内核模块编程求救

ubuntuer

呵呵 是一个人,两个不同的电脑....

Godbach

你有了target。还得有match吧

ubuntuer

这个...
肯定不是这个问题了,我是仿照ipt_REJECT写的
target和match不是两者都必须的.....

Godbach

我没有去写过iptables模块的target和matc，一般都是在内核完成对数据包的处理。那我假设你说的是正确的。那么数据包在什么情况下会经过你的target。是否需要配置iptables规则？

dreamice

原帖由 Godbach 于 2008-12-21 22:17 发表
我没有去写过iptables模块的target和matc，一般都是在内核完成对数据包的处理。那我假设你说的是正确的。那么数据包在什么情况下会经过你的target。是否需要配置iptables规则？

哎，昨晚系统坏了，郁闷……
其实target和match都不一定要全部自己实现，iptables系统中有很多默认的match和target。
比如，你加一条：
iptables －t filter -p TCP -m --state NEW -j DROP
实际上-m --state NEW 就是一个match，DROP就是一个默认的target。
他这个问题在于libipt没有写好

Godbach

哎，昨晚系统坏了，郁闷……

我昨天下午也高了一个下午Debian，还编译内核的问题。最后做出来的initrd文件还是有问题。

其实target和match都不一定要全部自己实现，iptables系统中有很多默认的match和target。
比如，你加一条：
iptables －t filter -p TCP -m --state NEW -j DROP
实际上-m --state NEW 就是一个match，DROP就是一个默认的target。
他这个问题在于libipt没有写好

对，有原来的匹配可以用，只是加一条规则指定使用新的target即可啊。那就是iptables命令行代码要进行修改一下。

dreamice

原帖由 Godbach 于 2008-12-22 09:50 发表

我昨天下午也高了一个下午Debian，还编译内核的问题。最后做出来的initrd文件还是有问题。



对，有原来的匹配可以用，只是加一条规则指定使用新的target即可啊。那就是iptables命令行代码要进行修改一下。

就是他这个libipt写得有问题。

ubuntuer

两位大老把我的程序加入内核编译了???
感动ing

ubuntuer

问题解决了,所以还是存在效率上面的问题

#include <linux/module.h> #include <linux/kernel.h> #include <linux/netfilter.h> #include <linux/skbuff.h> #include <linux/ip.h> #include <linux/netdevice.h> #include <linux/if_ether.h> #include <linux/if_packet.h> #include <net/tcp.h> #include <linux/netfilter_ipv4.h> unsigned int winnuke_local_in_func (unsigned int hooknum, &nbsp;&nbsp;&nbsp;&nbsp;   struct sk_buff *skb, &nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *in, &nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *out, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;int (*okfn) (struct sk_buff *)) { &nbsp;&nbsp;struct iphdr *iph ; &nbsp;&nbsp;struct tcphdr *tcph ; &nbsp;&nbsp;struct tcphdr _otcph ; &nbsp;&nbsp; &nbsp;&nbsp;iph = ip_hdr (skb); &nbsp;&nbsp;switch (iph->protocol) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_TCP: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;printk ("It's a TCP PACKET\n"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;tcph = skb_header_pointer(skb,ip_hdrlen(skb),sizeof(_otcph),&_otcph); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break; &nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_ICMP: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break; &nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_UDP: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break; &nbsp;&nbsp;&nbsp;&nbsp;default: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT; &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;printk ("s_port=%d,d_port=%d!",(int)tcph->source,(int)tcph->dest); &nbsp;&nbsp;&nbsp;&nbsp;printk ("urg=%d",(int)tcph->urg); &nbsp;&nbsp;return NF_ACCEPT; } static struct nf_hook_ops winnuke_ops[] __read_mostly = { &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.hook   = winnuke_local_in_func, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.owner  = THIS_MODULE, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.pf     = PF_INET, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.hooknum    = NF_INET_LOCAL_IN, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.priority   = NF_IP_PRI_FIRST, &nbsp;&nbsp;&nbsp;&nbsp;}, }; static int __init winnuke_init(void) { &nbsp;&nbsp;int ret; &nbsp;&nbsp;printk("ins winnuke module\n"); &nbsp;&nbsp;ret = nf_register_hook (winnuke_ops); &nbsp;&nbsp;if(ret < 0) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return ret; &nbsp;&nbsp;return 0; } static void __exit winnuke_fini(void) { &nbsp;&nbsp;&nbsp;&nbsp;printk("rm winnuke module\n"); &nbsp;&nbsp;&nbsp;&nbsp;nf_unregister_hook (winnuke_ops); } module_init(winnuke_init); module_exit(winnuke_fini);

iptabler

对,就是skv结构那么做了小许的改动^_^