linux netfilter nat1 2020整理云笔记上传…

linux netfilter nat1 后面在上传…

目录 Netfilter框架 Netfilter的5个hook点 netfilter协议栈数据流分析 连接跟踪conntrack conntrack连接跟踪表条目 连接跟踪表大小 管理连接跟踪表 iptables iptables table iptables chain table和chain的关系 iptables状态匹配 参考 Netfilter框架 netfilter是Linux底层包处理框架,在协议栈中提供了若干hook点,可以用于对数据包进行过滤.修改.地址转换(SNAT/DNAT)…

https://www.amazon.com/gp/product/1118887735 The chapter about debugging is rather outdated - it describes LKCD/lcrash environment but all new kernels have kexec/kdump facility and 'crash' is the preferred debugger for those vmcores. Maybe 2.4 kernel…

注册钩子点首先要包含响应的头文件,因为这应该已经属于对kernel的编程了. #include <linux/module.h> #include <linux/kernel.h> #include <linux/init.h> 其次,要定义钩子函数 static unsigned int example(unsigned int hooknum,struct sk_buff* skb,const struct net_device *in,const struct n…

内核中将filter模块被组织成了一个独立的模块,每个这样独立的模块中都有个类似的init()初始化函数:首先来看一下filter模块是如何将自己的钩子函数注册到netfilter所管辖的几个hook点. filter 模块钩子点: /* 在LOCAL_IN,FORWARD, LOCAL_OUT钩子点工作 */ #define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \ (1 << NF_INET_FORWARD) | \ (1…

对于netfilter 可以参考 https://netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO-3.html netfilter 框架中包含了:filter mat mangle raw security: 在net结构中的成员struct netns_xt xt,是用来存储所有table的, netns_xt结构的成员如下,其中tables存储了多种协议对应的table链表,每种协议对应一个链表,多种table存储在自己所属…

参考http://www.linuxtcpipstack.com/685.html#NF_INET_PRE_ROUTING https://opengers.github.io/openstack/openstack-base-netfilter-framework-overview/ http://blog.chinaunix.net/uid-26517122-id-4293010.html https://netfilter.org/documentation/HOWTO/netfilter…

https://blog.csdn.net/lickylin/article/details/33321905…

yum -y install iptables//三张表 filter nat mangle [root@wang /]# iptables -t filter -nvL [root@wang /]# iptables -t nat -nvL packets, bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT packets, bytes) pkts bytes…

转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了.趁有时间,好好把这方面的东西总结一番.一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步. 能在CU上混的人绝非等闲之辈.因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables…

http://blog.csdn.net/wswifth/article/details/5115358 在师哥的代码(packet.c)中使用的是Linux2.4内核中的一个子系统:netfilter,该子系统的使用可以过滤数据包,也就对数据包经行了截获,它通过调用内核网络代码中的一些hook函数完成所需要的工作. 而当一个当数据包游历Linux内核的网络堆栈时,它穿过了几个hook点,在这里,数据包可以被分析并且选择是保留还是丢弃,这些hook点就是Netfilter hook. 而钩子函数…

http://blog.csdn.net/wswifth/article/details/5115475 注册一个hook函数是围绕nf_hook_ops数据结构的一个非常简单的操作,nf_hook_ops数据结构在linux/netfilter.h中定义,该数据结构的定义如下: struct nf_hook_ops {                  struct list_head list; /* 此下的值由用户填充 */                  nf_hookfn *hook…

本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了.趁有时间,好好把这方面的东西总结一番.一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步. 能在CU上混的人绝非等闲之辈.因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核态的Netfilter其交互过程和通信手段等.至于iptables的入门用法方面的东西,网上随便一搜罗就有一大…

想从github上下载一个特定TAG分支来查看代码,按照先git clone后git checkout的方式,提示说有文件没有提交.因为只查看不编译运行,所以这些关系不大的文件采取删除或者重新命名后提交的方式进行修改. 问题一:git rm  drivers/gpu/drm/nouveau/nvkm/subdev/i2c/aux.c Unlink of file 'drivers/gpu/drm/nouveau/nvkm/subdev/i2c/aux.c' failed? 原因:aux是wind…

转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天,经过多次得死机和重启,终于把截获的数据包转发的功能给实现了.同时,也吧sk_buff结构学习了一下.    本程序利用netfilter的钩子函数在PREROUTING处捕获数据包,并且修改数据包首部信息,之后直接转发,从而实现对数据包转发得功能.修改数据包得数据和地址之后,最主要的就是对tcp或…

转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPTables是继2.0.x的IPfwadm.2.2.x的IPchains之后,新一代的Linux防火墙机制.Netfilter采用模块化设计,具有良好的可扩充性.其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤.地址转换.处理等操作. Netfilter提供…

看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846220084910397396/ ##### 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPTables是继2.0.x的IPfwadm.2.2.x的IPchains之后,新一代的Linux防火墙机制.Netfilter采用模块化设计,具有良好的可扩充性.其重要…

