1.概述 在分析LINUX2.4.x網路安全的實現之前先簡單介紹一下它裡面包含的幾個重要概念:netfilter、iptables、match、target、nf_sockopt_ops、網路安全功能點的實現。詳細解釋會在後面的分析中講到。
首先是netfilter,它定義了協議棧中的檢查點和在檢查點上引用的數據結構,以及在檢查點上對這些結構引用的過程。iptables定義了實現網路安全功能的規則的組織以及對規則的操作。一個規則中包含零個或多個match和一個target,規則組織沿用了LINUX2.2.x中的chain,rule的概念,但是增加了table的概念,這三者的關係是:table是實現某項功能所有規則的總和,chain是在某個檢查點上所引用規則的集合,rule是一個單獨的規則。match在規則中用於匹配數據包中的各項參數,每個match匹配特定的參數,所以一個規則中可以有多個match,這包括系統已定義的match,也包括通過內核模塊另外添加的match。target在規則中決定如何處理匹配到的數據包,因此在target中實現了具體的網路安全功能。nf_sockopt_ops是在系統調用get/setssockopt中引用的數據結構,實現用戶空間對規則的添加、刪除、修改、查詢等動作。以上的結構在使用之前必須先註冊到系統中才能被引用。
LINUX2.4.x網路安全實現了包過濾,地址轉換(包含了LINUX2.2.x中的地址偽裝和透明代理功能並有其他擴展功能),連接跟蹤(這是實現地址轉換的基礎,在它裡面實現了對連接狀態的記錄和監控,與狀態檢測類似),Mangle(這是LINUX2.4.x新增的一個功能,它對數據包進行檢查但不做禁止、丟棄或允許的判斷)。實現這些功能點需要分別註冊netfilter,iptables,match,target,nf_sockopt_ops的數據結構。如果實現其他新的功能,只需定義相應的結構並將它註冊到系統中,並且通過用戶空間的配置工具(這個配置工具也須支持新的結構)把它加入到規則中就可以了。這些結構在規則中自動被引用。
2.netfilter netfilter定義了協議棧中的檢查點和檢查點上引用的數據結構以及對這些數據結構引用的過程。首先看看在檢查點上引用的數據結構,如圖所示:
圖2.1 nf_hoo_ops數據結構的組織
圖中ns_hook_ops就是在檢查點上引用的結構。每個協議棧預先定義的8個鏈表數組用於保存這些結構,這些鏈表與協議棧中的檢查點一一對應。在實際的應用中,這8個鏈表並不一定都被使用,比如在IPV4中,只定義了5個檢查點,分別對應前5個鏈表。nf_hook_ops結構如下:
struct nf_hook_ops
{
struct list_head list;
nf_hookfn hook; /* 函數指針 */
int pf; /* 結構對應的協議棧號 */
int hooknum; /* 結構對應的檢查點號*/
int priority; /* 結構的優先值 */
};
nf_register_hook函數將ns_hook_ops結構註冊到這些鏈表上,鏈表的索引由結構中hooknum指定。同一鏈表上的結構按優先值由小到大排列。在檢查點上引用這些結構時,以它們在鏈表上的先後順序引用。
檢查點由宏NF_HOOK定義。在檢查點上,函數nf_hook_slow調用函數nf_iterate遍歷對應鏈表並調用鏈表上的結構ns_hook_ops中定義的函數。如果結構中的函數返回NF_ACCEPT,則繼續調用下一個結構中的函數;如果結構中的函數返回NF_DROP或NF_STOLEN或NF_QUEUE,則將這個值返回給nf_hook_slow;如果結構中的函數返回NF_REPEAT,則重複調用此結構上的函數;如果到了鏈表上的最後一個結構,則把這個結構中函數的返回值返回給ns_hook_slow。在ns_hook_slow中判斷nf_iterate的返回值,如果是NF_ACCEPT,則允許數據包通過,並將數據包傳遞給協議棧中的下一個函數;如果是NF_DROP,則釋放數據包,協議棧流程中斷;如果是NF_STOLEN,同樣中斷協議棧的流程,但是沒有釋放這個數據包;如果是NF_QUEUE,則將這個包發送到用戶空間處理,同時中斷協議棧的流程。
檢查點分佈在協議棧的流程中,下圖是IPV4中的檢查點:
圖2.2 IPV4中的檢查點
圖中檢查點的名稱如下:
檢查點編號 檢查點名稱 檢查點所在文件名
1 NF_IP_PRE_ROUTING ip_input.c
2 NF_IP_LOCAL_IN ip_input.c
3 NF_IP_FORWARD ip_forward.c
4 NF_IP_POST_ROUTING ip_output.c
5 NF_IP_LOCAL_OUT ip_output.c
表2.1 IPV4中檢查點的名稱
