实现原理,然后进行模块或内核编程,开发一款基于包过滤的个人防火墙。

包过滤防火墙:包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。工作于网络层,能对IP数据报进行首部检查。例如:IP源地址,目的地址,源端口和目的端口等。

本防火墙的包过滤功能如下:  

* 拒绝来自某主机或某网段的所有连接。
  * 允许来自某主机或某网段的所有连接。
  * 拒绝来自某主机或某网段的指定端口的连接。
  * 允许来自某主机或某网段的指定端口的连接。
  * 拒绝发去某主机或某网段的所有连接。
  * 允许发去某主机或某网段的所有连接。
  * 拒绝发去某主机或某网段的指定端口的连接。
  * 允许发去某主机或某网段的指定端口的连接。

Netfilter框架是Linux内核分析和过滤特定协议数据包处理框架,为其他模块动态参与网络层数据包处理提供了方便的途径。

本防火墙的简单功能就是检查数据包是否符合过滤的条件,如果不符合就舍弃(Drop),否则就接受(Accept),这里定义八个链表头结点

  1. struct ip_node  ip_allowed_in_node_head;/*允许的远程主机或网络IP地址头节点*/  
  2. struct ip_node  ip_denied_in_node_head;/*拒绝的远程主机或网络IP地址头节点*/  
  3. struct ip_node  ip_allowed_out_node_head;/*允许的本地主机或网络IP地址头节点*/  
  4. struct ip_node  ip_denied_out_node_head;/*拒绝的本地主机或网络IP地址头节点*/  
  5.   
  6. struct port_node port_allowed_in_node_head;/*允许的远程主机或网络传输层端口号头节点*/  
  7. struct port_node port_denied_in_node_head;/*拒绝的远程主机或网络传输层端口号头节点*/  
  8. struct port_node port_allowed_out_node_head;/*允许的本地主机或网络传输层端口号头节点*/  
  9. struct port_node port_denied_out_node_head;/*拒绝的本地主机或网络传输层端口号头节点*/  

用于保存配置文件中的地址或端口信息。

定义两个钩子函数hook_func_in和hook_func_out,分别将其挂载到INET协议族的入口NF_INET_LOCAL_IN和出口NF_INET_LOCAL_OUT:

  1. static struct nf_hook_ops my_netfilter[] =  
  2. {  
  3.     {  
  4.         .hook       =hook_func_in,  
  5.         .owner      =THIS_MODULE,  
  6.         .pf     =PF_INET,  
  7.         .hooknum    =NF_INET_LOCAL_IN,  
  8.         .priority   =100  
  9.     },  
  10.     {  
  11.         .hook       =hook_func_out,  
  12.         .owner      =THIS_MODULE,  
  13.         .pf     =PF_INET,  
  14.         .hooknum    =NF_INET_LOCAL_OUT,  
  15.         .priority   =100  
  16.     }  
  17. };  

说明一下自己定义的一些宏和引用的头文件:

  1. #ifndef MODULE   
  2. #define MODULE   
  3. #endif   
  4.   
  5. #ifndef __KERNEL__   
  6. #define __KERNEL__   
  7. #endif   
  8. //#define NET_DOWN   
  9. #define MY_FIREWALL_DEBUG   
  10.   
  11. #include <asm/system.h>   
  12. #include <linux/module.h>   
  13. #include <linux/types.h>   
  14. #include <linux/kernel.h>   
  15. #include <linux/string.h>   
  16.   
  17. #include <linux/net.h>   
  18. #include <linux/socket.h>   
  19. #include <linux/sockios.h>   
  20. #include <linux/in.h>   
  21. #include <linux/inet.h>   
  22.   
  23.   
  24. #include <net/ip.h>   
  25. #include <net/protocol.h>   
  26. #include <linux/skbuff.h>   
  27. #include <net/sock.h>   
  28. #include <net/icmp.h>   
  29. #include <net/raw.h>   
  30. #include <net/checksum.h>   
  31. #include <linux/netfilter_ipv4.h>   
  32. #include <linux/tcp.h>   
  33. #include <linux/udp.h>   
  34. #include <linux/igmp.h>   
  35.   
  36. #include <linux/fs.h>   
  37. #include <linux/mm.h>   
  38. #include <asm/uaccess.h>   
  39.   
  40. #define YES 1   
  41. #define NO 0   
  42.   
  43. #define IP_MAX_LEN 20   
  44. #define PORT_MAX_LEN 20   
  45.   
  46. #define ALLOWED_IP_IN 0   
  47. #define DENIED_IP_IN 1   
  48. #define ALLOWED_IP_OUT 2   
  49. #define DENIED_IP_OUT 3   
  50.   
  51. #define ALLOWED_PORT_IN 0   
  52. #define DENIED_PORT_IN 1   
  53. #define ALLOWED_PORT_OUT 2   
  54. #define DENIED_PORT_OUT 3   
  55.   
  56. #define ALLOWED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_in"   
  57. #define DENIED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_in"   
  58. #define ALLOWED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_in"   
  59. #define DENIED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_in"   
  60.   
  61. #define ALLOWED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_out"   
  62. #define DENIED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_out"   
  63. #define ALLOWED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_out"   
  64. #define DENIED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_out"   
  65.   
  66. //DEFINE FOR WORK_MODE   
  67.   
  68. /*不工作状态,默认*/  
  69. #define MODE_FREE 0   
  70. /*允许来自某主机或某网段的所有连接*/  
  71. #define MODE_IP_ONLY_ALLOWED_IN 1   
  72.   
  73. /*拒绝来自某主机或某网段的所有连接*/  
  74. #define MODE_IP_ONLY_DENIED_IN 2   
  75.   
  76. /*允许来自某主机或某网段指定端口的连接*/  
  77. #define MODE_IP_PORT_ALLOWED_IN 3   
  78.   
  79. /*拒绝来自某主机或某网段的指定端口的连接*/  
  80. #define MODE_IP_PORT_DENIED_IN 4   
  81.   
  82. /*允许本地主机或本地网络与其他主机或网络的所有连接*/  
  83. #define MODE_IP_ONLY_ALLOWED_OUT 5   
  84.   
  85. /*拒绝本地主机或本地网络与其他主机或网络的所有连接*/  
  86. #define MODE_IP_ONLY_DENIED_OUT 6   
  87.   
  88. /*允许本地主机或网络与其他主机或其他网络的指定端口的连接*/  
  89. #define MODE_IP_PORT_ALLOWED_OUT 7   
  90.   
  91. /*拒绝本地主机或网络与其他主机或其他网络的指定端口的连接*/  
  92. #define MODE_IP_PORT_DENIED_OUT 8  

