iptables 3: 动作MARK NFQUEUE

最新推荐文章于 2023-04-19 15:54:43 发布
最新推荐文章于 2023-04-19 15:54:43 发布
阅读量2k 收藏 3
点赞数
分类专栏: 防火墙iptalbes netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42639771/article/details/89352109
版权

一、mark打标记

如何设置mark
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
如何匹配mark
iptables -t mangle -A INPUT -m mark --mark 1
-m 即match匹配的意思。

mark的格式是–mark value[/mask],如上面的例子是没有掩码的,带掩码的例子如–mark 1/1。如果指定了掩码,就先把mark值和掩码取逻辑与,然后再和包的mark值比较。

二、NFQUEUE

  1. 使用NFQUEUE改包
    https://www.jianshu.com/p/ee728683a0ed
    http://www.doc88.com/p-3744296686284.html
    https://www.cnblogs.com/dpf-10/p/7899237.html

  2. 参考
    https://blog.csdn.net/wangzhen_csdn/article/details/83038122

  3. 更多函数介绍
    https://www.jianshu.com/p/23434149e3f0

nfqueue发送接收使用的fd都被封装在nfnl_open的返回值里。

nfqueue相关函数

1. nfnl_open

struct nfnl_handle *nfnl_open(void)
函数说明:
开启nfnetlink 处理程序
函数功能:
该函数创建一个nfnetlink 处理程序,此函数创建NFNETLink处理程序,这是需要建立的用户空间与NFNETLink系统之间的通信。
返回值:
成功 指向nfnl_handle structure的有效地址。
失败:NULL

2. nfq_unbind_pf nfq_bind_pf

int nfq_unbind_pf(struct nfq_handle *h, u_int16_t pf)
或者
int nfq_bind_pf(struct nfq_handle *h, u_int16_t pf)
函数说明:
解绑(绑定)nf_queue 队列
函数参数:
h:nfq_open()返回struct nfnl_handle结构的指针;
pf: 协议族 AF_BRIDGE:7多协议桥,AF_INET:2 路由模式
返回值:失败 : -1
 成功 :  0

3. nfq_create_queue

struct nfq_q_handle *nfq_create_queue(struct nfq_handle *h, u_int16_t num, nfq_callback *cb, void *data)

函数说明: 将此套接字绑定到特定的队列号.

函数参数:
h : nfq_open()返回struct nfnl_handle结构的指针;
num: 队列的序列号
cb : 数据包的处理函数(回调函数)
data: 自定义数据

返回值:
成功:struct nfq_q_handle 指针
失败 : null

4. nfq_set_mode

int nfq_set_mode(struct nfq_q_handle *qh,u_int8_t mode, u_int32_t range)

函数说明:
从netlink系统里设置copy数据的方式

函数参数:
qh: nfq_create_queue()函数的返回值
mode : copy 方式
NFQNL_COPY_NONE,
NFQNL_COPY_META,
NFQNL_COPY_PACKET,
range:copy 数据长度

返回值:
成功0
失败 -1

5. nfq_handle_packet

int nfq_handle_packet(struct nfq_handle *h, char *buf, int len)

函数说明:
处理接收的数据

函数参数:
nfq_open()返回struct nfnl_handle结构的指针;
buf: 待处理的数据
len:数据长度

综上所述:
nf_queue仍然使用的netlink机制与内核之间进行通信,不同的是nf_queue根据不同的queue_num将数据包传递给不同的用户注册的回调函数。但是请注意,它们共用一个socket套接字

问题1:nfq_handle_packet()怎样和处理函数nfq_create_queue参数cb 建立起联系的?

