带你手把手解读rejail沙盒源码(0.9.72版本) (七) fnetfilter

最新推荐文章于 2024-10-23 18:47:46 发布
原创 最新推荐文章于 2024-10-23 18:47:46 发布 · 1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dumpable #sandbox #firejail #linux

本文围绕一个用C语言编写的Netfilter规则处理程序展开。介绍了iptables防火墙规则脚本,解释了程序中各函数功能,如usage、err_exit_cannot_open_file等。还说明了进程dumpable状态检测,以及程序处理命令行参数、配置Netfilter规则的方式和不同输入情况的结果。 
├── fnetfilter
│   ├── Makefile
│   └── main.c

文章目录

main.c


#include "../include/common.h"

#define MAXBUF 4098
#define MAXARGS 16
static char *args[MAXARGS] = {
   
   0};
static int argcnt = 0;
int arg_quiet = 0;


static char *default_filter =
"*filter\n"
":INPUT DROP [0:0]\n"
":FORWARD DROP [0:0]\n"
":OUTPUT ACCEPT [0:0]\n"
"-A INPUT -i lo -j ACCEPT\n"
"-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\n"
"# echo replay is handled by -m state RELATED/ESTABLISHED above\n"
"#-A INPUT -p icmp --icmp-type echo-reply -j ACCEPT\n"
"-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT\n"
"-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT\n"
"-A INPUT -p icmp --icmp-type echo-request -j ACCEPT \n"
"# disable STUN\n"
"-A OUTPUT -p udp --dport 3478 -j DROP\n"
"-A OUTPUT -p udp --dport 3479 -j DROP\n"
"-A OUTPUT -p tcp --dport 3478 -j DROP\n"
"-A OUTPUT -p tcp --dport 3479 -j DROP\n"
"COMMIT\n";

static void usage(void) {
   
   
	printf("Usage:\n");
	printf("\tfnetfilter netfilter-command destination-file\n");
}

static void err_exit_cannot_open_file(const char *fname) {
   
   
	fprintf(stderr, "Error fnetfilter: cannot open %s\n", fname);
	exit(1);
}


static void copy(const char *src, const char *dest) {
   
   
	FILE *fp1 = fopen(src, "r");
	if (!fp1)
		err_exit_cannot_open_file(src);

	FILE *fp2 = fopen(dest, "w");
	if (!fp2)
		err_exit_cannot_open_file(dest);

	char buf[MAXBUF];
	while (fgets(buf, MAXBUF, fp1))
		fprintf(fp2, "%s", buf);

	fclose(fp1);
	fclose(fp2);
}

static void process_template(char *src, const char *dest) {
   
   
	char *arg_start = strchr(src, ',');
	assert(arg_start);
	*arg_start = '\0';
	arg_start++;
	if (*arg_start == '\0') {
   
   
		fprintf(stderr, "Error fnetfilter: you need to provide at least one argument\n");
		exit(1);
	}

	// extract the arguments from command line
	char *token = strtok(arg_start, ",");
	while (token) {
   
   
		if (argcnt == MAXARGS) {
   
   
			fprintf(stderr, "Error fnetfilter: only up to %u arguments are supported\n", (unsigned) MAXARGS);
			exit(1);
		}
		// look for abnormal things
		int len = strlen(token);
		if (strcspn(token, "\\&!?\"'<>%^(){};,*[]") != (size_t)len) {
   
   
			fprintf(stderr, "Error fnetfilter: invalid argument in netfilter command\n");
			exit(1);
		}
		args[argcnt] = token;
		argcnt++;
		token = strtok(NULL, ",");
	}
#if 0
{
   
