1. 概述 LINUX2.2.x中实现了地址伪装。它在发出包时修改包的源地址和源端口(OUTBOUND方向,由ip_fw_masquerade实现),并在收到应答包时修改其目的地址和目的端口(INBOUND方向,由ip_fw_demasquerade实现)。它还可以在正常的流程中加入一些检查点,并在这些检查点上调用特定的函数去实现一些扩展的功能。在上一篇文章中,以ip_masq_ftp为例分析了ip_masq_app的实现。在这篇文章里,将以ip_masq_portfw为例分析ip_masq_mod的实现。(ip_masq_app与ip_masq_mod的主要区别在于ip_masq_app检查应用协议中的动态地址或端口,而ip_masq_mod检查IP和TCP头中的地址或端口)先来看看检查点的位置,如图:
[图1.1]
图中ip_fw_masquerade中的检查点ip_masq_mod_out_rule在内核代码中并没有使用,画在这里是为了让图看起来对称一点:-);ip_masq_mod_in_rule根据规则检查本机收到的包,这个包有可能是地址伪装的应答包,或是需要做目的转换的包,或者是发往本机上层的包,检查的结果决定是否要继续后面的动作;ip_masq_mod_out_create和ip_masq_mod_in_create分别根据包所匹配的规则创建相应的地址伪装结构;ip_masq_mod_out_update和ip_masq_mod_in_update则用新的参数更新已创建的地址伪装结构;ip_masq_app_pkt_out和ip_masq_app_pkt_in是ip_masq_app模块的两个检查点,上一篇文章中讲到的masq_ftp_out和masq_ftp_in两个函数就分别在这两个检查点上被调用。(判断一个包是在OUTBOUND方向还是在INBOUND方向可以看这个包是转发的包还是发往本机的包。需要转发的包是在OUTBOUND方向上,本机收到的包是在INBOUND方向上)
实现一个ip_masq_mod的模块,先要定义一个ip_masq_mod的结构,以ip_masq_portfw为例,它定义了如下的结构:
static struct ip_masq_mod portfw_mod = {
NULL,/* next */
NULL,/* next_reg */
"portfw",/* name */
ATOMIC_INIT(0),/* nent */
ATOMIC_INIT(0),/* refcnt */
proc_ent,
portfw_ctl,
NULL,/* masq_mod_init */
NULL,/* masq_mod_done */
portfw_in_rule,
portfw_in_update,
portfw_in_create,
portfw_out_rule,
portfw_out_update,
portfw_out_create,
};
(在这个结构中用粗体标记的函数没有实现)。可以看到,结构定义了在检查点上调用的函数和描述结构信息的一些参数。结构定义之后需要注册到一个全局的ip_masq_mod_reg_base链表之中(指针next_reg用于指向这个链表上的下一个结构),这个表上有所有注册的ip_masq_mod结构。同时还有一个链表ip_masq_mod_lkp_base(指针next用于指向这个链表上的下一个结构),一般会在添加模块规则时将结构同时注册到这个链表中,如果没有模块规则,结构不会在这个链表上(在检查点上查找相应结构时就引用这个链表,这样做的目的是为了减少不必要的遍历)。结构中的proc_ent项代表proc文件系统中的一个文件,它实现了用户空间读模块规则的接口。
2. IP_MASQ_MOD
ip_masq_portfw实现了目的地址转换。用下图所示的环境分析它在检查点上定义的函数:
[图2.1]
图中A、C是内网主机,B是外网主机。在FW配置规则如下:
ipmasqadm portfw -a
-P tcp -L 192.168.0.88
80
-R
10.0.0.1 80 -p 2
ipmasqadm portfw -a
-p tcp -L 192.168.0.88
80
-R
10.0.0.2 80 -p 1
ipchains -A forward -s 10.0.0.0/8 -j MASQ
