感谢支持
我们一直在努力

大量存在于iptables模块中的BUG

iptables的maual的BUG一节:
BUGS
      Bugs?  What’s this? 😉 Well, you might want to have a look at http://bugzilla.netfilter.org/
OK,我去netfilter的bug站点…唉,这帮人啊!
我相信很多人都遇到过iptables规则无法删除的问题,比如我使用了xtables-addons中的condition这个match模块,当我成功设置了一个规则后:
iptables -t mangle -A PREROUTING -m condition –condition xtt -j ACCEPT
然后尝试用上述规则的D命令删除之:
iptables -t mangle -D PREROUTING -m condition –condition xtt -j ACCEPT
我得到了一个报错:
iptables: Bad rule (does a matching rule exist in that chain?).
然而如果我用rulenum的方式则可以成功删除!即先查找上述规则的rulenum,然后删除该num标示的规则就可以成功,但是这样就多了一个步骤,我将不能仅仅通过简单的A或者D控制一条规则的增加和删除,于是,我必须找出来到底是哪里出了问题。

iptables规则的布局
iptables规则保存在哪里呢?答案是保存在内核里面,并且一条规则处在一个连续的地址空间,布局大致如下:
元数据|match1|match2|…|target
注意,用户态是不保存规则的,每当你要删除一条规则的时候,你必须提供足够的你要删除的规则的详细信息,然后和内核中的规则群做比对,只有在精确匹配成功,即没有任何二义性的匹配成功后,该规则直接从内核中删除,具体的通信机制(Netlink,ioctl等)不重要,重要的是,iptables有多种删除规则的方式。

iptables规则的删除
1.按照rulenum删除
内核会为每一条保存进内核的iptables规则进行编号索引,该索引在特定的HOOK点/TABLE上是唯一的,因此使用rulenum进行删除不会有任何二义性。

2.精确匹配删除
精确匹配删除比较复杂,你必须给出规则的每一个细节,正如你当初添加该规则时一样,和添加动作唯一不同的是,你要把-A改成-D。这种精确匹配删除的成功依赖的就是用户提供的所有match字段,target字段必须和内核中保存的一模一样,精确到字节级别的匹配。如果哪怕有一个字节不匹配,就会有二义性,删除失败。

3.整表整链删除
当你调用iptables -t $table -F的时候,该表下面的所有规则就不复存在了,由于规则隶属于表,因此不会有二义性。整链删除含义类似,主要是由于,不管表也好,链也罢,都是具体规则的上级组织,正所谓皮之不存,毛将焉附!
问题之所在
以我实际碰到的问题为例,xt_condition的info结构体如下:

enum {
        CONDITION_NAME_LEN = 31,
};

struct xt_condition_mtinfo {
        char name[CONDITION_NAME_LEN];
        __u8 invert;

        /* Used internally by the kernel */
        void *condvar __attribute__((aligned(8)));
};

注意那个注释!condvar字段只用在内核。如果你用过condition模块,你会知道,它除了一个名称参数之外,不会携带任何参数,也就是说仅仅iptables的命令不会对condvar进行任何设置,默认可能是NULL,然而整个结构体,当然也包括condvar,在添加规则的时候,全都会被注入内核并被内核保存起来,condvar的赋值是在内核中进行的,它表示一个内核结构体的地址。

如果说现在使用精确匹配法则删除一条使用condition的规则,会怎样?内核中的该规则中的xt_condition_mtinfo结构体的condvar字段已经被赋值为一个内核态地址空间的地址,它会被用来和用户态的相同结构体进行字节级的比对,第一个字段name显然是精确匹配的,第二个字段也没有问题,condition_parse会处理得很好,然而第三个condvar字段就不匹配了,用户给出的规则中该字段为0,而内核态中该字段是一个地址!因此就会导致删除失败!

