1.netfilter/iptables模块编译及应用
2.给openwrt18.06增加石像鬼QOS支持
3.解析LinuxSS源码探索一探究竟linuxss源码
4.linux内核通信核心技术：Netlink源码分析和实例分析
5.netfilter 链接跟踪机制与NAT原理
6.Linux下使用Netfilter框架编写内核模块

netfilter/iptables模块编译及应用

       by KindGeorge # yahoo.com .4.2 at ChinaUnix.net

       相信很多人都会用iptables,码详我也一直用,并且天天用.特别是看完platinum的如何给iptables添加新的模块;;介绍后,觉得有必要深入了解一下它的拓展功能.于是立刻下载,先查看一下它的说明, 其功能很是令人感觉很兴奋,例如:comment (备注匹配) ,string(字符串匹配,可以用做内容过滤),iprang(ip范围匹配),time(时间匹配),ipp2p(点对点匹配),connlimit(同时连接个数匹配),Nth(第n个包匹配),geoip(根据国家地区匹配). ipp2p(点对点匹配), quota(配额匹配),还有很多......之后编译,几经测试,在rh7.3 kernel2.4.-3和rh9.0 kernel2.4.-8下均成功实现添加扩展功能.以下是介绍其部分功能,及编译方法.环境rh9.0 kernel2.4.-8. root身份.

       一,准备原码.

       1. 内核原码:为了减少复杂性,不编译所有内核和模块,建议找一个跟当前版本一样的内核原码,推荐安装时光盘的

       a. [root@kindgeorge] uname -r (查看当前版本)

       2.4.-8

       可以cd /usr/src 查看是否有这个目录2.4.-8

       b. 或者[root@kindgeorge]rpm -qa|grep kernel

        kernel-source-2.4.-8 如果有这个说明已安装了.

       如果没有安装,可以在RH第二张光盘中拷贝过来或安装 rpm -ivh kernel-source-2.4.-3.i.rpm. 安装后会在/usr/src/出现linux-2.4连接和linux-2.4.-8目录.

        c.在下载一个和当前版本的内核原码.

       2. 先获取最新的信息,当然要到piled for kernel version 2.4.-8custom

        while this kernel is version 2.4.-8.

       /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o: insmod /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o failed

       /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipt_iprange.o: insmod ipt_iprange failed

       3. [root@kindgeorge linux-2.4]# make mrproper

       4. [root@kindgeorge linux-2.4]# make oldconfig

       'make oldconfig' - 采用以前的 .config 文件 (编译时十分有用)

       技巧：在make menuconfig时，我们面对众多的码详选项常常不知道该如何选择，此时可以把安装时的码详配置文件copy到/usr/src/linux-2.4中：cp /boot/config-2.4.* /usr/src/linux-2.4/.config,再用make menuconfig编译，它会读取.config中原来的码详配置信息.

       (二).给netfilter打补丁

       解开tar xjvf patch-o-matic-ng-.tar.bz2 包后,进入该目录,就会发现有很多目录,其实每个目录对应一个模块.

       我们可以这样来选择,根据不同贮仓库submitted|pending|base|extra,例如:

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme base .

       或:KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme extra

       执行后,会测试是否已经应用和提示你是否应用该模块,但这样会遍历所有模块,有很多是用不着的,并且可能和系统版本有冲突,如果不管三七二十一全部选择的话,一般都会在编译和使用时出错.所以推荐用cat /模块目录名/info 和cat /模块目录名/help 看过后,认为适合自己,才选择.

       我是针对在上面看过后,有目的的一个一个的应用的,这样做:

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme string

       执行后,会测试是否已经应用和提示你是否应用该模块,按"y"应用.然后继续下一个

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme comment

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme connlimit

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme time

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme iprange

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme geoip

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme nth

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme ipp2p

       KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme quota

       上面全部完成后,

       cd /usr/src/linux-2.4

       make menuconfig，确认

       Prompt for development and/or incomplete code/drivers要选中

       然后进入Networking options

       再进入IP:Netfilter Configuration，码详会看到增加很多模块，码详抖音录像源码每个新增的码详后面都会出现"NEW",把其想要的选中为模块"M"

       保存、退出，码详至此，码详给netfilter打补丁工作完成

       (三).编译netfilter模块

       1.这里只需要编译netfilter,码详不需要编译整个内核和模块.这里我只需要ipv4的,ipv6我还没用到,所以不管了

       cd /usr/src/linux-2.4

       make dep

       make modules SUBDIRS=net/ipv4/netfilter

       2.建立一个新目录备份原来模块,以防万一:

       mkdir /usr/src/netfilter

       cp /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/*.o /usr/src/netfilter/