netfilter 防火墙 包过滤防火墙 linux系统 font 网段

fenxinzi

fenxinzi

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

iptables防火墙

netfilter/iptables组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案。netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,属于“内核态”的防火墙

linuxalienyan 2020-06-11

Linux系统安全Centos 7的Firewalld防火墙基础

Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“

xinggm 2019-11-28

详解Linux iptables常用防火墙规则

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配

eastnow 2019-07-21

Linux系统中最实用的十大开源防火墙

如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙。  Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。  Shorewall建立在Linux内核中内建的Netfilter之上

tomyanliu 2014-01-20

防火墙为什么要对多连接协议进行特殊处理

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。多连接协议的支持对状态检测防火墙来说需要特别处理,对于公开的协议,可以根据其协议规范来定制专门的支持模块,而如果协议是保密,对防火

无忧老猪 2011-01-10

[转]Iptables之nf_conntrack模块

连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我们还需要能让回来的包能路由到最初的来源主机。这就需要借助 nf_con

iamplane 2020-03-23

Linux 防火墙概念

1) 防火墙概念主要是用于企业中对传输的数据包进行拦截、过滤,满足条件即可做某些动作,禁止通行或者运行通行,分为如下两种防火墙类型: ?

LychieFan 2020-03-03

iptables四表五链

Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的iptables“控制”防火墙,就是用户利用i

zlsh00 2020-02-29

Linux netfliter 架构

netfilter是在Linux 2.4.X内核引入的一个子系统,它提供了一个抽象的、通用框架,这个框架提供了一整套的钩子函数的管理机制。包括钩子函数的原型定义,注册,注销等。下面将基于Linux 3.14.77 的内核代码简要介绍一下netfilter框

zhongzhiwei 2020-02-27

iptables技术入门

netfilter组件也称为内核空间,是内核的一部分,由一些信息包和过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables组件试试一种工具,也称为用户空间,它使插入、喜欢和除去信息包过滤表中的规则变得容易。___ iptables是基于

wangrui0 2020-02-24

iptables四表五链

Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的iptables“控制”防火墙,就是用户利用i

zhongcanw 2020-01-28

一篇文章为你图解Kubernetes网络通信原理

Kubernetes对集群内部的网络进行了重新抽象,以实现整个集群网络扁平化。我们可以理解网络模型时,可以完全抽离物理节点去理解,我们用图说话,先有基本印象。Veth设备对的引入是为了实现在不同网络命名空间的通信。

yevvzi 2020-01-01

防火墙和系统安全防护和优化

防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此

xiaoemo0 2019-12-17

深入理解 iptables 和 netfilter 架构

本文翻译自 2015 年的一篇英文博客 A Deep Dive into Iptables and Netfilter Architecture 。这篇对 iptables 和 netfilter 的设计和原理介绍比较全面,美中不足的是没有那张 内核协议栈

pointfish 2019-12-11

iptables配置

防火墙是设在不同网络或网络安全域之间的一系列部件的组合。它能增强机构内部网络的安全性,它通过访问控制机制,确定哪些内部服务允许外部访问,它可以根据网络传输类型决定ip包是否可以传进或传出内部网络。防火墙是工作在主机和网络的边缘。

zhongcanw 2019-12-09

netfilter数据包过滤

iptables可以很方便的构建系统防火墙,那它是如何实现的呢?Linux内核添加了netfilter机制,在IP协议栈上传递过程中,选择了5个检查点。利用5个检测点,查阅用户注册的回调处理函数,根据用户自定义回调函数监视进出的网络数据包。该示例简单拦截所

micmouse 2015-01-11

Netfilter 是如何工作的(四):动作(target)

每一条iptables配置的规则都包含了匹配条件部分和动作。当报文途径HOOK点时,Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件,内核就会执行动作。该结构由两部分组成,其中verdict是动作的编码, 取值有NF_

蒋胜凡广博天下客 2019-11-17

使用Linux系统Iptables防火墙

Linux kernel使用netfilter对进出的数据包进行过滤,netfilter由三个规则表组成,每个表又有许多内建的链组成。通过使用iptables命令可以对这些表链进行操作,如添加、删除和列出规则等。当使用-p tcp时,还可使用其他可以选项,

wangkeIDC 2007-08-03

缓解DDoS &amp;&amp; cc 的最佳Linux内核设置 (转)

https://javapipe.com/blog/iptables-ddos-protection/ kernel.printk = 4 4 1 7 kernel.panic = 10 kernel.sysrq = 0 kernel.shmma

jiangtie 2019-10-27

Linux高负载系统 网络参数调整

当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状

顺其自然 2011-05-16
fenxinzi

fenxinzi

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号