博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Linux防火墙iptables中mark模块分析及编写
阅读量:6543 次
发布时间:2019-06-24

本文共 3395 字,大约阅读时间需要 11 分钟。

在linux系统中为了更好的实现网络流量的管理,使用了内核的mark来标识网络流量。这样造成了用户层再使用mark来标记多线负载,两种mark会互相覆盖,达不到想要的结果。在此种情况下,通过研究发现可以扩展mark模块来解决这种冲突。 
  1 Iptables的结构和命令格式分析 
  1.1 Iptables的结构分析 
  Iptables是linux系统为用户提供的一个配置防火墙的工具。它提供一个命名规则集。在linux中iptables防火墙实现的核心模块是netfilter,它负责维护防火墙的规则链表,实现防火墙安全防御能力。Netfilter主要有三种功能:数据包过滤、网络地址转换(nat)以及数据包处理(mangle)。数据包过滤模块的功能是过滤报文,不作任何修改,或者接受,或者拒绝。Nat是网络地址转换,该模块以connection tracking模块为基础,仅对每个连接的第一个报文进行匹配和处理,然后交由connection tracking模块将处理结果应用到该连接之后的所有报文。Mangle是属于可以进行报文内容修改的ip tables,可供修改的报文内容包括mark、tos、ttl等。同时该模块带有用户空间和内核交流的接口。 
  1.2 Iptables命令格式分析 
  一个最简单的规则可以描述为拒绝所有转发报文,用iptables命令表示就是:iptables -A FORWORD -j DROP。Iptables应用程序将命令行输入转换为程序可读的格式,然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。它根据请求设置了一个struct ipt_replace结构,用来描述规则所涉及的表和HOOK点等信息,并在其后附接当前这条规则,一个struct ipt_entry结构。组织好这些数据后,iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求。 
  2 Netfilter的结构分析 
  Netfilter是linux系统中的内核防火墙框架,主要进行包过滤,连接跟踪,地址转换的功能,是防火墙的基础。其主要通过表、链实现。在netfilter中,每种网络协议都有自己的一套hook函数。数据报经过协议栈的几个关键点时调用hook函数,hook函数标号和协议栈数据报作为参数,传递给netfilter框架。其主要框架如图1所示: 
  3 Netfilter和 Iptables相关模块属性分析 
  3.1 与netfilter有关的结构 
  Netfilter一个重大修正思想就是将netfilter作为一个协议无关的框架,表现在内核结构树中单独建立net/netfilter目录,在net/netfilter下的匹配和目标模块文件名称以“xt_”开头。 
  为了和iptables兼容,这些文件中增加了一个新的宏定义:module_alias,来表示模块的别名。所有扩展程序的名称也是以xt开头。 
  Netfilter扩展的程序框架: 
  Xt_kzmark.c: 
  Static unsigned int kzmark_tg(struct sk_buff *skb, const struct xt_action_param *par) 
  Static int kzmark_tg_check(const struct xt_tgchk_param *par) 
  Static void kzmark_tg_destroy(const struct xt_tgdtor_param *par) 
  Static boool kzmark_mt(const struct sk_buff *skb, struct xt_action_param *par) 
  Static int kzmark_mt_check(const struct xt_mtchk_param *par) 
  Static void kzmark_mt_destroy(const struct xt_mtdtor_param *par) 
  Static struct xt_target kzmark_tg_reg __read_mostly = {} 
  Static struct xt_match kzmark_mt_reg __read_mostly = {} 
  Static int __init kzmark_mt_init(void) 
  {Int ret; 
  Need_ipv4_conntrack(); 
  Ret = xt_register_target(&kzmark_tg_reg); 
  Ret = xt_register_match(&kzmark_mt_reg);} 
  Static void_exit kzmark_mt_exit(void) 
  {Xt_unregister_match(&kzmark_mt_reg); 
  Xt_unregister_target(&kzmark_tg_reg);}   Module_init(kzmark_mt_init); 
  Module_exit(kzmark_mt_exit); 
  3.2 与Iptables有关的扩展 
  Iptables是一个用户可自行配置状态防火墙的应用程序,其实现由extension来完成,其机制类似于插件,可以有效的扩展iptables功能。Iptables是由模块化集成的,它所有的功能都在模块中实现。如一个很简单的配置项:-m state,-m是一个match,而state是match的一个模块,对于-m这个match,其它可选的模块许多。在iptables结构中,模块和模块名称是相关的。此次扩展的iptables代码libxt_kzmark.c,libxt_KZMARK.c要放入extension文件夹中。 
  匹配模块的程序框架: 
  Libxt_kzmark.c: 
  Static const struct option kzmark_opts[] = {}; 
  Static void parse_range(const char *arg, struct xt_kzmark_mtinfo *si) 
  Static int kzmark_parse(int c, char **argv, int invert, unsigned int *flags, const void *entry, struct xt_entry_match **match) 
  Static void kzmark_print(const void *ip, const struct xt_entry_match *match, int numeric) 
  Static void kzmark_save(const void *ip, const struct xt_entry_match *match) 
  Static struct xtables_match kzmark_match = {//Todo something}; 
  Void _init(void) 
  {Xtables_register_match(&kzmark_match);} 
  4 程序使用及效果 
  Kzmark的使用: 
  Iptables -A INPUT -d 192.168.1.11/32 -m kzmark -j DROP 
  KZMARK的使用: 
  Iptables -A INPUT -d 192.168.1.11/32 -j KZMARK --set-mark 3000 
  通过对以上模块的测试,使用效果良好。Netfilter/iptables可以很好地扩展新的匹配模块,但需要使用者按照一定的方式编写程序,使其注意力集中在功能的具体实现上,而不再考虑其他因素。在具体程序的实现上以现成的匹配模块为基础进行修改,不需要了解内部结构的定义就可以完成编码,因此netfilter/iptables是一个程序模块化实现很好的实例,可以推广应用。 

转载地址:http://zhado.baihongyu.com/

你可能感兴趣的文章
vuex视频教程
查看>>
Java 线程 — ThreadLocal
查看>>
安居客爬虫(selenium实现)
查看>>
-----二叉树的遍历-------
查看>>
ACM北大暑期课培训第一天
查看>>
F. Multicolored Markers(数学思维)
查看>>
Centos7安装搜狗输入法
查看>>
nodjs html 转 pdf
查看>>
Python字典
查看>>
ofstream 的中文目录问题
查看>>
Android存储方式之SQLite的使用
查看>>
洛谷P1287 盒子与球 数学
查看>>
Bootstrap vs Foundation如何选择靠谱前端框架
查看>>
与、或、异或、取反、左移和右移
查看>>
vue常用的指令
查看>>
matlab练习程序(随机游走图像)
查看>>
Linux命令行下运行java.class文件
查看>>
input文本框实现宽度自适应代码实例
查看>>
protocol buffers的编码原理
查看>>
行为型设计模式之命令模式(Command)
查看>>