Почему код не работает?

Question

[egorggegor]

Всем привет, хочу написать модуль, который перехватывает IP-пакеты. Изучаю готовые решения на гитхабе, нашел один проект https://github.com/GhazaleZe/mini_firewall . Но при его запуске и тестировании он не блокирует пакеты от IP, которые находятся в черном списке, да еще и при выгрузке этого модуля, когда приходят пакеты от других IP, зависает компьютер.

Этот код проверяет есть ли IP, от которого пришел пакет, в черном списке, и в случае истины не допускает IP-пакет до конечного пользователя ю

unsigned int b_hook(unsigned int hooknum, struct sk_buff *skb,

        const struct net_device *in, const struct net_device *out,

        int(*okfn)(struct sk_buff *))

{		
		struct udphdr *udp_header;
		struct tcphdr *tcp_header;
		unsigned int dest_port, source_port;
		struct sk_buff *sock_buff;
		struct iphdr *ip_header;
        sock_buff = skb;
        ip_header = (struct iphdr *)skb_network_header(sock_buff);
        static char  myipb[256];
        ip_header = (struct iphdr *)skb_network_header(sock_buff);
        if(!sock_buff) { 
        	return NF_DROP;
        }
        snprintf(myipb, 16, "%pI4", &ip_header->saddr);
        if (ip_header->protocol == 17) {      //if protocol is UDP
    		udp_header = (struct udphdr *)(skb_transport_header(skb));
    		source_port = (unsigned int)ntohs(udp_header->source);
    		dest_port = (unsigned int)ntohs(udp_header->dest);
		} 
		else if(ip_header->protocol == 6) {   //if protocol is TCP
    		tcp_header = (struct tcphdr *)(skb_transport_header(skb));
    		source_port = (unsigned int)ntohs(tcp_header->source);
    		dest_port = (unsigned int)ntohs(tcp_header->dest);
		} 
       	
       	else{
			source_port=0;
			dest_port=0;
		}
	    for (k = 1; k < i ; ++k)
	      	{
		        if(strncmp(myipb,ips[k],strlen(myipb))==0){
		        	printk(KERN_INFO "Got packet and dropped it. \n");
					printk(KERN_INFO "src_ip: %pI4 ** source port: %d\n", &ip_header->saddr,source_port);
				    printk(KERN_INFO "dst_ip: %pI4 ** dest_port :%d\n", &ip_header->daddr,dest_port);
		            return NF_DROP;
		        }

		        else if(strncmp(myipb,ips[k],strlen(myipb))!=0) {
			        printk(KERN_INFO "Not in blacklist ,Not dropped. \n");
			       	printk(KERN_INFO "src_ip: %pI4 ** source port: %d\n", &ip_header->saddr,source_port);
				    printk(KERN_INFO "dst_ip: %pI4 ** dest_port :%d\n", &ip_header->daddr,dest_port);
			        return NF_ACCEPT;
			    }
	        }
        
}

Аналогичный модуль написан и для IP, которые могут отправлять пакеты.

Спасибо за ответы!

Comments

[Алексей Черемисин]

Как мне всегда казалось, кроме куска кода, у ядерного модуля еще есть блок инициализации и прочей фигни.
Сам модуль то компилируется и в ядро подгружается? Логи хоть какие нибудь выплевывает? Что типа стартовал там... В саму функцию b_hook(....) хоть что-нибудь приходит?

[egorggegor]

Алексей Черемисин, инициализируются все корректно, но непонятно каким образом он использует данные хуки. Есть следующая инициализация хука:

static struct nf_hook_ops b_drop __read_mostly = {

        .pf = NFPROTO_IPV4,

        .priority = NF_IP_PRI_FIRST,

        .hooknum =NF_INET_LOCAL_IN,

        .hook = (nf_hookfn *) b_hook

};

Так же есть функция записи, которая регистрирует хуки, возможно в них какая-то ошибка:

static ssize_t mydev_write(struct file * filep, const char * buffer, size_t len, loff_t * offset) {
  copy_from_user(ips[i], buffer, 256);
  printk(KERN_INFO "ips: %s \n", ips[i]);

  i++;
  if (strncmp(ips[0], "wh", 2) == 0) {
    BORW = 0;
    if (nf_register_net_hook( & init_net, &w_drop) {
      printk(KERN_ALERT "FAILED\n");
    }
    printk(KERN_INFO "white list\n");
    return len;
  }

  if (strncmp(ips[0], "bl", 2) == 0) {
    BORW = 1;
    if (nf_register_net_hook( & init_net, &b_drop)) {
      printk(KERN_ALERT "FAILED\n");
    }
    printk(KERN_INFO "block list\n");
    return len;
  }

  BORW = 1;
  if (nf_register_net_hook( & init_net, &b_drop)) {
    printk(KERN_ALERT "FAILED\n");
  }
  printk(KERN_INFO "defult is block list\n");

  return len;
}
}

[Алексей Черемисин]

egorggegor, Ух... посмотрите, что ядро выдает при регистрации модуля (dmesg например)...

