Android系统中iptables的应用(四)FirewallController

最新推荐文章于 2024-09-13 22:13:26 发布
最新推荐文章于 2024-09-13 22:13:26 发布
阅读量5.2k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Android 文章标签: android iptables android FirewallCont FirewallController
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaokeweng/article/details/48829223
本文详细介绍了如何配置“始终开启的VPN”,包括Netd.CommanderListener初始化后的iptables配置及开启VPN后filter表和mangle表的具体规则。此外,还解释了与L2TP_IPSEC_PSK类型的VPN相关的端口及其作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

个人邮箱:xiaokeweng@gmail.com  欢迎大家直接发邮件给我共同交流学习

    如下涉及到的全部firewall的在用的Netdcmd,只有在设置LockDown Vpn的时候才会使用到,lockdown的VPN即是“始终开启的VPN”,这样本地的全部网络请求都会转到VPN的链路上,是相对于针对个别应用的虚拟专用网络需求的情况。
firewall       enable|disable
set_interface_rule<interface><allow|deny>
set_egress_source_rule<add><allow|deny>
set_egress_dst_rule<addr><port><allow|deny>
set_uid_rule<uid><allow|deny>
(1) Netd.CommanderListener初始化后: 
createChildChains(V4V6, "filter", "INPUT", FILTER_INPUT);
createChildChains(V4V6, "filter", "FORWARD", FILTER_FORWARD);
createChildChains(V4V6, "filter", "OUTPUT", FILTER_OUTPUT);                                                                          
createChildChains(V4V6, "mangle", "POSTROUTING", MANGLE_POSTROUTING);
sFirewallCtrl->setupIptablesHooks();
filter表:
-N fw_INPUT
-N fw_OUTPUT
-N fw_FORWARD
-A INPUT -j fw_INPUT
-A OUTPUT -j fw_OUTPUT
-A FORWARD -j fw_FORWARD

mangle表:
-N fw_mangle_POSTROUTING
-A POSTROUTING -j fw_mangle_POSTROUTING
(2) 开启VPN,并设置为“始终开启的VPN”后: 
sFirewallCtrl->enableFirewall();
sFirewallCtrl->setInterfaceRule([lo], [allow]);
sFirewallCtrl->setEgressDestRule(addr, PROTOCOL_x, port, rule);
sFirewallCtrl->setEgressSourceRule(addr, PROTOCOL_x, port, rule);
sFirewallCtrl->setUidRule(uid, rule);
filter表新增规则:
-A fw_FORWARD -j REJECT --reject-with icmp-port-unreachable
-A fw_INPUT -m owner --uid-owner 1000 -j RETURN
-A fw_INPUT -m owner --uid-owner 0 -j RETURN
-A fw_INPUT -d 10.122.160.81/32 -j RETURN
-A fw_INPUT -i ppp0 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 1701 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 1701 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 4500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 4500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p udp -m udp --sport 500 -j RETURN
-A fw_INPUT -s 210.61.122.57/32 -p tcp -m tcp --sport 500 -j RETURN
-A fw_INPUT -i lo -j RETURN
-A fw_INPUT -j DROP
-A fw_OUTPUT -m owner --uid-owner 1000 -j RETURN
-A fw_OUTPUT -m owner --uid-owner 0 -j RETURN
-A fw_OUTPUT -s 10.122.160.81/32 -j RETURN
-A fw_OUTPUT -o ppp0 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 1701 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 1701 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 4500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 4500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p udp -m udp --dport 500 -j RETURN
-A fw_OUTPUT -d 210.61.122.57/32 -p tcp -m tcp --dport 500 -j RETURN
-A fw_OUTPUT -o lo -j RETURN

mangle表新增规则:
-A fw_mangle_POSTROUTING -m owner --uid-owner 1000 -j RETURN
-A fw_mangle_POSTROUTING -m owner --uid-owner 0 -j RETURN
-A fw_mangle_POSTROUTING -s 10.122.160.81/32 -j RETURN
-A fw_mangle_POSTROUTING -o ppp0 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 1701 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 1701 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 4500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 4500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p udp -m udp --dport 500 -j RETURN
-A fw_mangle_POSTROUTING -d 210.61.122.57/32 -p tcp -m tcp --dport 500 -j RETURN
-A fw_mangle_POSTROUTING -o lo -j RETURN
-A fw_mangle_POSTROUTING -j DROP