推荐阅读:

iptables—包过滤(网络层)防火墙 http://www.linuxidc.com/Linux/2013-08/88423.htm

Linux防火墙iptables详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables+L7+Squid实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm

iptables的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux下防火墙iptables用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm

证实问题

这个小节其实是无关紧要的,netfilter的hacker们早就修正了问题,但是那只是在编程层面上,而我需要在业务层面上去阐述问题,因为iptables的每一个match和每一个target,除了内置少数几个之外,都是模块的形式提供,并且出现无法删除问题的不仅仅是condition模块一个,有很多模块都有这个问题,因此我个人认为,这并不算iptables的bug,而只是各个模块的bug。

我在xt_condition.c内核文件侦测了规则到达内核后其xt_condition_mtinfo中condvar的值,我这里的结果是:0XFFFF88000A2D0BC0。那么在删除过程中,按照上述结构体的定义,肯定是在第33字节出现了不匹配,调试下来证实了这一点,内核结构体的第33字节是0xC0,而iptables根据用户敲入命令算出来的对应字节是0x0。好吧,我在condition_parse解析回调函数中为其硬编码:

static int condition_parse(int c, char **argv, int invert, unsigned int *flags,
                          const void *entry, struct xt_entry_match **match)
{
        struct xt_condition_mtinfo *info = (void *)(*match)->data;

        if (c == ‘X’) {
                if (*flags)
                        xtables_error(PARAMETER_PROBLEM,
                                  “Can’t specify multiple conditions”);

                if (strlen(optarg) < sizeof(info->name))
                        strcpy(info->name, optarg);
                else
                        xtables_error(PARAMETER_PROBLEM,
                                  “File name too long”);

                info->invert = invert;
#ifdef _DEBUG
                memset((char *)info+32, 0xC0, 1);
                memset((char *)info+33, 0x0B, 1);
                memset((char *)info+34, 0x2D, 1);
                memset((char *)info+35, 0x0A, 1);
                memset((char *)info+36, 0x00, 1);
                memset((char *)info+37, 0x88, 1);
                memset((char *)info+38, 0xFF, 1);
                memset((char *)info+39, 0xFF, 1);
#endif
                *flags = 1;
                return true;
        }

        return false;
}

这样在make install之后,就可以成功删除了!

问题的解决

出了什么问题我们已经看出来了,只需要告诉iptables,不要比对结构体的condvar字段就可以了,怎么做呢?iptables给出了接口,即xtables_match结构体的userspacesize字段,原始的condition模块给出的定义是:

.userspacesize  = XT_ALIGN(sizeof(struct xt_condition_mtinfo)),

显然这是不对的,而实际上它应该是:

.userspacesize  = XT_ALIGN(sizeof(struct xt_condition_mtinfo))-sizeof(…)-对齐…

有一种更好的办法,即:

.userspacesize  = offsetof(struct xt_condition_mtinfo, condvar ),

这样iptables就会忽略掉condvar字段的比对。

但是,这就意味着你不能随意布局match/target模块结构体中的字段,你必须将“内核专用”的字段全部放在结构体的最后面,然后用offsetof来取第一个这类字段的偏移,将其赋值给userspacesize,这无疑给编程人员带来了负担,我觉得这倒可以算是一个bug。如果开发人员不懂这个规矩,调试都是很难的。更加智能一点的方式是,在构建结构体的时候,让程序员指名字段的用途,或者干脆分成用户态,内核态两个结构体,用户填充后,iptables框架负责将其合并整合。

和其它bug不同的是,这个bug是大量存在的,并且不能一次性解决。如果你在http://bugzilla.netfilter.org上搜索相关的bug,会出现大量结果,涉及多个模块,一个模块修正了并不意味着另一个模块会被修正,虽然说两个模块的作者都犯了同样一个错误。比如,就针对condition模块而言,我在xtables-addons-1.46中第一次遇到它,发现了它的bug,后来下载了xtables-addons-2.2版本,该bug依然健在!

赞(0) 打赏
转载请注明出处:服务器评测 » 大量存在于iptables模块中的BUG
分享到: 更多 (0)

听说打赏我的人,都进福布斯排行榜啦!

支付宝扫一扫打赏

微信扫一扫打赏