       3.应用新的模块

       cp -f /usr/src/linux-2.4/net/ipv4/netfilter/*.o /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/

       4.更新你的modules.dep

       depmod -a

       当出现这个时,可以不用理会,因为ipchains, ipfwadm模块都没用,也可以把出错的删除.

       depmod: *** Unresolved symbols in /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipchains_core.o

       depmod: *** Unresolved symbols in /lib/modules/2.4.-8/kernel/net/ipv4/netfilter/ipfwadm_core.o

       (四).编译安装新的iptables

       解压后有目录iptables-1.3.1

       cd /usr/src/iptables-1.3.1

       export KERNEL_DIR=/usr/src/linux-2.4

       export IPTABLES_DIR=/usr/src/iptables-1.3.1

       make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install

       三.安装完成,测试及应用

       1.内容过滤

       iptables -I FORWARD -m string --string "腾讯" -j DROP

       iptables -I FORWARD -s ..3. -m string --string "qq.com" -j DROP

       iptables -I FORWARD -d ..3.0/ -m string --string "宽频影院" -j DROP

       iptables -I FORWARD -s ..3.0/ -m string --string "色情" -j DROP

       iptables -I FORWARD -p tcp --sport -m string --string "广告" -j DROP

       2.备注应用

       iptables -I FORWARD -s ..3. -p tcp --dport -j DROP -m comment --comment "the bad guy can not online"

       iptables -I FORWARD -s ..3. -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"

       3.并发连接应用

       模块 connlimit 作用:连接限制

       --connlimit-above n 限制为多少个

       --connlimit-mask n 这组主机的掩码,默认是connlimit-mask ,即每ip.

       这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用

       例如:只允许每个ip同时5个端口转发,超过的丢弃:

       iptables -I FORWARD -p tcp --syn --dport -m connlimit --connlimit-above 5 -j DROP

       例如:只允许每组ip同时个端口转发:

       iptables -I FORWARD -p tcp --syn --dport -m connlimit --connlimit-above --connlimit-mask -j DROP

       例如:为了防止DOS太多连接进来,那么可以允许最多个初始连接,超过的丢弃.

       /sbin/iptables -A INPUT -s ..1.0/ -p tcp --syn -m connlimit --connlimit-above -j DROP

       /sbin/iptables -A INPUT -s ..1.0/ -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

       4.ip范围应用

       iptables -A FORWARD -m iprange --src-range ..1.5-..1. -j ACCEPT

       5.每隔N个匹配

       iptables -t mangle -A PREROUTING -m nth --every -j DROP

       6.封杀BT类P2P软件

       iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

       iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

       iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

       7.配额匹配

       iptables -I FORWARD -s ..3. -p tcp --dport -m quota --quota -j DROP

       iptables -I FORWARD -s ..3. -p tcp --dport -m quota --quota -j ACCEPT

       以上均测试通过,只有geoip的geoipdb.bin没下载到,所以没测试

       在此仅为抛个砖头,更多的应用,要根据自己的需要来组合各个规则和模块了.

       本来此篇文章和netfilter/iptables模块功能中文介绍;;是写在一起的,由于篇幅太长,所以份成两篇. 如果有更新请见我的blog: /article.php?articleId=blogId=

       /forum/viewtopic.php?t= netfilter/iptables模块功能中文介绍

       platinum的 /forum/viewtopic.php?t= 如何给iptables添加新的模块v2.2（含视频教程）

       hongfengyue的 /jh/4/.html iptables 添加模块 （for kernel 2.6）

       官方: filter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html

给openwrt.增加石像鬼QOS支持

       石像鬼（Gargoyle）固件以其出色的QoS性能，备受推崇。码详在迅雷满速下载的码详同时，网页可以实现秒开，码详游戏（如LOL）流畅不卡顿。码详这主要得益于石像鬼组件提供的码详强大功能。不单是QoS，单IP精确限速等特性，也离不开石像鬼的支持。例如，QOSV4和Emong's QoS等，皆基于石像鬼QoS实现。

       对于想要自己编译带有石像鬼QoS支持的固件的用户，以下是如何在最新版本的OpenWRT中实现移植步骤：

       首先，获取源代码。游戏脚本autojs源码

       之后，操作如下：

       1. 添加imq补丁：复制-netfilter-mk.patch和-netfilter-mk.patch文件至/source目录。进入源码目录并执行命令：patch -p1 < -imq.patch 和 patch -p1 < -imq.patch。

