利用netfilter構(gòu)建用戶態(tài)防火墻

1、防火墻II——利用netfilter構(gòu)建用戶級防火墻,2012-12,課程內(nèi)容,Netfilter概述Netfilter工作機制利用netfilter構(gòu)建用戶級防火墻原理Libipq工作流程與相關(guān)函數(shù)實驗題目,Netfilter概述,Netfilter 更準確地講是Linux 內(nèi)核中，一個包過濾框架，默認地，它在這個框架上實現(xiàn)了包過濾、狀態(tài)檢測、網(wǎng)絡(luò)地址轉(zhuǎn)換和包標記等多種功能，因為它設(shè)計的開放性，任何有內(nèi)核開發(fā)經(jīng)驗的開發(fā)人員，也

2、可以很容易地利用它提供接口，在內(nèi)核的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層，實現(xiàn)自己的功能模塊。,Netfilter工作機制,Netfilter的五種操作,NF_DROP 丟棄該報文，釋放所有與該報文相關(guān)的資源；NF_ACCEPT 接受該報文，并繼續(xù)處理；NF_STOLEN 該報文已經(jīng)被HOOK函數(shù)接管，協(xié)議棧無須繼續(xù)處理；NF_QUEUE 將該報文傳遞到用戶態(tài)去做進一步的處理；NF_REPEAT 再次調(diào)用本HOOK函數(shù)。,利用netfilter構(gòu)

3、建防火墻,在內(nèi)核中注冊自己的鉤子函數(shù)；利用IP_QUEUE實現(xiàn)內(nèi)核與用戶層之間的數(shù)據(jù)包交換，實現(xiàn)用戶態(tài)防火墻,利用netfilter構(gòu)建用戶態(tài)防火墻機制,當HOOK處理函數(shù)返回NF_QUEUE值時，內(nèi)核協(xié)議棧將通過Linux NetLink通信機制把當前報文傳遞到用戶態(tài)，由用戶態(tài)的防火墻程序進行處理。這樣，只要能夠在相應(yīng)的HOOK點上返回NF_QUEUE值，就可以安心地在用戶態(tài)使用自己的程序來過濾報文了，這個功能可以由iptables

4、實現(xiàn)。,Libipq簡介,Libipq是NetFilter框架的重要組成部分。任何時候在任何NetFilter規(guī)則鏈中，數(shù)據(jù)報都可以被排隊轉(zhuǎn)發(fā)到用戶空間去。用戶進程能對數(shù)據(jù)報進行任何處理。處理結(jié)束以后，用戶進程可以將該數(shù)據(jù)報重新注入內(nèi)核或者設(shè)置一個對數(shù)據(jù)報的目標動作。,開發(fā)流程,設(shè)置過濾環(huán)境編寫應(yīng)用程序,設(shè)置過濾環(huán)境,加載過濾需要的內(nèi)核模塊 # modprobe iptable_filter # modprobe ip_queue

5、設(shè)置過濾規(guī)則iptables -A OUTPUT -p icmp -j QUEUEIptables -A OUTPUT –p tcp –j QUEUE,Libipq程序框架,初始化ipq_create_handle(),設(shè)置包復(fù)制規(guī)則ipq_set_mode(),讀取包數(shù)據(jù)ipq_read(),,,包處理ipq_set_verdict()},銷毀ipq_destroy_handle(),,包過濾處理循環(huán)

6、while(1){,,分析包ipq_message_type()ipq_get_packet(),,Libipq接口函數(shù)（1）,建立ipq的handle:struct ipq_handle *ipq_create_handle(u_int32_t flags, u_int32_t protocol); flags:基本上沒用，通常設(shè)為0； protocol:制定想獲取協(xié)議的隊列，PF_INET為IPV4隊列

7、， PF_INET6為IPV6隊列成功：返回一個不為空的指針；失?。悍祷匾粋€NULL指針,元數(shù)據(jù),struct nlmsghdr{ __u32 nlmsg_len; /* Length of message including header */ __u16 nlmsg_type; /* Message content */ __u16 nlmsg_flags; /* Additional flags */