struct nfq_q_handle
{
	struct nfq_q_handle *next;
	struct nfq_handle *h;
	u_int16_t id;
	nfq_callback *cb;
	void *data;
};

typedef int nfq_callback(struct nfq_q_handle *gh, struct nfgenmsg *nfmsg, struct nfq_data *nfad, void *data);

static int cb(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, struct nfq_data *nfa, void *data)
{
	u_int32_t id = print_pkt(nfa);
	printf("entering callback\n");
	return nfq_set_verdict(qh, id, NF_ACCEPT, 0, NULL);
}

struct nfq_q_handle *nfq_create_queue(struct nfq_handle *h, u_int16_t num, nfq_callback *cb, void *data)
{
	int ret;
	struct nfq_q_handle *qh;

	if (find_qh(h, num))
		return NULL; 
	qh = malloc(sizeof(*qh));
	memset(qh, 0, sizeof(*qh));
	qh->h = h;
	qh->id = num;
	qh->cb = cb;
	qh->data = data;
	ret = __build_send_cfg_msg(h, NFQNL_CFG_CMD_BIND, num, 0);
	if (ret < 0) {
		nfq_errno = ret;
		free(qh);
		return NULL;
	}
	add_qh(qh);
	return qh;
}

//接收数据包
while ((rv = recv(fd, buf, sizeof(buf), 0)) && rv >= 0) {
	printf("pkt received\n");
	nfq_handle_packet(h, buf, rv);
}

nfq_handle_packe://处理数据包函数
--> nfnl_handle_packet(h->nfnlh, buf, len);
--> __nfnl_handle_msg(h, nlh, rlen)

static int __nfnl_handle_msg(struct nfnl_handle *h, struct nlmsghdr *nlh, int len)
{
	struct nfnl_subsys_handle *ssh;
	。。。。。 

	ssh = &h->subsys[subsys_id];
	if (ssh->cb[type].attr_count) {
		if (ssh->cb[type].call)
		return ssh->cb[type].call(nlh, nfa, ssh->cb[type].data);
	}

	return 0;
} 

结构体定义:
struct nfnl_subsys_handle {
	struct nfnl_handle *nfnlh;
	u_int32_t subscriptions;
	u_int8_t subsys_id;
	u_int8_t cb_count;
	struct nfnl_callback *cb; /* array of callbacks */
};

struct nfnl_callback {
	int (*call)(struct nlmsghdr *nlh, struct nfattr *nfa[], void *data);
	void *data;
	u_int16_t attr_count;
};

call:是一个函数指针(钩子) 

static struct nfnl_callback pkt_cb = {
	.call = &__nfq_rcv_pkt,
	.attr_count = NFQA_MAX,
}; 

函数的实现:
static int __nfq_rcv_pkt(struct nlmsghdr *nlh, struct nfattr *nfa[], void *data)
{
	struct nfgenmsg *nfmsg = NLMSG_DATA(nlh);
	struct nfq_handle *h = data;
	u_int16_t queue_num = ntohs(nfmsg->res_id);
	struct nfq_q_handle *qh = find_qh(h, queue_num);
	struct nfq_data nfqa;

	if (!qh)
		return -ENODEV;

	if (!qh->cb)
		return -ENODEV;

	nfqa.data = nfa;