    以上新增的规则看起很多,其实并不复杂,比较好理解,本例中,建立起来的L2TP_IPSEC_PSK类型的VPN,server地址是 210.61.122.57/32,通信的iface是ppp0 , ppp0的addr:10.122.160.81/31, 其中规则中vpn相关的port:
    [500  ] :  ip-sec的默认ISAKMP密钥交换监听端口,可参考racoon的man手册。
    [4500] :  ip-sec的默认NAT-Traversal通信端口,可参考racoon的man手册。
    [1701] :  L2TP类型VPN在framework下mtpd与racon cmd的时候制定的port。
所以以上的全部rule就是保证VPN相关的控制流&数据流能顺利通过规则,在被DROP掉之前RETURN,同时阻断VPN无关的数据。
(3)关于racoon 中ip-sec的默认端口
racoon — IKE (ISAKMP/Oakley) key management daemon
    racoon speaks the IKE (ISAKMP/Oakley) key management protocol, to establish security associations with other hosts.  The SPD (Security Policy Database) in the kernel usually triggers racoon.  racoon usually sends all informational messages, warnings and error messages to syslogd(8) with the facility LOG_DAEMON and the priority LOG_INFO.  Debugging messages are sent with the priority LOG_DEBUG.  You should configure syslog.conf(5) appropriately to see these messages.
     -P isakmp-natt-port
             Use isakmp-natt-port for NAT-Traversal port-floating.  The default is 4500.

