c语言使用Netfilter开发自己的linux防火墙

Netfilter是Linux内核中的一个网络包过滤框架，它提供了一些钩子函数，可以在网络数据包经过Linux内核时进行拦截、修改和丢弃等操作。使用Netfilter可以开发自己的Linux防火墙，下面是一个简单的示例程序。

1. 准备工作

首先需要安装libnetfilter_queue库和iptables软件。在Ubuntu中可以使用以下命令安装：

sudo apt-get install libnetfilter-queue-dev iptables-dev

2. 编写代码

下面是一个简单的防火墙程序，它可以拦截所有TCP协议的数据包，打印IP地址和端口号，并且将源端口号改为8080。

#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <netinet/in.h> #include <linux/types.h> #include <linux/netfilter.h> #include <libnetfilter_queue/libnetfilter_queue.h>

#define IP_HEADER_LEN 20 #define TCP_HEADER_LEN 20

static int callback(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, struct nfq_data *nfa, void *data) { struct nfqnl_msg_packet_hdr *ph; u_int32_t id; unsigned char *payload; int payload_len; struct iphdr *ip_header; struct tcphdr *tcp_header; u_int16_t src_port, dst_port;

ph = nfq_get_msg_packet_hdr(nfa);
if (ph)
{
    id = ntohl(ph->packet_id);
}

payload_len = nfq_get_payload(nfa, &payload);

ip_header = (struct iphdr *)payload;
if (ip_header->protocol == IPPROTO_TCP)
{
    tcp_header = (struct tcphdr *)(payload + IP_HEADER_LEN);
    src_port = ntohs(tcp_header->source);
    dst_port = ntohs(tcp_header->dest);

    printf("IP: %u.%u.%u.%u:%u -> %u.%u.%u.%u:%u\n",
           (ip_header->saddr >> 24) & 0xff,
           (ip_header->saddr >> 16) & 0xff,
           (ip_header->saddr >> 8) & 0xff,
           ip_header->saddr & 0xff,
           src_port,
           (ip_header->daddr >> 24) & 0xff,
           (ip_header->daddr >> 16) & 0xff,
           (ip_header->daddr >> 8) & 0xff,
           ip_header->daddr & 0xff,
           dst_port);

    tcp_header->source = htons(8080);
}

return nfq_set_verdict(qh, id, NF_ACCEPT, payload_len, payload);

}

int main() { struct nfq_handle *h; struct nfq_q_handle *qh; int fd; char buf[4096] attribute((aligned));

h = nfq_open();
if (!h)
{
    perror("nfq_open");
    exit(1);
}

if (nfq_unbind_pf(h, AF_INET) < 0)
{
    perror("nfq_unbind_pf");
    exit(1);
}

if (nfq_bind_pf(h, AF_INET) < 0)
{
    perror("nfq_bind_pf");
    exit(1);
}

qh = nfq_create_queue(h, 0, &callback, NULL);
if (!qh)
{
    perror("nfq_create_queue");
    exit(1);
}

if (nfq_set_mode(qh, NFQNL_COPY_PACKET, 0xffff) < 0)
{
    perror("nfq_set_mode");
    exit(1);
}

fd = nfq_fd(h);

while (1)
{
    int len = recv(fd, buf, sizeof(buf), 0);
    if (len)
    {
        nfq_handle_packet(h, buf, len);
    }
}

nfq_destroy_queue(qh);
nfq_close(h);

return 0;

}

3. 编译和运行

使用以下命令编译程序：

gcc -o firewall firewall.c -lnetfilter_queue

然后使用iptables将所有TCP协议的数据包重定向到Netfilter队列：

iptables -A OUTPUT -p tcp -j NFQUEUE

最后运行程序：

sudo ./firewall

现在所有TCP协议的数据包都会被拦截，并且源端口号会被改为8080。可以使用telnet或者nc命令测试程序是否正常工作。