Android 网络防火墙的实现 Iptables解决方案
来源:互联网 发布:奉化淘宝司法拍卖网 编辑:程序博客网 时间:2024/05/01 02:29
通过对Android SDK帮助文档的阅读,我没有发现Android的高层提供的API,于是通过更底层考虑,我发现了可以采用Iptables实现防火墙的功能。而且linux下主流的防火墙也是Iptables。
Iptables的介绍:
iptables是与最新的 2.6.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
其工作原理:
netfilter/iptablesIP 信息包过滤系统是一种功能强大的工具, 可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中, 而这些表集成在 Linux 内核中。 在信息包过滤表中,规则被分组放在我们所谓的 链(chain)中。我马上会详细讨论这些规则以及如何建立这些规则并将它们分组在链中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter和 iptables 组成。
netfilter 组件也称为 内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成, 这些表包含内核用来控制信息包过滤处理的规则集。
iptables组件是一种工具,也称为 用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。 除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要从 netfilter.org 下载该工具并安装使用它。
通过使用用户空间,可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。 这些规则具有 目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。 如果某个信息包与规则匹配,那么使用目标 ACCEPT 允许该信息包通过。还可以使用目标 DROP 或 REJECT 来阻塞并杀死信息包。对于可对信息包执行的其它操作,还有许多其它目标。
根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被添加到 INPUT 链中。处理出站信息包的规则被添加到 OUTPUT 链中。处理正在转发的信息包的规则被添加到 FORWARD 链中。这三个链是基本信息包过滤表中内置的缺省主链。 另外,还有其它许多可用的链的类型(如 PREROUTING 和 POSTROUTING ), 以及提供用户定义的链。每个链都可以有一个 策略, 它定义“缺省目标”,也就是要执行的缺省操作,当信息包与链中的任何规则都不匹配时,执行此操作。
建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了。 这时内核空间从用户空间接管工作。当信息包到达防火墙时,内核先检查信息包的头信息,尤其是信息包的目的地。 我们将这个过程称为 路由。
如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将它传递到内核空间信息包过滤表的 INPUT 链。如果信息包源自系统内部或系统所连接的内部网上的其它源,并且此信息包要前往另一个外部系统, 那么信息包被传递到 OUTPUT 链。类似的,源自外部系统并前往外部系统的信息包被传递到 FORWARD 链。
接下来,将信息包的头信息与它所传递到的链中的每条规则进行比较,看它是否与某条规则完全匹配。 如果信息包与某条规则匹配,那么内核就对该信息包执行由该规则的目标指定的操作。 但是,如果信息包与这条规则不匹配,那么它将与链中的下一条规则进行比较。 最后,如果信息包与链中的任何规则都不匹配,那么内核将参考该链的策略来决定如何处理该信息包。 理想的策略应该告诉内核 DROP 该信息包。下图用图形说明了这个信息包过滤过程。
使用Iptables进行防火墙软件设计的解决方案。
由于Iptables已经有了完善的防火墙规则,我们只需要设计一个基于Iptables的Android前台即可,通过运行脚本,调用iptables设置防火墙规则即可。
大家可以学习下Droid wall的源代码
实质就是通过运行IPTABLES的脚本来实现防火墙规则的定制
- Android 网络防火墙的实现 Iptables解决方案
- android网络防火墙的实现iptables解决方案
- Android 网络防火墙的实现 Iptables解决方案
- Android 网络防火墙的实现 Iptables解决方案
- Android 网络防火墙的实现 Iptables解决方案
- Android 网络防火墙的实现-Iptables
- iptables实现网络防火墙(一)
- iptables实现网络防火墙(一)
- iptables实现网络防火墙(一)
- iptables实现网络防火墙及地址转换
- android 通过iptables设置网络防火墙
- 用Iptables实现Linux的防火墙功能
- iptables 防火墙实现
- iptables实现网络防火墙(二)——SNAT与DNAT
- iptables实现网络防火墙(二)——SNAT与DNAT
- iptables实现网络防火墙(二)——SNAT与DNAT
- Android网络防火墙实现初探
- Android网络防火墙实现初探
- JAVA常用操作语句----项目中的总结五
- ubuntu10.04使用软件安装
- 【原创】递归写的全排列
- STP,RSTP,MSTP比较
- 插入二进制图片
- Android 网络防火墙的实现 Iptables解决方案
- 解决.net绘制的 WinForm 在 windows7下变形的方法
- iterator
- 转自Normallife--Shadow Map种类
- c#学习(2):大图片的特效处理与获取屏幕任一点RGB值
- GridView添加小计行
- 解决bash: ifconfig: command not found
- 解决vs2008 sp1 创建工作流遇到“An error was encountered during code generation……”的问题
- nginx负载均衡和lvs负载均衡的比较分析