圖中,ROUTE(1)處對收到的包做路由查找並判斷這個包是需要轉發的包還是發往本機上層的包,ROUTE(2)處查找發出包的路由。NF_IP_PRE_ROUTING處對所有傳入IP層的數據包進行檢查,在這之前,有關數據包的版本、長度、校驗和等正確性檢查已經完成。NF_IP_LOCAL_IN對發往本機上層的數據包進行檢查。請注意這兩個檢查點與LINUX2.2.x中檢查點的區別,在LINUX2.2.x沒有區分發往本機上層包和需要轉發的包,所以在做完地址解偽裝之後又調用了一次路由查找函數,為解偽裝之後的包查找路由。NF_IP_FORWARD處檢查需要轉發的數據包。NF_IP_POST_ROUTING處對所有向鏈路層傳遞的數據包進行檢查,注意在此處數據包的路由已經確定。NF_IP_LOCAL_OUT對本機發出的包進行檢查,此處的路由還沒有確定,所以可以做目的地址轉換。實現某個網路安全功能可能需要在多個檢查點上註冊相應的結構,在後面的分析中我們可以看到具體的例子。
3. iptables iptables實現對規則的管理和訪問。它裡面有幾個重要的數據結構ipt_entry,ipt_match,ipt_target,ipt_table,用於構造規則表。還有一個重要的函數ipt_do_table,用於遍歷規則表並處理規則表上的結構。
ipt_entry是規則的數據結構,如下:
struct ipt_entry
{
struct ipt_ip ip;
unsigned int nfcache;
u_int16_t target_offset; /* target在規則中的偏移 */
u_int16_t next_offset; /* 下一條規則的偏移 */
unsigned int comefrom;
struct ipt_counters counters; /* 匹配規則的數據包的統計計數 */
unsigned char elems[0];
};
在ipt_entry中ipt_ip是一個基本的match,它是固定的,用於匹配數據包的源地址/源埠、目的地址/目的埠、協議等。其他的match按需要添加,個數並不固定,所以在ipt_entry有一個變長的字元數組保存規則中match的指針,這些指針指向系統中註冊的match。每個規則有一個target,決定數據包完全匹配規則后怎樣處理這個數據包,它也是一個指向系統註冊的target的指針,並且也放在前面提到的變長字元數組中。ipt_entry中的target_offset是target在規則中的偏移,偏移是從規則的起始地址到target所在位置的長度,還有一個變數next_offset指示下一條規則偏移,它其實就是本條規則的長度。
前面提到在iptables中沿用了LINUX2.2.x中的chain和rule的概念,那麼在ipt_entry中如何區分chain和rule的哪?
我們知道chain是某個檢查點上檢查的規則的集合。除了默認的chain外,還可以創建新的chain。在iptables中,同一個chain里的規則是連續存放的。默認的chain的最後一條規則的target是chain的policy。用戶創建的chain的最後一條規則的target的調用返回值是NF_RETURN,遍歷過程將返回原來的chain。規則中的target也可以指定跳轉到某個用戶創建的chain上,這時它的target是ipt_stardard_target,並且這個target的verdict值大於0。如果在用戶創建的chain上沒有找到匹配的規則,遍歷過程將返回到原來chain的下一條規則上。
ipt_match用於匹配數據包的參數,如TCP數據包中的標誌位,ICMP協議中的類型等,每個match所感興趣的參數都不一樣,所以一條規則可能有多個match。ipt_target決定在數據包完全匹配規則后應做什麼樣的處理。這兩個在使用之間都必須先註冊到系統的鏈表中才能被規則引用。對這兩個數據結構不做過多分析,讀者可以自行參考源代碼。
ipt_table是規則表的數據結構,如下:
struct ipt_table
{
struct list_head list;
char name[IPT_TABLE_MAXNAMELEN];
struct ipt_replace table; /* 用戶空間傳遞的規則表 */
unsigned int valid_hooks; /* 有效的檢查點置位*/
rwlock_t lock;
struct ipt_table_info private; /* 規則表在內核中的存儲結構 */
struct module *me;
};
在ipt_table中,ipt_replace是用戶空間配置程序傳遞給內核的規則表,這個規則表不能直接使用,必須先根據它裡面包含的match和target的名稱將match和target轉換成在內核註冊的match和target的指針,還有一項重要的工作是檢查規則表中是否有循環,如果有循環,要給用戶空間的配置程序報告錯誤。轉換之後的規則表存儲在ipt_table_info中。valid_hooks指示與這個表相關的檢查點,並把相應的位置為1。一個table中可以有多個chain,chain分為系統默認的chain(與table註冊的檢查點對應)和用戶創建的chain。所有的table都註冊放在一個鏈表中,而chain和rule則用偏移值next_offset連接成一個單向鏈表。用戶空間的配置工具在添加、刪除規則之前先把內核中的規則表取到用戶空間,然後在用戶空間做添加或刪除的動作,然後再將修改過的規則表傳遞到內核空間,由內核空間的函數完成後續的轉換和檢查。
