Linux Netfilter开发小结

fjx16852318

前置知识：







IP包:

1. struct ip {
2. #if BYTE_ORDER == LITTLE_ENDIAN
3.         unsigned char        ip_hl:4,                /* header length */
4.                 ip_v:4;                        /* version */
5. #endif
6.         unsigned char        ip_tos;                        /* type of service */
7.         short        ip_len;        /* total length */
8.         unsigned short        ip_id;/* identification */
9.         short        ip_off;               
10.         unsigned char        ip_ttl;/* time to live */
11.         unsigned char        ip_p;/* protocol */
12.         unsigned short        ip_sum;       
13.           struct        in_addr ip_src,ip_dst;/* source and dest address */
14. };

复制代码

IHL(Internet Header Length 报头长度)，位于IP报文的第二个字段，4位，表示IP报文头部按32位字长（32位，4字节）计数的长度，也即报文头的长度等于IHL的值乘以4。 (ip_hl)




TCP头

1. struct tcphdr {
2.         u_short        th_sport;        /* source port */
3.         u_short        th_dport;        /* destination port */
4.         tcp_seq        th_seq;        /* sequence number */
5.         tcp_seq        th_ack;        /* acknowledgement number */
6. #if BYTE_ORDER == LITTLE_ENDIAN
7.         u_char        th_x2:4,        /* (unused) */
8.                 th_off:4;        /* data offset */
9. #endif
10. #if BYTE_ORDER == BIG_ENDIAN
11.         u_char        th_off:4,        /* data offset */
12.                 th_x2:4;        /* (unused) */
13. #endif
14.         u_char        th_flags;
15. #define        TH_FIN        0x01
16. #define        TH_SYN        0x02
17. #define        TH_RST        0x04
18. #define        TH_PUSH        0x08
19. #define        TH_ACK        0x10
20. #define        TH_URG        0x20
21. #define TH_FLAGS (TH_FIN|TH_SYN|
22.              TH_RST|TH_ACK|TH_URG)
25.         u_short        th_win;        /* window */
26.         u_short        th_sum;        /* checksum */
27.         u_short        th_urp;        /* urgent pointer */
28. };

复制代码

UDP

1. struct udphdr
2. {
3.         u_short        uh_sport;                /* source port */
4.         u_short        uh_dport;                /* destination port */
5.         short        uh_ulen;                /* udp length */
6.         u_short        uh_sum;       
7.                 /* udp checksum */
8. };

复制代码

ARP

1. typedef struct _ETHERNET_FRAME
2. {
3.     BYTE    DestinationAddress[6];
4.        BYTE    SourceAddress[6];   
5.               WORD    FrameType;    // in host-order
6. } EHTERNET_FRAME, *PETHERNET_FRAME;
9. typedef struct _ARP_HEADER
10. {  
11.         WORD    HardType;      //硬件类型  
12.         WORD    ProtocolType;  //协议类型
13.         BYTE    HardLength;    //硬件地址长度  
14.         BYTE    ProtocolLength; //协议地址长度    
15.         WORD    Opcode;        //操作类型      
16.         BYTE    SourceMAC[6];          
17.         BYTE    SourceIP[4];          
18.         BYTE    DestinationMAC[6];      
19.         BYTE    DestinationIP[4];    
20. } ARP_HEADER, *PARP_HEADER;
23. typedef struct _ARP
24. {   
25.         EHTERNET_FRAME EthernetFrame;   
26.         ARP_HEADER  ArpHeader;
27. }ARP, *PARP;

复制代码

其他的可以看或文章最尾部的参考文章
数据包报头百度百科
http://baike.baidu.com/link?url=DuxdZVeorGksQX94G8UP19wx_iy-o504SjAhiQjZuRWSWNaZEVthpt6cm4L_z0FryXPqF4-YPtaN0UBbe_8Yeq


