netfilter sk_buff tcphdr 端口屏蔽问题？？

Linux386

我是想屏蔽某些端口 (21)

1. 
   
2. static unsigned char *deny_port = "\x15\x00";//port 21
   
3. 
   
4. …
   
5.    struct sk_buff *sb = skb;
   
6.    struct tcphdr  *tcph;
   
7.   
   
8.       tcph=tcp_hdr(sb);
   
9.      if(tcph->source==*(__be16 *)deny_port)
   
10.       {
    
11.        printk(KERN_INFO "Packet from port 21 Droped\n");
    
12.    return NF_DROP;
    
13.       }
    
14. 
    
15. …
    

复制代码

然后我测试连接21端口
#nc -v xx.xx.xx.xx 21
没有成功，还是连接上了，端口没被屏蔽
然后我用printk查看具体端口号
插入三天printk


printk(KERN_INFO "Packet from source port %d \n",tcph->dest);
printk(KERN_INFO "Packet from dest port %d \n",tcph->source);
printk(KERN_INFO "Packet from match port %d \n",*(__be16 *)deny_port);

1. 
   
2.    struct sk_buff *sb = skb;
   
3. struct tcphdr  *tcph;
   
4.    
   
5.       tcph=tcp_hdr(sb);
   
6. 
   
7. printk(KERN_INFO "Packet from source port %d \n",tcph->dest);
   
8. printk(KERN_INFO "Packet from dest port %d \n",tcph->source);
   
9. printk(KERN_INFO "Packet from match port %d \n",*(__be16 *)deny_port);
   
10. 
    
11.      if(tcph->source==*(__be16 *)deny_port)
    
12.       {
    
13.        printk(KERN_INFO "Packet from port 21 Droped\n");
    
14.    return NF_DROP;
    
15.       }
    

复制代码

打印结果如下
命令
nc -v xx.xx.xx.xx 21


[14004.353389] Packet from source port 5376 //源端口
[14004.353394] Packet from dest port 1934 //目的端口
[14004.353397] Packet from match port 21  //我要批评的端口
[14004.431504] Packet from source port 5376
[14004.431508] Packet from dest port 1934
[14004.431510] Packet from match port 21


这是什么原因呢？

beyond_touch

0x1500 == 0x0015
对楼主极度无语

Linux386

回复 2# beyond_touch


    是你没看清楚吧！我用的是 网络字节序难度不对吗？？

瀚海书香

回复 1# Linux386
char *deny_port = "\x15\x00";
明显低地址存的是0x15，所以这是主机字节序的21。应该用网络字节序或者加个htons。

Godbach

static unsigned char *deny_port = "\x15\x00";//port 21



…

   struct sk_buff *sb = skb;

   struct tcphdr  *tcph;

  

      tcph=tcp_hdr(sb);

     if(tcph->source==*(__be16 *)deny_port)

这段代码之前已经判断过是 TCP 报文了吗

Godbach

如果你想屏蔽端口的话，可以直接使用 iptables，除非你是想学习 NF 的编程。

另外，处理数据包的时候要注意的一个细节就是字节序的问题。所以有 ntohl，htonl，ntohs和 htons 来进行转换。
比较端口，直接用 tcph->source == hotns(21) 就可以了，而且代码可读性比较好。不建议使用那些非常规的比较方式。

Linux386

回复 6# Godbach


    恩，谢谢，已经知道了

coconut-zj

如果我要反过来。 ntohs(tcphd->source) 这样可以得到 正确的端口吗？回复 6# Godbach


   

Godbach

回复 8# coconut-zj
数据包中的都是网络字节序，和实际的数值比较的话，需要做统一，只要统一就行。

但是，如果你要获取实际的值，那就需要将网络字节序转换为主机字节序。



   

coconut-zj

回复 9# Godbach


    用 ntohs？nothl？
系统是大小端字节编码的话有没有额外的影响？