       2. 替换默认的iptables，删除OpenWRT .自带的iptables，将新版本的iptables文件放入。

       3. 将gargoyle-package目录复制到/source/package目录内。

       4. 复制-imq.patch到/source/target/linux/generic/pending-4.目录。

       5. 在gargoyle-package/gargoyle/qos-gargoyle/files内替换qos_gargoyle.conf文件为qos_gargoyle。

       值得注意的是，offload和qos_gargoyle配置存在冲突，因此在实际应用中，只能选择其一。

解析LinuxSS源码探索一探究竟linuxss源码

       被誉为“全球最复杂开源项目”的Linux SS（Secure Socket）是一款轻量级的网络代理工具，它在Linux系统上非常受欢迎，也成为了大多数网络应用的首选。Linux SS的源码的代码量相当庞大，也备受广大开发者的关注，潜心钻研Linux SS源码对于网络研究者和黑客们来说是非常有必要的。

       我们以Linux 3. 内核的SS源码为例来分析，Linux SS的源码目录位于linux/net/ipv4/netfilter/目录下，在该目录下包含了Linux SS的主要代码，我们可以先查看其中的厦门源码建站主要头文件，比如说：

       include/linux/netfilter/ipset/ip_set.h

       include/linux/netfilter_ipv4/ip_tables.h

       include/linux/netfilter/x_tables.h

       这三个头文件是Linux SS系统的核心结构之一。

       接下来，我们还要解析两个核心函数：iptables_init函数和iptables_register_table函数，这两个函数的主要作用是初始化网络过滤框架和注册网络过滤表。iptables_init函数主要用于初始化网络过滤框架，主要完成如下功能：

       1. 调用xtables_init函数，初始化Xtables模型；

       2. 调用ip_tables_init函数，初始化IPTables模型；

       3. 调用nftables_init函数，初始化Nftables模型；

       4. 调用ipset_init函数，初始化IPset模型。

       而iptables_register_table函数主要用于注册网络过滤表，主要完成如下功能：

       1. 根据提供的参数检查表的有效性；

       2. 创建一个新的数据结构xt_table；

       3. 将该表注册到ipt_tables数据结构中；

       4. 将表名及对应的表结构存放到xt_tableshash数据结构中；

       5. 更新表的索引号。

       到这里，我们就大致可以了解Linux SS的源码，但Learning Linux SS源码只是静态分析，细节的分析还需要真正的运行环境，观察每个函数的实际执行，而真正运行起来的Linux SS，是与系统内核非常紧密结合的，比如：

       1. 调用内核函数IPv6_build_route_tables_sockopt，构建SS的路由表；

       2. 调用内核内存管理系统，比如kmalloc、vmalloc等，rust 源码阅读vim分配SS所需的内存；

       3. 初始化Linux SS的配置参数；

       4. 调用内核模块管理机制，加载Linux SS相关的内核模块；

       5. 调用内核功能接口，比如netfilter, nf_conntrack, nf_hook等，通过它们来执行对应的网络功能。

       通过上述深入了解Linux SS源码，我们可以迅速把握Linux SS的构架和实现，也能熟悉Linux SS的具体运行流程。Linux SS的深层原理揭示出它未来的发展趋势，我们也可以根据Linux SS的现有架构改善Linux的网络安全机制，进一步开发出与Linux SS和系统内核更加融合的高级网络功能。

linux内核通信核心技术：Netlink源码分析和实例分析

       Linux内核通信核心技术：Netlink源码分析和实例分析

       什么是netlink？Linux内核中一个用于解决内核态和用户态交互问题的机制。相比其他方法，netlink提供了更安全高效的交互方式。它广泛应用于多种场景，例如路由、用户态socket协议、防火墙、netfilter子系统等。

       Netlink内核代码走读：内核代码位于net/netlink/目录下，包括头文件和实现文件。头文件在include目录，提供了辅助函数、宏定义和数据结构，培训学校的源码对理解消息结构非常有帮助。关键文件如af_netlink.c，其中netlink_proto_init函数注册了netlink协议族，使内核支持netlink。

       在客户端创建netlink socket时，使用PF_NETLINK表示协议族，SOCK_RAW表示原始协议包，NETLINK_USER表示自定义协议字段。sock_register函数注册协议到内核中，以便在创建socket时使用。

       Netlink用户态和内核交互过程：主要通过socket通信实现，包括server端和client端。netlink操作基于sockaddr_nl协议套接字，nl_family制定协议族，nl_pid表示进程pid，nl_groups用于多播。消息体由nlmsghdr和msghdr组成，用于发送和接收消息。内核创建socket并监听，用户态创建连接并收发信息。

