本文主要是介绍Netfilter学习之NAT类型动态配置(八)nf_nat_proto_common.c代码解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
nf_nat_proto_common.c实现了对称型的端口改变,在此我决定对其代码进行分析,以便实现对对称型NAT的随意改动。
具体代码如下:
#include <linux/types.h>
#include <linux/random.h>
#include <linux/netfilter.h>
#include <linux/export.h>#include <net/netfilter/nf_nat.h>
#include <net/netfilter/nf_nat_core.h>
#include <net/netfilter/nf_nat_l3proto.h>
#include <net/netfilter/nf_nat_l4proto.h>/* 判断端口是否在可用范围内*/
bool nf_nat_l4proto_in_range(const struct nf_conntrack_tuple *tuple,enum nf_nat_manip_type maniptype,const union nf_conntrack_man_proto *min,const union nf_conntrack_man_proto *max)
{__be16 port;/*根据SNAT和DNAT的不同取不同的值*/if (maniptype == NF_NAT_MANIP_SRC)port = tuple->src.u.all;elseport = tuple->dst.u.all;return ntohs(port) >= ntohs(min->all) &&ntohs(port) <= ntohs(max->all);
}
EXPORT_SYMBOL_GPL(nf_nat_l4proto_in_range);/*对称型的NAT端口变化关键算法*/
void nf_nat_l4proto_unique_tuple(const struct nf_nat_l3proto *l3proto,struct nf_conntrack_tuple *tuple,const struct nf_nat_range *range,enum nf_nat_manip_type maniptype,const struct nf_conn *ct,u16 *rover)
{unsigned int range_size, min, i;__be16 *portptr;u_int16_t off;/*根据SNAT和DNAT的不同取不同的值*/if (maniptype == NF_NAT_MANIP_SRC)portptr = &tuple->src.u.all;elseportptr = &tuple->dst.u.all;/* If no range specified... */if (!(range->flags & NF_NAT_RANGE_PROTO_SPECIFIED)) {/* If it's dst rewrite, can't change port */if (maniptype == NF_NAT_MANIP_DST)return;/*首先取一个min的值*/if (ntohs(*portptr) < 1024) {/* Loose convention: >> 512 is credential passing */if (ntohs(*portptr) < 512) {min = 1;range_size = 511 - min + 1;} else {min = 600;range_size = 1023 - min + 1;}} else {min = 1024;range_size = 65535 - 1024 + 1;}} else {min = ntohs(range->min_proto.all);range_size = ntohs(range->max_proto.all) - min + 1;}/*设置偏移量off值*/if (range->flags & NF_NAT_RANGE_PROTO_RANDOM) {off = l3proto->secure_port(tuple, maniptype == NF_NAT_MANIP_SRC? tuple->dst.u.all: tuple->src.u.all);} else if (range->flags & NF_NAT_RANGE_PROTO_RANDOM_FULLY) {off = prandom_u32();} else {off = *rover;}/*不断增加端口号直到找到可用的端口*/for (i = 0; ; ++off) {*portptr = htons(min + off % range_size);if (++i != range_size && nf_nat_used_tuple(tuple, ct))continue;if (!(range->flags & NF_NAT_RANGE_PROTO_RANDOM_ALL))*rover = off;return;}
}
EXPORT_SYMBOL_GPL(nf_nat_l4proto_unique_tuple);#if IS_ENABLED(CONFIG_NF_CT_NETLINK)
int nf_nat_l4proto_nlattr_to_range(struct nlattr *tb[],struct nf_nat_range *range)
{if (tb[CTA_PROTONAT_PORT_MIN]) {range->min_proto.all = nla_get_be16(tb[CTA_PROTONAT_PORT_MIN]);range->max_proto.all = range->min_proto.all;range->flags |= NF_NAT_RANGE_PROTO_SPECIFIED;}if (tb[CTA_PROTONAT_PORT_MAX]) {range->max_proto.all = nla_get_be16(tb[CTA_PROTONAT_PORT_MAX]);range->flags |= NF_NAT_RANGE_PROTO_SPECIFIED;}return 0;
}
EXPORT_SYMBOL_GPL(nf_nat_l4proto_nlattr_to_range);
#endif
由代码我们可以看到,其实这里控制分为三部分:
(1)min值的设定
(2)off值得设定
(3)寻找合适端口
源码中off++即增量对称型NAT,每次端口尝试+1,阻塞则再增加。由此,我们可以对其进行改变以做出不同类型的对称型NAT。
通过修改off的值可以改变每次新端口的跳变,通过修改off++为加某个固定值可以改为增量型对称型NAT,改为随机则变为随机增量对称型NAT。
欢迎关注本人公众号,公众号会更新一些不一样的内容,相信一定会有所收获。
这篇关于Netfilter学习之NAT类型动态配置(八)nf_nat_proto_common.c代码解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