函數ipt_do_table遍歷table上的規則,其實這個函數的指針就保存在nf_hook_ops結構中,並在檢查點上被調用。調用這個函數時須指定它遍歷的table的指針和調用它的檢查點的值。檢查點的值用來定位table中默認chain的位置,前面我們提到,默認的chain是和檢查點對應的,在檢查點上檢查對應chain的規則。遍歷規則,如果找到匹配的規則,則調用這條規則的target中定義的函數,並將它的返回值返回給調用ipt_do_table的函數,如果沒有找到匹配的規則,則調用默認chain上最後一條規則的target定義的函數,這個函數的返回值就是這個chain的policy。
4. nf_sockopt_ops 前面提到LINUX2.4.x網路安全框架支持多種協議。規則的配置和查詢通過系統調用get/setsockopt完成。在調用這兩個系統調用時,不同協議使用的參數不同,所以每個實現網路安全功能的協議棧都定義了自己的nf_sockopt_ops結構並把它註冊系統的鏈表中。在調用get/setsockopt時根據不同的參數決定引用哪一個nf_sockopt_ops來完成真正的工作。
5.網路安全功能點的實現 在LINUX2.4.x中實現網路安全的功能點需要做以下幾件事情:一是定義nf_hook_ops結構,並將它註冊到netfilter中;二是定義iptable,match,target結構,並將它註冊到iptables中,如果需要還須註冊nf_sockopt_ops結構以便處理特殊的get/setsockopt參數。下圖就是IPV4中的功能點註冊到netfilter中的nf_hook_ops結構:
圖5.1 IPV4的功能點在各檢查點上註冊的結構
(圖中conntrack代表連接跟蹤;Filter代表包過濾;NAT(src)代表源地址轉換,NAT(dst)代表目的地址轉換;Mangle是LINUX2.4.x中新增的一個功能,完成對數據包的檢查,但是不對數據包做禁止或放行的判斷,與Filter不同。Mangle在LINUX2.4.18之前的實現中只在NF_IP_PRE_ROUTING,NF_IP_LOCAL_OUT兩個檢查點上註冊了nf_hook_ops結構,在LINUX2.4.18之後的實現中在五個檢查點上都註冊了nf_look_ops結構。)
圖中在每個檢查點上,nf_hook_ops結構按調用的先後順序從上而下排列。可以看到相同的功能點在不同的檢查點上它的調用順序並不相同,這與功能點所做的動作有關。比如在NF_IP_LOCAL_IN上假設Conntrack在Filter之前,如果數據包的狀態在Conntrack中被記錄而在Filter中被禁止,那麼與這個數據包相關的狀態就不會完整,浪費了一個Conntrack的結構,所以應該先調用Filter,如果它的返回值是NF_ACCEPT才調用Conntrack。
功能點上註冊的ipt_table,ipt_match,ipt_target,nf_sockopt_ops結構如下表所示:
功能點名稱
ipt_table
ipt_match
ipt_target
nf_sockopt_ops
Filter
packet_filter
Nat
nat_table
ipt_snat_reg
ipt_dnat_reg
Conntrack
so_getorigdst
Mangle
packet_mangler
表5.1 功能點註冊的數據結構
值得指出的是連接跟蹤(Conntrack)沒有註冊任何規則表,說明它不需要規則來決定是否要作連接跟蹤。同時它又註冊了一個nf_sockopt_ops結構,這個結構處理參數SO_ORIGINAL_DST,用於得到透明代理的目的地址。有關地址轉換和連接跟蹤的詳細分析會在以後的文章中介紹。
6. 小結 LINUX2.4.x中的網路安全實現比LINUX2.2.x有了明顯的進步。首先是IPV4協議棧中的檢查點的安排更加合理,避免在實現各功能點時不必要的函數調用。其次它的架構可擴展性很強。把功能實現和框架分離,使功能實現時不必修改框架而只是註冊相應的結構就可完成。還有就是在這個網路安全框架中實現的功能也比LINUX2.2.x豐富,支持的協議棧的數量也比LINUX2.2.x多。在這裡我們只分析了LINUX2.4.x網路安全實現的大概情況,具體的某個功能的實現會在後面的文章中分析,通過這些分析,我們將學會如何在LINUX2.4.x的網路安全框架中添加自己想要實現的功能,如何利用現有實現中的資源而有避免與現有的實現衝突。
作者簡介:林風,獨立撰稿人。熟悉LINUX網路安全技術。比較感興趣的方向是網路協議棧的實現。寫文章,是為整理思路,發現問題,與更多人分享經驗,知識,或者教訓。郵件地址是droplet@163.net,歡迎批評,鼓勵或指正。
