Skip to main content

Netfilter

Netfilter 是Linux 2.4 内核引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。

  • Iptables的功能实现就是在Netfilter之上完成的。
  • 流控的实现也是基于netfilter
  • Linux Virtual Server(LVS) 基于netfilter

内核版本 4.13 之前 使用 nf_register_hook , nf_unregister_hook

内核版本 4.13 之后 使用 ‌nf_register_net_hook,nf_unregister_net_hook

相关结构介绍

结构体

  • pf 数据包的协议族
  • hooknum 挂载点的位置
  • priority 钩子的优先级
struct nf_hook_ops
{
	struct list_head list;
	/* User fills in from here down. */
	nf_hookfn *hook;
	struct module *owner;
	int pf;
	int hooknum;
	/* Hooks are ordered in ascending priority. */
	int priority;
};                                                                            

enum nf_ip_hook_priorities {
    NF_IP_PRI_FIRST = INT_MIN,
    NF_IP_PRI_CONNTRACK_DEFRAG = -400,
    NF_IP_PRI_RAW = -300,
    NF_IP_PRI_SELINUX_FIRST = -225,
    NF_IP_PRI_CONNTRACK = -200,
    NF_IP_PRI_MANGLE = -150,
    NF_IP_PRI_NAT_DST = -100,
    NF_IP_PRI_FILTER = 0,
    NF_IP_PRI_SECURITY = 50,
    NF_IP_PRI_NAT_SRC = 100,
    NF_IP_PRI_SELINUX_LAST = 225,
    NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
    NF_IP_PRI_LAST = INT_MAX,
};
enum {
    NFPROTO_UNSPEC =  0,
    NFPROTO_IPV4   =  2,
    NFPROTO_ARP    =  3,
    NFPROTO_BRIDGE =  7,
    NFPROTO_IPV6   = 10,
    NFPROTO_DECNET = 12,
    NFPROTO_NUMPROTO,
}
//IPv4钩子点的定义如下:
enum nf_inet_hooks {
    NF_INET_PRE_ROUTING,
    NF_INET_LOCAL_IN,
    NF_INET_FORWARD,
    NF_INET_LOCAL_OUT,
    NF_INET_POST_ROUTING,
    NF_INET_NUMHOOKS
};

4.13内核版本分界

  • priv:私有数据
  • skb:正在处理的报文
  • state:将相关参数都将存储到 state 中
  • hook:hook 函数
  • dev:设备
  • pf:协议族
  • hooknum:hook 触发点的编号
  • priority:优先级
  • net_device *in:用于描述数据包到达的接口
  • net_device *out:用于描述数据包离开的接口
#define NF_IP_PRE_ROUTING   0   // 在进行完整性检查之后,可以截获接收的所有报文,包括目的地址是自己的报文和需要转发的报文;目的IP地址转换在此点
#define NF_IP_LOCAL_IN      1   // 路由决策后,可以截获目的地址是自己的报文,INPUT 包过滤在这里进行
#define NF_IP_FORWARD       2   // 截获所有转发的报文,FORWARD 在这里进行过滤
#define NF_IP_LOCAL_OUT     3   // 可以截获自身发出的所有报文(不包括转发),OUTPUT 过滤在这里进行
#define NF_IP_POST_ROUTING  4   // 可以截获发送的所有报文,包括自身发出的报文和转发的报文

#define NF_DROP     0     // 丢弃数据包,不在继续
#define NF_ACCEPT   1     // 正常传输报文 下一个 HOOK 函数可以接着处理了
#define NF_STOLEN   2     // Netfilter 模块接管该报文,不再继续传输
#define NF_QUEUE    3     // 对该数据报进行排队,通常用于将数据报提交给用户空间进程处理
#define NF_REPEAT   4     // 再次调用该钩子函数
#define NF_STOP     5     // 继续正常传输报文 后面的 HOOK 函数你们就不要处理了


typedef unsigned int nf_hookfn(void *priv,struct sk_buff *skb,const struct nf_hook_state *state);

struct nf_hook_ops {
  nf_hookfn   *hook;
  struct net_device *dev;
  void      *priv;
  u_int8_t    pf;
  unsigned int    hooknum;
  int     priority;
};

struct nf_hook_state {
  unsigned int hook;
  u_int8_t pf;
  struct net_device *in;
  struct net_device *out;
  struct sock *sk;
  struct net *net;
  int (*okfn)(struct net *, struct sock *, struct sk_buff *);
};

参数 in 只用于NF_IP_PRE_ROUTING和NF_IP_LOCAL_IN,参数out只用于NF_IP_LOCAL_OUT和NF_IP_POST_ROUTING

实战(4.13之后)

因为制作 hook 触发需要将程序加载到内核中,所以先了解下 linux 内核模块化,加载和卸载。

main.c

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/types.h>
#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <linux/tcp.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>


MODULE_LICENSE("GPLv3");
MODULE_AUTHOR("SHI");
MODULE_DESCRIPTION("Netfliter test");

static int __init init(void) {
  printk(KERN_INFO "register new kernel module\n");
  return 0;
}

static void __exit exit(void) {
  
}

module_init(init);
module_exit(exit);

makefile

KERNEL_DIR=/usr/src/linux-headers-5.4.0-192-generic
obj-m = nf_test.o
nf_test-objs = main.o 
 
all:
	make -C $(KERNEL_DIR)  M=$(PWD) modules
clean:
	make -C $(KERNEL_DIR)  M=$(PWD) clean

install:
	sudo insmod nf_test.ko
remove:
	sudo rmmod nf_test.ko
  • make
  • make install
  • make remove
  • dmesg

注册了hook的main.c

#include <linux/module.h> 
#include <linux/kernel.h> 
#include <linux/init.h> 
#include <linux/kthread.h>
#include <linux/delay.h>

#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <linux/tcp.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>
#include <linux/netdevice.h>

static char *if_name = "eth0";

static unsigned int
nf_test_in_hook_413(void * priv, struct sk_buff *skb ,const struct nf_hook_state* state){

        if(state->out != NULL && strcmp(state->out->name,if_name) == 0)
        {
            printk(KERN_INFO "nf_test_in_hook_413\n");
            return NF_ACCEPT;
        }
        else
        {
            return NF_ACCEPT;
        }
	    return NF_ACCEPT;
        
}
static struct nf_hook_ops nf_drop={
	.hook = nf_test_in_hook_413,
	.pf = PF_INET,
	.hooknum = NF_INET_LOCAL_OUT,
	.priority = NF_IP_PRI_FIRST,
};
static int __init hello_world_init(void) {
    printk(KERN_INFO "Hello, world!\n");
    nf_register_net_hook(&init_net,&nf_drop);
    return 0; 
}
 
// 模块卸载函数
static void __exit hello_world_exit(void) {
    nf_unregister_net_hook(&init_net,&nf_drop);
    printk(KERN_INFO "Goodbye\n");
}
 
module_init(hello_world_init); // 宏用于加载模块
module_exit(hello_world_exit); // 宏用于卸载模块
 
MODULE_LICENSE("GPL"); 
MODULE_AUTHOR("lianghao"); 
MODULE_DESCRIPTION("nftest"); 
MODULE_VERSION("1.0");