       Netlink关键数据结构和函数：sockaddr_nl用于表示地址，nlmsghdr作为消息头部，msghdr用于用户态发送消息。内核函数如netlink_kernel_create用于创建内核socket，netlink_unicast和netlink_broadcast用于单播和多播。

       Netlink用户态建立连接和收发信息：提供测试例子代码，代码在github仓库中，可自行测试。核心代码包括接收函数打印接收到的消息。

       总结：Netlink是一个强大的内核和用户空间交互方式，适用于主动交互场景，如内核数据审计、安全触发等。早期iptables使用netlink下发配置指令，但在iptables后期代码中，使用了iptc库，核心思路是使用setsockops和copy_from_user。对于配置下发场景，netlink非常实用。

       链接：内核通信之Netlink源码分析和实例分析

netfilter 链接跟踪机制与NAT原理

       内核版本:2.6.

       在Linux内核的网络过滤框架中，conntrack是关键组件，它通过5个主要的处理链来管理数据包：NF_IP_PRE_ROUTING，NF_IP_LOCAL_IN，NF_IP_FORWARD，NF_IP_LOCAL_OUT，和NF_IP_POST_ROUTING。这些链对应着数据包的不同生命周期阶段。此外，还有4个操作表：filter，nat，mangle和raw，其中filter用于常规过滤，nat则负责地址转换等。

       数据包的流程从进入防火墙开始，经过一系列处理，根据目的地决定是转发、接收或丢弃。对于本地数据包，其流程分为接收和发送两个方向；对于远程目的地，处理涉及到转发。conntrack通过跟踪连接状态，记录每个数据包的源和目的，这对于SNAT和DNAT功能至关重要。

       连接跟踪的核心是ip_conntrack结构，它维护连接记录，每个连接对应一个ip_conntrack_tuple_hash，存储源和目的地址信息。连接跟踪表是一个散列结构，存储所有连接记录。不同协议的处理由ip_conntrack_protocol数组管理，通过ip_conntrack_in函数，数据包进入时会进行连接跟踪的检查和初始化。

       以SNAT为例，当数据包从内网到公网，通过源地址转换，netfilter首先查找转换规则，然后使用连接跟踪信息更新数据包的源地址，同时维护状态跟踪，确保应答数据包能正确发送。NAT的实现依赖于conntrack，如FTP和ICMP等复杂协议可能需要额外模块处理。

       总的来说，conntrack与NAT密切相关，前者是后者实现的基础，它们共同确保了网络数据包的正确路由和转换。深入理解这些机制需要查阅源代码和相关资料。

Linux下使用Netfilter框架编写内核模块

       上篇文章我们从内核源码的角度分析Linux Netfilter框架下，hook钩子是如何被执行的，这次我们将通过一个示例代码，详细讲解如何利用Netfilter框架编写内核模块。

       为了更好地理解，我绘制了一张图，通过源码中的具体实例，展示了自定义的钩子函数在内核中的位置。在内核中，有一个全局变量net_namespace_list链表，系统中所有的网络命名空间都挂载在这个链表上。系统默认的网络命名空间是init_net，内核启动时，会在初始化网络命名空间net_ns_init中调用setup_net将init_net挂在net_namespace_list链表上。当我们新增hook钩子时，通常都是将其挂载在net_namespace_list链表对应的网络命名空间上。

       接下来，我们将开始编写一个基于netfilter框架的简单内核模块。首先，我们需要声明一个hook函数，然后定义一个nf_hook_ops。

       ①我们在IP层（网络层）对网络包进行处理，这里.pf = NFPROTO_INET；

       ②hook点在PREROUTING链上，这里.hooknum = NF_INET_PRE_ROUTING；

       ③hook函数在此链上执行的优先级设置为最高，即.priority = NF_IP_PRI_FIRST；

       ④设置hook函数为我们前面自定义的函数，即.hook = (nf_hookfn *)packet_filter。

       然后，我们需要在内核模块的init函数中注册该nf_hook_ops。

       接下来是自定义的hook函数的具体实现。在hook函数中，我们只需简单地打印出源、目的IP和端口信息。

       最后，我们需要注销自定义的hook钩子，并在内核模块退出时完成这一操作。

       在编写Makefile、所需的头文件、编译并插入模块之后，我们可以在系统日志中看到相关输出。

       在测试完成后，别忘了卸载内核模块，以完成整个操作。

       至此，我们的内核模块编写任务就完成了。