如何扩展Linux的ip_conntrack

Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这也是UNIX/Linux哲学的风格,一种后现代主义的风格,但是最近我上了不归路,非要在ip_conntrack里面扩充一个字段,为我们产品加入一个基于用户名字符串的访问控制和审计功能,于是我有了以下看似可以的方案,顺便鄙视一下纸上谈兵的人:
1.完全学ipmark的样子,在sk_buff和nf_conn里面均加一个mark字段,分别代表数据包的mark和数据流的mark
作罢的原因:
需要重新编译内核,而我不希望为了一个小小的功能重新编译内核,背后的思想是我比较崇尚热插拔。
2.不动sk_buff,只在nf_conn里面加一个字段,skb仅仅作为一个中转,在iptables的target通过skb找到nf_conn,设置nf_conn的info字段
作罢的原因:
Linux严格控制内核模块的版本,模块依赖的头文件一点都不能动,如果我改变了net/netfilter/nf_conntrack.h,那么新编译的所有的依赖nf_conntrack.ko的模块中的符号CRC码都会变化从而无法通过内核的验证,我不得不学Netfilter的一个项目xtables-addons中compat-xtables的样子,把所有的会改变CRC码的导出函数全部再重新实现一遍,然而,天啊,我起初的想法太天真了,没完美了的循环依赖,以至于我想骂两句:
第一:
ip_conntrack为何不让人扩展?虽然它有一个extend机制,但是MD简直就是自说自话,全部都是预定义好的,就下面的枚举里面的几类:
enum nf_ct_ext_id
{
    NF_CT_EXT_HELPER,
    NF_CT_EXT_NAT,
    NF_CT_EXT_ACCT,
    NF_CT_EXT_ECACHE,
    NF_CT_EXT_NUM,
};

你加一个新的类型,就会改变内核头文件,既然不让扩展,为何还叫extend呢?你干脆直接放进nf_conn就可以了,搞成extend感觉上好像多么的模块化,多么的可插拔,实际上你能扩展的东西只能是逻辑,而不能是数据结构!

第二:

Linux为何把extend写的那么死呢?当我突然感到这是合理的时候,我就三缄其口了,后面我会说到,数据结构需要可以自解释,即自己解释自己。虽然人可以看到一个结构体马上说出它的含义,但是程序却很难将一堆数据对应到一个结构体!自解释,如果不知道自解释,那就说明你根本就TM就不懂计算机!虽然你可能很精通编程...

思路

既然不能扩展nf_conn的extend,也不能在nf_conn本身加新的字段,那么只能重新编译内核了,在重新编译内核的时候,加入且仅仅加入一个extend类型,作为一个中间层,在这个extend中实现一个可插拔的注册机制,以后再想加入新的扩展就可以直接在这个extend的机制上进行了。然而,我还是不想编译内核,这是一个思想!我希望做最小的改动。万事都难不倒偏执的人,我采用了一个常规却不常用的方法,那就是默默地扩展结构体的大小,这也正是在《JAVA编程思想》里面学到的一个思想。

思想

这其实是一种OO的思想,找到一个基类,然后扩展它,在扩展继承的过程中实现你自己的逻辑,我扩展的是内核的nf_conn_counter结构体:
struct nf_conn_counter {
    u_int64_t packets;
    u_int64_t bytes;
};
我希望它成为下面的样子:
struct nf_conn_counter {
    u_int64_t packets;
    u_int64_t bytes;
    unsigned char *info;
}; 
但是我又不能改变结构体的定义,所以我采用下面等价的办法:
struct conn_info_extends_nf_conn_counter {
       struct nf_conn_counter base;
       char *info;
}
info是最关键的。我需要做的仅仅就是在为nf_conn_counter分配空间的时候为其多加一个指针的空间即可,至于这个指针指向什么,自有调用者解释。在我的需求中,它可能就是一个字符串,存在info信息。acct_extend原始定义为(之所以选择对acct开刀,是因为它足够简单,在字面上里面,其表示统计信息,加入一个info也无可厚非):
static struct nf_ct_ext_type acct_extend __read_mostly = {
    .len    = sizeof(struct nf_conn_counter[IP_CT_DIR_MAX]),
    .align    = __alignof__(struct nf_conn_counter[IP_CT_DIR_MAX]),
    .id    = NF_CT_EXT_ACCT,
};

将其修改为:
struct info_compat {
        struct nf_conn_counter nc[IP_CT_DIR_MAX];
        unsigned char * info;
};

static struct nf_ct_ext_type acct_extend __read_mostly = {
        .len    = sizeof(struct info_compat),
        .align  = __alignof__(struct info_compat),
        .id     = NF_CT_EXT_ACCT,
};

到此为止,我没有修改任何内核头文件,接下来我来写一个测试模块来进行测试:
#include <linux/ip.h>
#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/version.h>
#include <net/netfilter/nf_conntrack.h>
#include <net/netfilter/nf_conntrack_acct.h>