	return qh->cb(qh, nfmsg, &nfqa, qh->data);
}

就这样nfq_handle_packet(h, buf, rv)和qh = nfq_create_queue(h,  0, &cb, NULL);联系在一起拉

weixin_42639771
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
Netfilter_queue 知识总结
wangzhen_csdn的博客
10-13 5827
Netfilter_queue 知识总结 函数名称: struct nfnl_handle *nfnl_open(void)   函数说明: 开启nfnetlink 处理程序 函数参数: void 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLink处理程序,这是需要建立的用户空间与NFNETLink系统之间的通信。   返回值: 成功 指向n...
netfilter_queue 总结
weixin_43745072的博客
11-24 2715
转载请注明出处 函数部分 nfq_open():打开一个nfqueue的句柄。 struct nfq_handle *nfq_open(void); 参数 return:生成的句柄 nfq_close():关闭nfq_open()创建的句柄。 int nfq_close(struct nfq_handle *h); 参数 h:nfq_open()创建的句柄 return: 0 成功,非0失败 nfq_unbind_pf() 将给定队列连接句柄与处理中的属于某个特定协议家族的数据包
Linux内核:网络过滤器简介与示例代码
RToax
09-30 1472
网络过滤是Linux内核中很好的基础结构,它使我们能够过滤和操作网络堆栈中的数据包。您可以构建用于防火墙过滤的网络过滤器,记录数据包,加密/解密等等。
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 1878
Linux 内核开发 - NetFilter
NFQueue简单介绍
saturn254的专栏
09-19 1411
netfilter netlink
iptables目标NFQUEUE
redwingz的博客
05-01 1604
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
使用netfilter_queue改包笔记
weixin_30236595的博客
11-26 900
系统:centos 7 准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装 简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则: //把到本机 50.24 ...
nfqueue性能评估
SHELLCODE_8BIT的博客
04-19 285
1.单个nfqueue的开销,和响应情况,然后逐渐增大nfqueue,来看响应情况。3.最后决定如果要保证响应质量,应该配什么配置。本质就是这个功能上了,成本要增加多少。1.nfqueue队列速度。那么影响性能的几个口子。
写了个Linux包过滤防火墙
weixin_30535913的博客
03-15 221
花几天写了个so easy的Linux包过滤防火墙,估计实际意义不是很大。防火墙包括用户态执行程序和内核模块,内核模块完全可以用iptable代替。由于在编写的过程一开始写的是内核模块所以就直接用上来。 代码结构如下: .├── kernelspace│ ├── Makefile│ ├── Makefile_netlink│ ├── modules.order│ ├─...
rust-iptables:iptables的Rust绑定
05-07
iptables 此板条箱为Linux中的应用程序提供了绑定(受启发)。 这个板条箱使用iptables二进制文件来操作链和表。 此源代码是根据MIT许可(可在LICENSE文件中找到)许可的。 [ dependencies ]iptables = " 0.4 ...
iptables:Chef Cookbook iptables的开发存储库
05-06
iptables食谱 安装iptables并提供用于添加和删除iptables规则的自定义资源 要求 平台类 Ubuntu / Debian的 RHEL / CentOS及其衍生版本 亚马逊Linux 厨师 厨师14+ 资源 菜谱 默认 默认配方将安装iptables,并提供...
ansible-iptables:使用iptables进行防火墙设置的Ansible角色
05-09
iptables 使用iptables配置防火墙。 该角色支持入口和出口过滤。 启用出口过滤后,将自动允许某些常用协议。 这包括: 对/etc/resolv.conf的名称服务器的DNS请求软件包管理(Gentoo,Debian,Alpine)要求需要使用...
ansible-iptables:通过Ansible进行IP地址配置
02-06
ansible-iptables:通过Ansible进行IP地址配置
iptables 2: 规则的查看、添加、删除、修改
热门推荐
weixin_42639771的博客
04-17 2万+
参考 http://www.zsythink.net/archives/1517 single-content 上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。 之前,我们把查看iptables规则的操作比作"增删改查"当中的"查",那么在这篇文章中,我们就聊聊怎样对iptables进行"增、删、改"操作。   注意:在参照本...
iptable1. 规则、表、链、表链关系
weixin_42639771的博客
04-12 1658
参考网址: http://www.zsythink.net/archives/1199 一. 防火墙相关概念 iptables netfilter iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。 netfilter才是防火墙真...
spring java图片上传源码.rar
最新发布
04-26
源码实现了图片上传功能,可供相关功能开发的小伙伴参考学习使用。
新入职员工工作总结范文大全(篇).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
通过配置iptables实现: 1、允许ssh远程登录。 2、允许80端口的web访问; 3、禁止ping主机的80端口; 4、允许ftp服务; 5、禁止除以上规则的其他任何网络访问。
04-24
您可以使用以下命令添加iptables规则: iptables -A INPUT -p tcp --dport 22 -j ACCEPT 接着,为了允许80端口的web访问,您可以使用以下命令添加iptables规则: iptables -A INPUT -p tcp --dport 80 -j ACCEPT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值