前两条规则是portfw的规则,它把对FW外网地址的端口为80(一般是HTTP服务)的访问映射到内网的监听端口为80的服务器上。它们映射相同的服务,以轮询的方式去选择真正转换后的地址。第三条规则是地址伪装的规则,加这条规则的目的是为了使服务器返回的包可以走到ip_fw_masquerade函数中,进而恢复原来的目的地址。 下面从模块初始化,模块释放,portfw的规则,和portfw定义的方法四个方面分析ip_masq_portfw的实现。
2.1. 初始化
模块初始化的流程从init_module开始(如果将ip_masq_portfw编译成内核模块)。它调用ip_portfw_init,在这个函数里初始化了两个规则链表,一个保存TCP协议的规则,一个保存UDP协议的规则。然后在这个函数里将前面定义的结构portfw_mod注册到系统的链表中。
2.2. 释放
模块释放的流程从cleanup_module开始。它调用ip_portfw_done,在这个函数里将结构portfw_mod从系统链表中取下(取下时要判断结构的引用计数是否等于0,等于0才可取下)。
2.3. 规则
规则分两部分讨论,一是添加、删除规则的接口,二是读规则的接口。
规则匹配收到包的协议,目的地址,目的端口,其结构如下:
struct ip_portfw {
struct list_head list;
__u32
laddr, raddr;
__u16
lport, rport;
atomic_tpref_cnt;/* pref "counter" down to 0 */
int pref;/* user set pref */
};
在这个结构中,list用于双向链表的前后指针;laddr,lport是FW的地址和端口(结构中没有定义协议是因为不同协议的规则保存在不同的链表中);pref_cnt是一个优先值的计数,它的初值是pref(在添加规则时指定),以后每次匹配到这个规则,都将这个值减1,如果减为0,将这条规则移到链表的末尾,并重置这个值为pref,用这样的方法,实现了一个简单的轮询算法(代码在portfw_in_create中)。
2.3.1. 添加、删除规则
规则的添加和删除是通过用户空间的配置工具完成,它调用系统调用去作用于规则表,调用过程如下:
[图2.2]
从图中可以看到,作用于规则表的函数是由setsockopt函数以level为SOL_IP调用的(level想当于协议栈中的层,地址伪装在IP层上实现,所以用户接口也是以SOL_IP作为level)。portfw_ctl是一个分派函数,根据用户空间传来的不同的命令调用不同的函数如ip_portfw_add用于添加规则(地址、端口相同的规则,只更新其优先值),ip_portfw_del用于删除规则。读写规则链表都需要得到锁portfw_lock,然后才能进行读写动作。
2.3.2. 读规则
读规则是通过proc文件系统的接口完成的。用户空间的程序通过读文件/proc/net/ip_masq/portfw的内容得到当前系统中配置的portfw的规则。在portfw_mod结构中有指向proc_dir_entry数据结构的指针proc_ent,在这个结构中定义了读proc文件的接口portfw_procinfo。proc_dir_entry的注册是在注册portfw_mode结构时完成的。一般在ip_masq_mo的实现中都会定义这个函数。
2.4. 方法
ip_masq_portfw只实现了两个在检查点上调用的函数。
2.4.1. portfw_in_rule
portfw_in_rule对FW收到的包(其目的地址是FW的地址)进行匹配。如果这个包需要做目的地址转换(匹配到了portfw规则表中的规则;或者其目的端口是在地址伪装端口的范围之内[61000-65096];或是目的端口是指定的伪装端口(mport_count不为0)),则继续执行后面的过程;如果不需要做目的地址转换,则直接返回。这一步的检查避免对每个收到的包都去查伪装结构的表。
2.4.2. portfw_in_create
在这个函数里创建对应目的转换的伪装结构。首先,根据收到包的协议引用不同的规则表。然后用收到包的目的地址和目的端口匹配portfw规则。如果找到,创建地址伪装结构(这个结构将会在服务器应答包的源转换时被引用,同一连接的后续包也将引用这个结构,直到这个结构因连接超时被删除)。接下来,它减小规则的pref_cnt,并且如果pref_cnt为零,将规则移至链表末尾,并冲置pref_cnt的值。
3. 总结
实现一个ip_masq_mod的要点是定义ip_masq_mod的结构,并实现它在检查点上调用的函数。其中区别在于规则的组织以及创建地址伪装结构的条件,这可以根据应用的不同选择不同的实现方式。