   
printf("argcnt %d\n", argcnt);
int i;
for (i = 0; i < argcnt; i++)
	printf("%s\n", args[i])
最低0.47元/天 解锁文章
手把手 解读 firejail 源码0.9.72版本)目录和组件 (一)
这是一个c++热爱者的博客哟
12-12 1785
Firejail 是一个用于 Linux 系统的安全工具,它通过创建轻量级的箱环境来运行应用程序。这种箱环境将应用程序与系统其余部分隔离,限制了应用程序对系统的访问权限,从而增强了系统的安全性。Firejail 通过利用 Linux 内核的多个安全特性来实现其功能,包括命名空间、seccomp-bpf 和用户/组标识符映射等。这些技术使得 Firejail 能够在不修改操作系统或应用程序代码的情况下提供强大的安全保护。
scratch少儿编程逻辑思维游戏源码- v1.0.zip
05-05
本次分享的“scratch少儿编程逻辑思维游戏源码- v1.0.zip”是一个专门为儿童设计的编程学习资源。该资源采用模式,允许孩子们在一个开放的环境中自由探索和实验。模式的特点是提供了一个广阔的空间,在...
sandbox源码
06-24
sandbox 开源的源代码 ihxdef的代码 额 我们都来学习下
Codesandbox:我所有的
03-30
Codesandbox:我所有的
Sandboxie 逆向完整源码
08-15
Sandboxie v3.40 逆向完整源码
Chromium Sandbox源码介绍(3)
杰克东的专栏
10-23 1049
本篇主要说下箱的环境变量策略
sandbox:
03-26
sandbox:
(源码)基于C++的游戏引擎.zip
03-17
# 基于C++的游戏引擎 ## 项目简介 本项目是一个基于C++的游戏引擎,名为VM76。它提供了一个强大的游戏引擎框架,支持多种平台(Windows、macOS、Linux),并且集成了多种图形和音频库,使得开发者能够轻松...
(源码)基于OpenGL的游戏MyCraft.zip
04-11
# 基于OpenGL的游戏MyCraft ## 项目简介 MyCraft是一个基于OpenGL的游戏项目,灵感来源于Minecraft。该项目实现了基本的3D世界生成、方块放置、光照计算等功能,旨在提供一个简单的游戏体验。 ## 项目...
一个基于 Python 的 Python 程序..zip
最新发布
08-23
Python程序是一种允许用户在受限环境中运行和测试代码的工具,特别是对于Python语言开发者来说,环境提供了一个安全的空间,以避免不当代码对系统造成影响。一个典型的Python程序可能包括以下几个方面的...
Sandboxie-箱软件-编译说明-模块解析
插件开发
02-17 2093
LowLevel.dll作为资源嵌入到SbieSvc.exe中(参见core\svc\lowlevel.rc)。目录SandboxWUAU(\apps\com\WUAU)。目录SandboxRpcSs(\apps\com\RpcSs)。目录Common(\apps\common)。目录SbieIni(\apps\ini)。目录SboxDcomLaunch(\apps\com\DcomLaunch)。目录SboxDll(\core\dll)。创建Sbie注入DLL。目录Start(\apps\start)
路径方法,开源代码中看到的
wzw88486969的专栏
01-03 515
NSString * outPath = [[NSString alloc] initWithFormat:@"%@/Documents/test.mp3",NSHomeDirectory()]; //---------------------- NSFileManager *fileMgr = [NSFileManager defaultManager]; NSError *er
Chromium Sandbox源码介绍(1)
杰克东的专栏
10-22 1766
if (!////对应如图:其实最核心的就是利用CreateProcessAsUserW函数 指定用户token 桌面 环境变量 job,然后来限制子进程的权限。
开源分析引擎
cnbird's blog
07-01 4021
http://www.cuckoosandbox.org/download.html http://www.docin.com/p-160252867.html
一个Python开源项目-哈勃源码剖析(下)
七夜的博客
01-13 540
一个Python开源项目-哈勃源码剖析(下) 前言 在上一篇中,我们讲解了哈勃箱的技术点,详细分析了静态检测和动态检测的流程。本篇接着对动态检测的关键技术点进行分析,包括strace,sysdig,volatility。volatility的介绍不会太深入,内存取证这部分的研究还需要继续。 strace机制 上一篇讲到了strace和ltra...
Android 双开箱 VirtualApp 源码分析(三)App 启动
热门推荐
ganyao939543405的博客
07-27 1万+
上一章:Android 双开箱 VirtualApp 源码分析(二) 在这之前,我们还是要先了解一下 VA Client Framework 和 VAService 之间的通讯方式VAService 与通讯VAService首先,VAService 是指 VA 仿造 Android 原生 framework 层 Service 实现的一套副本,举例有 VActivityManagerServic
Sandboxie盘,代码开源可下载!
blackorbird的博客
04-10 4265
Sandboxie作为一款Windows平台老牌盘工具,其主要功能是从系统中制造另一个虚拟的程序运行环境,并用户本身的系统完全隔离开来。详细原理可参考以下链接:Sandboxie...
macOS新版本适配的Cycript 0.9.594修补版发布
资源摘要信息:"cycript_patched:为现代macOS修补的Cycript 0.9.594" 知识点: 1. Cycript工具介绍: Cycript是一款强大的工具,它结合了Objective-C++代码的交互式解释器和JavaScript,可以用来分析和操作iOS和macOS...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丁金金_chihiro_修行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值