linux simple personal firewall 邀您加入

鼠标左键

原帖由 dragchan 于 2008-8-14 12:10 发表
LZ所要求的功能其实在应用层就可以实现，不需要涉及在内核层。

项目的关键点－－截获socket调用，在内核层可以，在应用层通过LD_PRELOAD同样可以。

呵呵，你说的这个方法用在嵌入式设备中可以，而在桌面，你能保证所有的应用都加载了这个环境变量？

flw2

原帖由 鼠标左键 于 2008-8-14 12:43 发表


呵呵，你说的这个方法用在嵌入式设备中可以，而在桌面，你能保证所有的应用都加载了这个环境变量？

root可以做到肯定的，关键是别人可以改 环境变量
而且不使用动态库呢

鼠标左键

原帖由 flw2 于 2008-8-14 12:47 发表


root可以做到肯定的，关键是别人可以改 环境变量
而且不使用动态库呢

即便是在应用中，我都可以通过setenv,unsetenv来设置（自身的）环境变量的。
总之，我认为这个方法在高度定制的系统中（比如手机）是可以用的，但用于桌面很不安全

dragchan

原帖由 鼠标左键 于 2008-8-14 12:52 发表


即便是在应用中，我都可以通过setenv,unsetenv来设置（自身的）环境变量的。
总之，我认为这个方法在高度定制的系统中（比如手机）是可以用的，但用于桌面很不安全

同意。虽然ptrace可一定程度弥补上述缺陷，但效率有问题。

不过LZ通过在加hook的办法实现，很难进入内核。因为通过给netfilter增加一个match/target模块，就可以实现相同的功能。
当然正如LS所说：钓胜于鱼，开发的过程就是学习和提高的过程，希望不会影响LZ的积极性。

[ 本帖最后由 dragchan 于 2008-8-14 13:53 编辑 ]

zyp339025518

呵呵，听lz所说，貌似功能很强，顶了！o(∩_∩)o...！:em11:

鼠标左键

原帖由 dragchan 于 2008-8-14 13:51 发表


同意。虽然ptrace可一定程度弥补上述缺陷，但效率有问题。

不过LZ通过在加hook的办法实现，很难进入内核。因为通过给netfilter增加一个match/target模块，就可以实现相同的功能。
当然正如LS所说：钓胜 ...

我确实没有仔细的看netfilter的代码，确实如泥所说，主要是学习。呵呵

鼠标左键

原帖由 zyp339025518 于 2008-8-14 13:54 发表
呵呵，听lz所说，貌似功能很强，顶了！o(∩_∩)o...！:em11:

你说错了，恰恰相反，它很simple， 名字就很simple 哈哈！

dragchan

原帖由 dragchan 于 2008-8-14 13:51 发表


同意。虽然ptrace可一定程度弥补上述缺陷，但效率有问题。

不过LZ通过在加hook的办法实现，很难进入内核。因为通过给netfilter增加一个match/target模块，就可以实现相同的功能。
当然正如LS所说：钓胜 ...

突然意识到L3、L4层的代码可能在类似soft interupt这样的context中执行，因此在此模块实现LZ的功能是不可行的。

z0800

，个人认为LZ的想法确实不错，如果能主要应用在服务器，可能效果会更佳。如果应用在服务器上的话，我还是比较担心效率问题。

鼠标左键

原帖由 z0800 于 2008-8-14 22:17 发表
，个人认为LZ的想法确实不错，如果能主要应用在服务器，可能效果会更佳。如果应用在服务器上的话，我还是比较担心效率问题。

俺还使觉得桌面应用比较好，毕竟服务器上聊QQ，MSN的人不多，大部分时间都在做一些机械性的事情。
另外，我觉得它的效率不会低的，毕竟只是一个钩子，而且钩子的位置比较靠前，这样如果对于要禁用网络的应用，也可以较快返回……