目录 . 引言 . LRK5 Rootkit . knark Rootkit . Suckit(super user control kit) . adore-ng . WNPS . Sample Rootkit for Linux . suterusu . Rootkit Defense Tools . Linux Rootkit Scanner: kjackal 1. 引言 This paper attempts to analyze the characteristics from the…

概述 man tcpdump 已阅 yum install tcpdump Downloading Packages:(1/2): libpcap-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm                                | 130 kB     00:00(2/2): tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64.rpm                            …

引用地址:http://www.ibm.com/developerworks/cn/linux/kernel/l-chain/index.html 一. 链表数据结构简介 链表是一种常用的组织有序数据的数据结构,它通过指针将一系列数据节点连接成一条数据链,是线性表的一种重要实现方式.相对于数组,链表具有更好的动态性,建立链表时无需预先知道数据总量,可以随机分配空间,可以高效地在链表中的任意位置实时插入或删除数据.链表的开销主要是访问的顺序性和组织链的空间损失. 通常链表数据结构至少应包含两个域:…

转载:http://www.ibm.com/developerworks/cn/linux/kernel/l-chain/   一. 链表数据结构简介 链表是一种常用的组织有序数据的数据结构,它通过指针将一系列数据节点连接成一条数据链,是线性表的一种重要实现方式.相对于数组,链表具有更好的动态性,建立链表时无需预先知道数据总量,可以随机分配空间,可以高效地在链表中的任意位置实时插入或删除数据.链表的开销主要是访问的顺序性和组织链的空间损失. 通常链表数据结构至少应包含两个域:数据域和指针域,数据…

花几天写了个so easy的Linux包过滤防火墙,估计实际意义不是很大.防火墙包括用户态执行程序和内核模块,内核模块完全可以用iptable代替.由于在编写的过程一开始写的是内核模块所以就直接用上来. 代码结构如下: .├── kernelspace│   ├── Makefile│   ├── Makefile_netlink│   ├── modules.order│   ├── Module.symvers│   ├── netfilter.c│   ├── netfilter.h│  …

Linux网络地址转换分析 地址转换用来改变源/目的端口,是netfilter的一部分,也是通过hook点上注册相应的结构来工作. Nat注册的hook点和conntrack相同,只是优先级不同,数据包进入netfilter之后先经过conntrack,再经过nat. 而在数据包离开netfilter之前先经过nat,再经过conntrack. 在ip_conntrack结构中有为nat定义的一个nat结构,为什么把这个结构放在ip_conntrack里呢. 简单的说,对于非初始化连接的数据包,…

原文链接:http://blog.csdn.net/sealyao/article/details/5934268 一.Netfilter和Iptables概述 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中. 虽然 netfilter/iptab…

要注册一个hook函数需要用到nf_register_hook()或者nf_register_hooks()系统API和一个struct nf_hook_ops{}类型的结构体对象 一个简单的demo,基于CentOS 6.3,内核版本:linux-2.6.32-279.el6 myHook.c: #include <linux/kernel.h> #include <linux/ip.h> #include <linux/version.h> #include <…

1 模拟延迟传输简介 netem 与 tc: netem 是 Linux 2.6 及以上内核版本提供的一个网络模拟功能模块.该功能模块可以用来在性能良好的局域网中,模拟出复杂的互联网传输性能,诸如低带宽.传输延迟.丢包等等情况.使用 Linux 2.6 (或以上) 版本内核的很多发行版 Linux 都开启了该内核功能,比如 Fedora.Ubuntu.Redhat.OpenSuse.CentOS.Debian 等等. tc 是Linux 系统中的一个工具,全名为 traffic control(…

转自:http://www.cnblogs.com/riky/archive/2006/12/28/606242.html 一.链表数据结构简介 链表是一种常用的组织有序数据的数据结构,它通过指针将一系列数据节点连接成一条数据链,是线性表的一种重要实现方式.相对于数组,链表具有更好的动态性,建立链表时无需预先知道数据总量,可以随机分配空间,可以高效地在链表中的任意位置实时插入或删除数据.链表的开销主要是访问的顺序性和组织链的空间损失. 通常链表数据结构至少应包含两个域:数据域和指针域,数据域用于…

一:要求: 编写一个基于netfilter的模块,该模块的功能是捕获如mail.ustc.edu.cn等使用明文传输用户名和密码的网站的用户名和密码:并在接收到特定的ICMP数据包之后将捕获的用户名和密码发给攻击者. 二:背景介绍 LKM:Loadable Kernel Module是可加载内核模块,通过 Linux 内核模块(LKM)可以在运行时动态地更改 Linux,可动态更改 是指可以将新的功能加载到内核.从内核去除某个功能,甚至添加使用他 LKM 的新 LKM. LKM版hello wo…

本文主要内容:Netfilter的原理和实现浅析,以及示例模块. 内核版本:2.6.37 Author:zhangskd @ csdn blog 概述 Netfilter为多种网络协议(IPv4.IPv6.ARP等)各提供了一套钩子函数. 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用. 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函数),把经过的数据包钓上来, 然后根据自定义的规则,来决定数据包的命运: 可以原封不动的放回IPv4协议,继续向上层递交:可…