基于linux内核的网络防火墙开发
Linux核心网络堆栈中有一个全局变量 :
struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]，该变量是一个二维数组，其中第一维用于指定协议族，第二维用于指定hook的类型（即5个HOOK点 ）。注册一个Netfilter hook实际就是在由协议族和hook类型确定的链表中添加一个新的节点。




在Linux防火墙开发中，有5个地方可以拦截




图很清楚的说明了在对应的位置能干什么


Filter:包过滤
Nat:地址转换
Mangle:修改包数据


规则链:
五个钩子函数（hook functions）,也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING（路由后）
这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。


5个HOOK点的定义：

1. NF_INET_PRE_ROUTING    在完整性校验之后，选路确定之前
2. NF_INET_LOCAL_IN        在选路确定之后，且数据包的目的是本地主机
3. NF_INET_FORWARD        目的地是其它主机地数据包
4. NF_INET_LOCAL_OUT     来自本机进程的数据包在其离开本地主机的过程中
5. NF_IP_POST_ROUTING    在数据包离开本地主机“上线”之前
6. NF_INET_POST_ROUTING 同上

复制代码

对包的处理结果：

1. NF_DROP        丢弃该数据包
2. NF_ACCEPT    保留该数据包
3. NF_STOLEN    忘掉该数据包
4. NF_QUEUE     将该数据包插入到用户空间
5. NF_REPEAT    再次调用该hook函数

复制代码

优先级:

1. enum nf_ip_hook_priorities {
2.         NF_IP_PRI_FIRST = INT_MIN,
3.         NF_IP_PRI_CONNTRACK_DEFRAG = -400,
4.         NF_IP_PRI_RAW = -300,
5.         NF_IP_PRI_SELINUX_FIRST = -225,
6.         NF_IP_PRI_CONNTRACK = -200,
7.         NF_IP_PRI_MANGLE = -150,
8.         NF_IP_PRI_NAT_DST = -100,
9.         NF_IP_PRI_FILTER = 0,
10.         NF_IP_PRI_SECURITY = 50,
11.         NF_IP_PRI_NAT_SRC = 100,
12.         NF_IP_PRI_SELINUX_LAST = 225,
13.         NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
14.         NF_IP_PRI_LAST = INT_MAX,
15. };

复制代码

一般写NF_IP_PRI_FIRST啦~或+1 +2...




///////////////////////////////////////////////////开始编写防火墙//////////////////////////////////////////////////////////////////
在注册之前 我们需要填写一个结构

1. struct nf_hook_ops {
2.       struct list_head list;
3.       /* 此下的值由用户填充 */
4.       nf_hookfn *hook//回调函数;
5.       int pf;//协议 IPV4 还是ipV6
6.       int hooknum;//hook点
7.       /* Hook以升序的优先级排序 */
8.      int priority;
9. };

复制代码

例子:

1. struct nf_hook_ops   nfho;
2.     /* 填充我们的hook数据结构 */   
3.     nfho.hook = hook_func;  /* 处理函数 */   
4.     nfho.hooknum  = NF_INET_PRE_ROUTING;
5.     /* 使用IPv4的第一个hook */   
6.     nfho.pf       = PF_INET;
7.     //优先级 /* 让我们的函数首先执行 */  
8.     nfho.priority = NF_IP_PRI_FIRST;

复制代码

过滤函数:

1.         unsigned int hook_func(
2.                                unsigned int hooknum,                       
3.                                struct sk_buff *skb,                       
4.                                const struct net_device *in,                       
5.                                const struct net_device *out,                       
6.                                int (*okfn)(struct sk_buff *))
7.         {   
8.                 return NF_DROP;  /* 丢弃所有的数据包 */        
9.         }

复制代码

1.    
2.     //初始化函数调用
3.     nf_register_hook(&nfho);
4.     //卸载函数中调用
5.     nf_unregister_hook(&nfho);

复制代码

完整代码:

1. #include <linux/module.h>
2. #include <linux/kernel.h>
3. #include <linux/netfilter.h>
4. #include <linux/netfilter_ipv4.h>
7. static struct nf_hook_ops nfho;
10. static unsigned int hook_func(unsigned int hooknum,
11.                        struct sk_buff *skb,
12.                        const struct net_device *in,
13.                        const struct net_device *out,
14.                        int (*okfn)(struct sk_buff *))
15. {
16.     return NF_ACCEPT;
17. }
20. static int nf_init(void)
21. {
22.     nfho.hook = hook_func;
23.     nfho.hooknum  = NF_INET_PRE_ROUTING;
24.     nfho.pf       = PF_INET;
25.     nfho.priority = NF_IP_PRI_FIRST;
28.     nf_register_hook(&nfho);
31.     return 0;
32. }
35. static void  nf_cleanup(void)
36. {
37.     nf_unregister_hook(&nfho);
38. }
41. module_init(nf_init);
42. module_exit(nf_cleanup);
43. MODULE_AUTHOR("djwow");
44. MODULE_LICENSE("GPL");

复制代码

struct sk_buff










sk_buff结构的成员skb->head指向一个已分配的空间的头部，即申请到的整个缓冲区的头，skb->end指向该空间的尾部，这两个成员指针从空间创建之后，就不能被修改。skb->data指向分配空间中数据的头部，skb->tail指向数据的尾部，这两个值随着网络数据在各层之间的传递、修改，会被不断改动。刚开始接触skb_buf的时候会产生一种错误的认识，就是以为协议头都会是放在skb->head和skb->data这两个指针之间，但实际上skb_buf的操作函数都无法直接对这一段内存进行操作，所有的操作函数所做的就仅仅是修改skb->data和skb->tail这两个指针而已，向套接字缓冲区拷贝数据也是由其它函数来完成的，所以不管是从网卡接受的数据还是上层发下来的数据，协议头都是被放在了skb->data到skb->tail之间，通过skb_push前移skb->data加入协议头，通过skb_pull后移skb->data剥离协议头。




sk_buf常用解析
struct sk_buff *sb = skb;
IP地址：

1. #define NIPQUAD(addr) \
2.   ((unsigned char *)&addr)[0], \
3.   ((unsigned char *)&addr)[1], \
4.   ((unsigned char *)&addr)[2], \
5.   ((unsigned char *)&addr)[3]
8. #define NIPQUAD_FMT "%u.%u.%u.%u"
9. __be sip, dip;
10. struct iphdr *iph=ip_hdr(sb);
11. sip=iph->saddr;
12. dip=iph->daddr;
15. printk("sip:%u.%u.%u.%u,dip:%u.%u.%u.%u\m",
16.     NIPQUAD(sip),NIPQUAD(dip));

复制代码

协议：

1. struct iphdr *iph=ip_hdr(sb);
2. iph->protocol==IPPROTO_TCP

复制代码

端口：

1. struct iphdr *iph=ip_hdr(sb);
2. struct tcphdr *tcph = NULL;
3. struct udphdr *udph = NULL;
4. unsigned short sport = 0;
5. unsigned short dport = 0;
6. if(iph->protocol==IPPROTO_TCP)
7. {
8.     tcph = (struct tcphdr *)((char *)skb->data + (int)(iph->ihl * 4));
9.     sport=ntohs(tcph->source);
10.     dport=ntohs(tcph->dest);
11. }
12. else if(iph->protocal==IPPROTO_UDP)
13. {
14.     udph = (struct udphdr *)((char *)skb->data + (int)(iph->ihl * 4));
15.     sport=ntohs(udph->source);
16.     dport=ntohs(udph->dest);
17. }

复制代码

tcp的数据：

1. char *data = NULL;
2. struct tcphdr *tcph = (struct tcphdr *)((char *)skb->data + (int)(iph->ihl * 4));;
3. data = (char *)((int)tcph + (int)(tcph->doff * 4));