     -p isakmp-port
             Listen to the ISAKMP key exchange on port isakmp-port instead of the default port number, 500
Android 9.0 10.0 通过sh脚本执行iptables命令不生效时selinux权限问题解决
安卓兼职framework和app工程师的博客
10-12 1966
在开发网络白名单用iptables命令时,会涉及到selinux权限的问题,会让命令失效不起作用 例如:在init.rc中通过监听属性值变化来执行sh 脚本 on property:persist.sys.runstart=1 setprop persist.sys.runstart 0 start runcommandstart service runcommandstart /system/bin/sh /data/local/command.sh user root group root seclab
Android9.0 iptables用Netd实现创建子链功能的实现
安卓兼职framework和app工程师的博客
05-10 923
在9.0的系统rom定制化开发中,在system中netd网络这块的产品需要中,会要求设置屏蔽ip地址之内的功能, liunx中iptables命令也是比较重要的,接下来就来在Netd这块实现创建子链的相关功能
Android iptables实现网络防火墙
Jimmy的专栏
07-25 3085
iptables实现网络防火墙
android-framework-增加网络防火墙
qq_34679996的博客
07-23 2802
安卓framework只有对后台流量的限制.这里不赘述了,有兴趣的可以参考 https://www.jianshu.com/p/5940ba4debf3?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation 原理就是根据uid设置黑白名单,名单的存放位置在: data/system/netpolicy.xml 注意: 这里有一个很重要的概念 : uid(不多
android netd firewall 分析,第2章 深入理解Netd
weixin_29295541的博客
05-26 349
#### 本章主要内容- 介绍Netd;- 介绍MDNS和Apple Bonjour技术;- 介绍iptables、tc和ip等Linux系统中常用的网络管理工具;- 介绍Netd中的各个命令对象和相关的背景知识;- 介绍NetworkManagmentService。#### 本章所涉及的源代码文件名及位置- main.cpp`system/netd/main.cpp`- NetlinkMana...
anddroid 11 NetworkManagementService接口setFirewallUidRule 变化分析
研究员的自我修养
09-15 1194
背景 android 11的接口setFirewallUidRule 使用中 发现设置有问题 对比了下新系统流程 找到变更 流程分析 INetworkManagementService.aidl void setFirewallUidRule(int chain, int uid, int rule); void setFirewallUidRules(int chain, in int[] uids, in int[] rules); NetworkManagementServic
Android() iptables 详解
最新发布
CHENDONGHAO1105的博客
09-13 1517
根据target参数的值,判断要执行的命令类型。如果target是V4或V4V6,则调用sendCommand函数执行iptables-restore命令,并将结果存储在output中。也因为 Chain 中 Rules 的次序非常关键,执行 Rules 时,会按照从上往下的顺序进行。表(Table)是面向应用场景的管理方式,每张表被赋予了不同的应用场景,所以也内含了不同的 Chains 和 Rules。此外,Netfilter 提供了 5 条内建的 Chains,用户也可以新建自定义的 Chains。
android防火墙规则添加分析iptables -a -i 区别
dreamfly130的博客
05-22 1040
当防火墙进行包匹配时,它会按照规则链中规则的顺序,从上到下依次检查每一条规则,直到找到与数据包匹配的规则并执行相应的操作。总结来说,-A和-I的主要区别在于它们将规则添加到规则链的不同位置,从而影响匹配的顺序和优先级。使用-A添加的规则会位于规则链的末尾,而使用-I添加的规则则会位于规则链的开头,具有最高的匹配优先级。因为白名单默认DROP,所以添加白名单时,被允许的应用匹配后,直接return不执行后面的DROP规则,所以RETURN规则要在DROP规则前,所以用-I。
Android9.0 iptables用INetd实现屏蔽ip黑名单的实现
安卓兼职framework和app工程师的博客
05-13 1143
在9.0的系统rom定制化开发中,在system中netd网络这块的产品需要中,会要求设置屏蔽ip地址之内的功能,liunx中iptables命令也是比较重要的,接下来就来在INetd这块实现屏蔽ip黑名单的的相关功能,就是在app中只能屏蔽某个网址,就是除了这个网址,其他的都能上网,最后在framework自定义服务中实现接口调用
Android定制实现上网限制
热门推荐
02-24 2万+
随着智能手机和平板的普及,现在的孩子几乎人手一部手机或平板,我们常常能看到一些孩子时常抱着手机玩游戏或是浏览网页,一玩就是一整天,家长们不免会担心自己的孩子是不是会浏览不适合他们看的网页?是不是玩的时间太长,导致他们对其他的事情(比如运动、学习和沟通等)丧失兴趣,或者对身体发育造成不良影响。所以,有必要对孩子们用的这些移动智能设备做些上网限制,主要就是上网时间和允许浏览的网站的限制。
Androidiptables应用
zhdguy的博客
10-31 1358
Android系统iptables应用(一)概述
Android系统iptables应用(三)NatController
Hi~ xiaokeweng
09-30 7979