[Алексей Черемисин]

egorggegor, да и вообще-то регистрация происходит при записи в последовательное устройство (!) - другими словами - нужно что-то послать в /dev/firewall (кажется так в исходниках)

[Алексей Черемисин]

egorggegor, Ну и обычно первая точка модуля (типа main) - module_init(icmp_drop_init);
Вот в этой функции и регистрируется последовательное устройство firewall.
А в функции записи в последовательное устройство как раз и регистрируются сетевые хуки!

[Алексей Черемисин]

egorggegor, - ну и код там не очень - ядро может вылететь с ошибкой... грязноватый код.

[Алексей Черемисин]

Ну и в догонку - лучше воспользоваться netfilter API. Там есть куча зверских библиотек, которые работают в пространстве пользователя!
Наприемр www.netfilter.org/projects/libnetfilter_queue/inde... -передает нужные пакеты в программу.
И не нужно писать модули ядра!

[egorggegor]

Алексей Черемисин, у меня интерес в том, чтобы написать модуль ядра, который блокирует IP-пакеты.

В dmesg по части инициализации выводит следующее:

[   61.240186] firewall: Initializing the firewall LKM
[   61.240190] firewall: registered correctly with major number 244
[   61.240197] firewall: device class registered correctly
[   61.240268] firewall: device class created correctly
[   61.240268] packet droper loaded

А дальше при запуске пользовательского приложения от имени администратора:

int main(){

  int BUFFER_LENGTH =256; 

  FILE* filePointer;

  char buffer[BUFFER_LENGTH];

  char save[100][BUFFER_LENGTH];

  filePointer = fopen("config.txt", "r");



  int i = 0;

  int j=0;

  int ret, fd;



   while(fgets(save[i], BUFFER_LENGTH, filePointer)) {

      printf("%s", save[i]);

	   i++;

   }

   fclose(filePointer);

   printf("\nStarting device test code example...\n");

   fd = open("/dev/firewall", O_RDWR);             // Open the device with read/write access

   //printf("open\n");

   if (fd < 0){

      perror("Failed to open the device...");

      return errno;

   }

   for(j=0; j < i; j++){

     ret = write(fd, save[j], BUFFER_LENGTH); // Send the string to the LKM

     if (ret < 0){

        perror("Failed to write the message to the device.");

        return errno;

     }

   }

   printf("End of the program\n");

   return 0;

}

Выводит в dmesg вот такое:

[   71.371035] firewall: Device has been opened 
[   71.371039] ips: blacklist
                
[   71.380654] block list
[   71.380663] ips: 216.58.208.238
                
[   71.405081] block list
[   71.405096] ips: 192.168.2.6 
[   71.421113] block list
[   71.421297] firewall: Device successfully closed

После всего этого начинает подцеплять IP-пакеты и выводит следующее постоянно:

[ 4871.536952] src_ip: 10.211.55.1 ** source port: 67
[ 4871.536956] dst_ip: 10.211.55.4 ** dest_port :68
[ 4871.536961] b_hook - OK
[ 4871.536966] Not in blacklist ,Not dropped. 
[ 4871.536970] src_ip: 10.211.55.1 ** source port: 67
[ 4871.536975] dst_ip: 10.211.55.4 ** dest_port :68
[ 4871.536980] b_hook - OK
[ 4871.536984] Not in blacklist ,Not dropped.

А если выгрузить этот модуль, то система будет работать до прихода очередного IP-пакета (который я показал выше), после чего система зависает.

[Алексей Черемисин]

egorggegor, ну я же написал, что код плохой. При выгрузке модуля куча всего не освобождается, хуки не убираются. Вот ядро враскоряку и встает после выгрузки модуля.
Дописывайте!
А так - все работает! Поздравляю!

[egorggegor]

Алексей Черемисин, Спасибо, Вы хоть отпишите что-нибудь в ответах к вопросу, а Вам решение поставлю))

[Алексей Черемисин]

egorggegor, напишите сами ответ :-) у меня и ответа то нет.
Зы. Отписал.

Answer 1

[Алексей Черемисин]

Окей, гугл. У вас и так все работает, но код кривоват. (по результатам диспута)