复制代码

ihl(Internet Header Length 报头长度)，位于IP报文的第二个字段，4位，表示IP报文头部按32位字长（32位，4字节）计数的长度，也即报文头的长度等于IHL的值乘以4。

三个demo
一个是打印ip地址 一个是获取ftp账号密码 最后一个老外写一个获取ftp和修改数据的demo

1. //打印IP:
2. #include <linux/module.h>
3. #include <linux/kernel.h>
4. #include <linux/init.h>
5. #include <linux/types.h>
6. #include <linux/netdevice.h>
7. #include <linux/skbuff.h>
8. #include <linux/netfilter_ipv4.h>
9. #include <linux/inet.h>
10. #include <linux/in.h>
11. #include <linux/ip.h>
12. #include <linux/tcp.h>
13. #include <linux/udp.h>
16. #define NIPQUAD(addr) \
17.   ((unsigned char *)&addr)[0], \
18.   ((unsigned char *)&addr)[1], \
19.   ((unsigned char *)&addr)[2], \
20.   ((unsigned char *)&addr)[3]
25. static unsigned int ipprint_func(
26. unsigned int hooknum,
27. struct sk_buff * skb,
28. const struct net_device *in,
29. const struct net_device *out,
30. int (*okfn) (struct sk_buff *))
31. {
32.     __be32 sip,dip;
35.     struct tcphdr *tcph = NULL;
36.     struct udphdr *udph = NULL;
37.     unsigned short sport = 0;
38.     unsigned short dport = 0;
39.     struct iphdr *iph;
40.     if(skb)
41.     {
42.         struct sk_buff *sb = NULL;
43.         sb = skb;
44.         iph  = ip_hdr(sb);
45.         sip = iph->saddr;
46.         dip = iph->daddr;
51.         if(iph->protocol==IPPROTO_TCP)
52.         {
53.             tcph = (struct tcphdr *)((char *)skb->data + (int)(iph->ihl * 4));
54.             //tcph = tcp_hdr(sb);
55.             sport=ntohs(tcph->source);
56.             dport=ntohs(tcph->dest);
57.         }
58.         else if(iph->protocol==IPPROTO_UDP)
59.         {
60.             udph = (struct udphdr *)((char *)skb->data + (int)(iph->ihl * 4));
61.             //udph = udp_hdr(sb);
62.             sport=ntohs(udph->source);
63.             dport=ntohs(udph->dest);
64.         }
65.         printk("Packet for source address: %u.%u.%u.%u:%u destination address: %u.%u.%u.%u:%u\n ", NIPQUAD(sip),sport,NIPQUAD(dip),dport);
66.     }
67.     return NF_DROP;
68. }
71. struct nf_hook_ops ipprint_ops = {
72.    .list =  {NULL,NULL},
73.    .hook = ipprint_func,
74.    .pf = PF_INET,
75.    //.hooknum = NF_INET_PRE_ROUTING,
76.    .hooknum = NF_INET_LOCAL_IN,
77.    .priority = NF_IP_PRI_FILTER+2
78. };
81. static int __init ipprint_init(void) {
82.   nf_register_hook(&ipprint_ops);
83.   return 0;
84. }
89. static void __exit ipprint_exit(void) {
90.   nf_unregister_hook(&ipprint_ops);
91. }
94. module_init(ipprint_init);
95. module_exit(ipprint_exit);
96. MODULE_AUTHOR("djwow");
97. MODULE_DESCRIPTION("ipprint");
98. MODULE_LICENSE("GPL");

复制代码

获取FTP账号密码: 结合通信的话可以参考我的另一篇文章
《linux防火墙开发实例 获取FTP账号密码》
6319521


Linux内核sk_buff结构分析
7415748


skb_buf结构分析
8797236


sk_buff结构分析
http://www.cnblogs.com/qq78292959/archive/2012/06/06/2538358.html