8、__u32 nlmsg_seq; /* Sequence number */ __u32 nlmsg_pid; /* Sending process PID */};,Libipq接口函數(shù)（2）,設(shè)置IPQ的拷貝模式：用戶空間來設(shè)置ip_queue的接收數(shù)據(jù)模式的.int ipq_set_mode(const struct ipq_handle *h, u_int8_t mode, size_t len)h:是通過ipq

9、_create_handle ()獲得的句柄指針； mode:設(shè)定拷貝模式，IPQ_COPY_META和IPQ_COPY_PACKET。當為IPQ_COPY_META時，內(nèi)核將在其后的報文傳遞中只傳遞“報文的元數(shù)據(jù)”；當為IPQ_COPY_PACKET時，內(nèi)核將同時傳遞“報文的元數(shù)據(jù)”和報文本身 len:請求拷貝的報文長度成功：返回一個非0的正數(shù)；失敗：返回-1；,Libipq接口函數(shù)（3）,從內(nèi)核中的pack

10、et queue中讀取數(shù)據(jù)包，將其拷貝到buf指定的緩沖區(qū)ssize_t ipq_read(const struct ipq_handle *h,unsigned char *buf, size_t len, int timeout);h:ipq_create_handle創(chuàng)建的句柄；buf: 存放數(shù)據(jù)包的緩沖區(qū)； len:拷貝的字節(jié)數(shù)； timeout:超時時限，0表示函數(shù)直到指定的數(shù)據(jù)讀

11、到緩沖區(qū)里接觸阻塞，負數(shù)，表示函數(shù)馬上接觸阻塞。成功：返回一個大于0 的數(shù)；失?。?1,Libipq接口函數(shù)（4）,分析數(shù)據(jù)包的類型int ipq_message_type(const unsigned char *buf);1、buf:通過ipq_read存放數(shù)據(jù)包的緩沖區(qū)；返回值存在兩種可能：NLMSG_ERROR：數(shù)據(jù)包是一個錯誤的數(shù)據(jù)包；IPQM_PACKET:元數(shù)據(jù)或是既包含元數(shù)據(jù)和負載的數(shù)據(jù)包,Libip

12、q接口函數(shù)（5）,從緩沖中獲取數(shù)據(jù)包ipq_packet_msg_t *ipq_get_packet(const unsigned char *buf);,Libipq接口函數(shù)（5）,用戶層通過這個函數(shù)告訴內(nèi)核對某一個數(shù)據(jù)包的處理意見 int ipq_set_verdict(const struct ipq_handle *h,ipq_id_t id,unsigned int verdict,size_t data_len,un

13、signed char *buf);h:id: 數(shù)據(jù)包的標識符，通過ipq_get_packet得到的；verdict:對數(shù)據(jù)包的處理意見，NF_ACCEPT:接收數(shù)據(jù)包，NF_DROP:丟棄數(shù)據(jù)包；len:buf:成功：>0的正數(shù)；失?。?1,Libipq接口函數(shù)（6）,釋放ipq句柄int ipq_destroy_handle(struct ipq_handle *h);成功：0失?。?

14、1,,用libipq編寫程序,頭文件#include #include 編譯、鏈接gcc -o myfw myfw.c –lipq輸出fprintf(stderr,…..),編譯環(huán)境的搭建,Ubuntu：sudo apt-get install iptables-devRedhat 9.0:# file iptables-1.2.7a.tar# tar xjvf iptables-1.2.7a.tar

15、# make instll-develRedhat 高版本系列：1、rpm –ivh iptables 1.XX-dev(在安裝盤里能找到安裝包)；2、yum install iptables-dev;,試驗題目,設(shè)置iptables過濾規(guī)則為：所有從本機發(fā)出的icmp包全部到自己編寫的應(yīng)用程序編寫應(yīng)用程序，功能如下：允許從本機出發(fā)，目的地址為win xp ip的icmp包；丟棄其他任何icmp包；當出現(xiàn)錯誤時，做錯