个人邮箱:xiaokeweng@gmail.com  欢迎大家直接发邮件给我共同交流学习        这个模块支持android网络共享功能,也可以称作网络地址转换(NAT:Network Address Translation),即在不同的网络接口设备之间搭建数据通路,互为上载出口。例如,手机做无线热点hotspot,数据流量给其他通过wifi链接到本机的设备。从framewor
Android network — iptables表五链
一只立志于养老婆的程序猿
08-05 2143
我们先来看一下netfilter官网iptablesiptablesTheiptablesip6tablesip6tables也就是说iptables实际上只是位于用户空间的一个面向系统管理员的Linux防火墙的管理工具而已,而真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内核模块,iptables对应在内核中的模块应该是ip_tables,我们查看系统内核中ip_tables的信息的时候可以看到这个模块是在netfilter这个目录下的。实际上除了iptables
Android 10 Firewall blacklist 设置范例
研究员的自我修养
03-10 1028
Android 10 Firewall blacklist 设置范例 Background Android 10中系统NMS中带有防火墙接口。 在这里举一个设置黑名单的例子 public void setblacklist (int uid,boolean enabled) { try { if (isFirewallEnabled()){ Log.d(TAG, "##setFirewallEnabled false "); setFirewall
android功能的实现,Android之防火墙功能的实现
weixin_42360237的博客
05-26 1264
需求:可以控制某个应用访问WIFI或移动网络的功能。Android自带防火墙原理是:一旦开启防火墙,所有的应用都不能访问网络(包括WIFI和移动网络),所以不能满足需求,故需要在原生基础上新增两个方法来实现该功能,方法声明在frameworks/base/core/java/android/os目录下的INetworkManagementService.aidl中:interface INetwo...
Android之防火墙功能的实现
STN_LCD的专栏
05-26 1630
http://blog.youkuaiyun.com/zhangyongfeiyong/article/details/52524220 版权声明:本文为博主原创文章,未经博主允许不得转载。 需求:可以控制某个应用访问WIFI或移动网络的功能。 Android自带防火墙原理是:一旦开启防火墙,所有的应用都不能访问网络(包括WIFI和移动网络),所以不能满足需求,故需要在原
Android平台TCP网络转发实现方案(redsocks+iptables+socks5)
bgylde的博客
03-06 8336
android平台redSocks+ipTable+socks5实现tcp的转发 要求android系统有root权限,可以执行程序,修改iptable。参考url: https://blog.youkuaiyun.com/yeshennet/article/details/79397651 一、redsocks编译 1. libevent编译 redsocks依赖于libevnet,需要首先...
android实现网络防火墙控制app访问wifi/移动数据网络
cyj88jyc的专栏
02-28 8737
iptables是Linux的一个命令行工具,通过设置一些规则可以直接把指定uid或网址的数据包从ip层过滤掉,从而实现网络防火墙的功能,这部分已经比较成熟,android或厂商只是对iptables命令进行了封装,让android app可以通过iptables命令进行防火墙设置,iptables有很多复杂的功能,我们主要看看怎么设置白名单只让指定的uid app可以联网和设置黑名单让指定的ui...
[RK3288][Android6.0] 网络服务Netd初始化流程小结
Kris Fei's blog
04-25 2806
Platform: Rockchip OS: Android 6.0 Kernel: 3.10.92 Netd: Network Daemon. 负责网络配置,操作,管理,查询等功能. 封装底层各种类型网络,如PPP,SOFTAP等,给framework提供统一接口. 说白了就是接收framework命令往下发,接收kernel命令往上发. 路径: s
浅谈Linux系统iptables应用
05-15
iptables 是 Linux 系统中的一个强大的防火墙工具,它可以用于过滤、重定向和修改网络数据包。它是一个基于内核的软件,可以对数据包进行过滤和修改,从而实现网络连接的控制和管理。在 Linux 系统中,iptables 是最常用的防火墙软件之一,它可以在多个层面上进行过滤和管理网络连接。以下是 iptables 在 Linux 系统中的一些应用: 1. 防火墙:iptables 可以配置防火墙规则,保护系统免受来自外部网络的攻击。它可以限制不同网络之间的数据流量,并允许或阻止特定的端口和协议。 2. NAT:iptables 可以实现网络地址转换(NAT),它可以将私有 IP 地址转换为公共 IP 地址以实现 Internet 访问。通过 NAT,可以将多个设备连接到 Internet,而不需要每个设备都拥有公共 IP 地址。 3. 端口转发:iptables 可以将进入系统的数据包重定向到其他系统或端口。这是在服务器环境中非常有用的,因为它可以将外部流量重定向到内部服务器。 4. 流量限制:iptables 可以限制流量,这对于限制恶意用户或应用程序的带宽使用非常有用。它可以限制连接的数量、速率和带宽,从而保证网络的稳定性和可靠性。 总之,iptables 是 Linux 系统中非常有用的一个工具,可以用于保护网络安全、管理网络连接和实现网络地址转换等功能。它的功能非常强大,但也需要用户具备一定的技术水平和经验,才能正确配置和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值