1. Accueil
  2. Question et réponse
  3. Un simple programme utilisant libnetfilter_queue ne fonctionne pas

Un simple programme utilisant libnetfilter_queue ne fonctionne pas

2013-05-15 5 views
2

J'essaie d'apprendre à utiliser libnetfilter_queue. J'ai compilé l'exemple fourni avec la bibliothèque.Un simple programme utilisant libnetfilter_queue ne fonctionne pas

#include <stdio.h> 
#include <stdlib.h> 
#include <unistd.h> 
#include <netinet/in.h> 
#include <linux/types.h> 
#include <linux/netfilter.h>  /* for NF_ACCEPT */ 

#include <libnetfilter_queue/libnetfilter_queue.h> 

/* returns packet id */ 
static u_int32_t print_pkt (struct nfq_data *tb) 
{ 
    int id = 0; 
    struct nfqnl_msg_packet_hdr *ph; 
    struct nfqnl_msg_packet_hw *hwph; 
    u_int32_t mark,ifi; 
    int ret; 
    char *data; 

    ph = nfq_get_msg_packet_hdr(tb); 
    if (ph) { 
     id = ntohl(ph->packet_id); 
     printf("hw_protocol=0x%04x hook=%u id=%u ", 
      ntohs(ph->hw_protocol), ph->hook, id); 
    } 

    hwph = nfq_get_packet_hw(tb); 
    if (hwph) { 
     int i, hlen = ntohs(hwph->hw_addrlen); 

     printf("hw_src_addr="); 
     for (i = 0; i < hlen-1; i++) 
      printf("%02x:", hwph->hw_addr[i]); 
     printf("%02x ", hwph->hw_addr[hlen-1]); 
    } 

    mark = nfq_get_nfmark(tb); 
    if (mark) 
     printf("mark=%u ", mark); 

    ifi = nfq_get_indev(tb); 
    if (ifi) 
     printf("indev=%u ", ifi); 

    ifi = nfq_get_outdev(tb); 
    if (ifi) 
     printf("outdev=%u ", ifi); 
    ifi = nfq_get_physindev(tb); 
    if (ifi) 
     printf("physindev=%u ", ifi); 

    ifi = nfq_get_physoutdev(tb); 
    if (ifi) 
     printf("physoutdev=%u ", ifi); 

    ret = nfq_get_payload(tb, &data); 
    if (ret >= 0) 
     printf("payload_len=%d ", ret); 

    fputc('\n', stdout); 

    return id; 
} 


static int cb(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, 
      struct nfq_data *nfa, void *data) 
{ 
    u_int32_t id = print_pkt(nfa); 
    printf("entering callback\n"); 
    return nfq_set_verdict(qh, id, NF_ACCEPT, 0, NULL); 
} 

int main(int argc, char **argv) 
{ 
    struct nfq_handle *h; 
    struct nfq_q_handle *qh; 
    int fd; 
    int rv; 
    char buf[4096] __attribute__ ((aligned)); 

    printf("opening library handle\n"); 
    h = nfq_open(); 
    if (!h) { 
     fprintf(stderr, "error during nfq_open()\n"); 
     exit(1); 
    } 

    printf("unbinding existing nf_queue handler for AF_INET (if any)\n"); 
    if (nfq_unbind_pf(h, AF_INET) < 0) { 
     fprintf(stderr, "error during nfq_unbind_pf()\n"); 
     exit(1); 
    } 

    printf("binding nfnetlink_queue as nf_queue handler for AF_INET\n"); 
    if (nfq_bind_pf(h, AF_INET) < 0) { 
     fprintf(stderr, "error during nfq_bind_pf()\n"); 
     exit(1); 
    } 

    printf("binding this socket to queue '0'\n"); 
    qh = nfq_create_queue(h, 1, &cb, NULL); 
    if (!qh) { 
     fprintf(stderr, "error during nfq_create_queue()\n"); 
     exit(1); 
    } 

    printf("setting copy_packet mode\n"); 
    if (nfq_set_mode(qh, NFQNL_COPY_PACKET, 0xffff) < 0) { 
     fprintf(stderr, "can't set packet_copy mode\n"); 
     exit(1); 
    } 

    fd = nfq_fd(h); 

    while ((rv = recv(fd, buf, sizeof(buf), 0)) && rv >= 0) { 
     printf("pkt received\n"); 
     nfq_handle_packet(h, buf, rv); 
    } 

    printf("unbinding from queue 0\n"); 
    nfq_destroy_queue(qh); 

#ifdef INSANE 
    /* normally, applications SHOULD NOT issue this command, since 
    * it detaches other programs/sockets from AF_INET, too ! */ 
    printf("unbinding from AF_INET\n"); 
    nfq_unbind_pf(h, AF_INET); 
#endif 

    printf("closing library handle\n"); 
    nfq_close(h); 

    exit(0); 
}

En lançant l'exécutable, il ne reçoit rien. J'ai également suivi ce thread et essayé d'utiliser netcat pour générer du trafic mais encore une fois je n'ai vu aucun paquet Peut-être qu'il me manque quelque chose pour vraiment interagir avec les files d'attente de filtre?

Source

2013-05-15 thrantir

Répondre

3

Oui, vous avez. Si votre pare-feu laisse les paquets passer les règles, il ne se passera rien et les paquets ne quitteront pas l'espace noyau. Mais si vous configurez des règles qui envoient les paquets à l'espace utilisateur, votre programme fonctionnera.

iptables -A INPUT -i eth0 -j NFQUEUE --queue-num 0

Cette ligne envoie tous les paquets de l'entrée avec la --En interface eth0 dans l'espace utilisateur.

Source

2014-02-25 13:53:51 4tlas

1

En lisant ce fil j'ai trouvé que je n'ai pas ajouté de règles iptables ... Ajouter ces règles fait l'affaire.

Donc, j'ai toujours besoin de définir des règles iptables pour obtenir des paquets en utilisant la bibliothèque netfilter?

Source

2013-05-15 10:18:12 thrantir

2

libnetfilter_queue est comme son nom, un filtre. Cela signifie qu'il filtre le trafic en fonction des paramètres que vous lui donnez lorsque vous créez et ouvrez la file d'attente.

Si vous n'envoyez pas de trafic via ce filtre, le filtre ne fonctionne pas. Combien (quel type de) trafic qui passe par ce filtre, vous devez définir dans iptable.

iptables fonctionne comme un pare-feu dans, à travers ou sur votre système. Libnetfilter_queue vous permet de contrôler ce qu'il faut faire avec le trafic filtré.

Espérons que cela vous aide un peu.

Source

2013-12-03 07:58:32 bharald

Questions connexes

 Questions connexes