MODULE_AUTHOR("xtt");
MODULE_DESCRIPTION("gll");
MODULE_LICENSE("GPL");
MODULE_ALIAS("XTT and GLL");

struct nf_info {
        struct nf_conn_counter nc[IP_CT_DIR_MAX];
        char *info;
};

static unsigned int ipv4_conntrack_info (unsigned int hooknum,
                                      struct sk_buff *skb,
                                      const struct net_device *in,
                                      const struct net_device *out,
                                      int (*okfn)(struct sk_buff *))
{
        u32 addr = ip_hdr(skb)->daddr;
    // 测试我家的路由器的地址192.168.1.1
        if (addr == 0x0101a8c0) {
                struct nf_conn *ct;
                enum ip_conntrack_info ctinfo;
                struct nf_conn_counter *acct;
                struct nf_info *info;
                unsigned char *cn = NULL;
                ct = nf_ct_get(skb, &ctinfo);
                if (!ct || ct == &nf_conntrack_untracked)
                        return NF_ACCEPT;

                acct = nf_conn_acct_find(ct);
                if (acct) {
                        info = (struct nf_info *)acct;
                        info->info = (unsigned char*) kzalloc(32, GFP_ATOMIC);
                        if (!info->info) {
                                return NF_ACCEPT;
                        } 
            // 测试将1234567890作为字符串设置到conntrack
                        memcpy(info->info, "1234567890", min(32, strlen("1234567890")));
                }
        }
        return NF_ACCEPT;
}

static struct nf_hook_ops ipv4_conn_info __read_mostly = {
                .hook           = ipv4_conntrack_info,
                .owner          = THIS_MODULE,
                .pf             = NFPROTO_IPV4,
                .hooknum        = NF_INET_LOCAL_OUT,
                .priority       = NF_IP_PRI_CONNTRACK + 1,
};

static int __init test_info_init(void)
{
        int err;
        err = nf_register_hook(&ipv4_conn_info);
        if (err) {
                return err;
        }
        return err;
}

static void __exit test_info_exit(void)
{
        nf_unregister_hook(&ipv4_conn_info);
}

module_init(test_info_init);
module_exit(test_info_exit);


到底成功了没有呢?我需要将这一切展示在/proc/net/nf_conntrack里面,但是由于我使用了acct机制,所以我需要打开内核的acct选项:
sysctl -w net.netfilter.nf_conntrack_acct=1
真正修改的地方在/net/netfilter/nf_conntrack_standalone.c的ct_seq_show函数:
if (seq_printf(s, "use=%u ", atomic_read(&ct->ct_general.use)))
    goto release;

{
    struct nf_info {
        struct nf_conn_counter acct[2];
        char *info;
    };
    struct nf_conn_counter *acct;
    struct nf_info *info;
    acct = nf_conn_acct_find(ct);
    if (acct) {
        info = (struct nf_info *)acct;
        if (info->info) {
            if (seq_printf(s, "info=%s\n", info->info)) {
                goto release;
            }
        }
    }
}

在测试的时候,/proc/net/nf_conntrack中拥有了一个信息:
ipv4     2 tcp      6 431985 ESTABLISHED src=192.168.1.109 dst=192.168.1.1 sport=33591 dport=50 packets=2 bytes=112 src=192.168.1.1dst=192.168.1.109 sport=50 dport=33591 packets=1 bytes=60 [ASSURED] mark=0 zone=0 use=2  info=1234567890
这就说明这种方法是可行的,改动的地方并不多,关键是你要找到一个危险性最少的开刀部位,然后按照OO的思想扩展它,给它它所有没有的行为。曾经,我对nat的extend进行了偷梁换柱,但那是不对的,正确的做法是在原有结构体的地址后面紧跟着进行扩展,类似0长度数组那种。
       我需要解释一下程序的自解释了。Linux在实现nf_conntrack的extend的时候,为何将类型数值以及定义的顺序用一个枚举写死呢?换句话说那就是为何不允许用户随意定义extend呢?答案是:那很难!Why?试想,如果我把一个结构体给了一个extend type。请问我把这个type存在哪?除了事先自定义一个type序列,仅存的办法就是把这个type序列存在extend本身了,这就遇到了一个循环定义的问题,我们对此是没有办法的,一个程序很难看到一对数字后,然后就可以把它们看作一个结构体,起码的字段分界就无法解决。虽然可以用OO的思想之外,剩下的解决方案就是寻求一种自解释的数据格式。我能想到的就是ASN.1了。实际上,ASN.1也是一种事先定义的类型格式序列,只不过该序列是经过标准化的而已,一个ASN.1序列是不需要解释的,它可以自己解释自己,需要的仅仅是文档。一个ASN.1序列可以将一段数据解释为一个结构体,或者反过来也可以。OpenSSL里面的d2i/i2d就是做这个的。难道不是吗?
       清明时节雨纷纷,就这样在没有雨的一整天过去了,没有从《JAVA编程思想》中看到什么思想,依然没有感悟到JAVA的思想,依然没有。

你可能感兴趣的:(如何扩展Linux的ip_conntrack)