本篇文章参考《Linux Observability with BPF》中第7章的例子,主要功能是借助于ip命令作为前端,对其他主机访问tcp的8000端口进行限制,这里需要使用较新版本的iproute2软件工具包.
下载编译iproute2 工具包,使用最新的ip命令,支持配置xdp
git clone git://git.kernel.org/pub/scm/linux/kernel/git/shemminger/iproute2.git
在编译iproute2时,需要开启支持libbpf的选项信息,在iproute2目录下配置使用下面的配置选项信息
./configure --libbpf_force=on --LIBBPF_DIR=/usr/local/lib64
执行上面的命令,可能出现下面的错误信息,
确定libbpf的pk-config配置文件位置,/usr/local/lib64/pkgconfig/libbpf.pc 使用
export PKG_CONFIG_PATH=/usr/local/lib64/pkgconfig/ 导入libbpf的配置文件,
使用pkg-config --list-all | grep libbpf 查看是否配置libbpf
然后执行,make && make install 进行安装。
编写bpf程序
本bpf程序对于访问本机的tcp的协议的8000端口进行限制,
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/in.h>
#include <linux/ip.h>
#include <linux/if_packet.h>
#include <bpf/bpf_helpers.h>
#include <linux/if_vlan.h>
#include <linux/types.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_endian.h>
static __always_inline int get_dport(void *trans_data, void *data_end, int protocol)
{
struct tcphdr *th;
struct udphdr *uh;
switch (protocol) {
case IPPROTO_TCP:
th = (struct tcphdr *)trans_data;
if ((void*)(th + 1) > data_end)
return -1;
return th->dest;
case IPPROTO_UDP:
uh = (struct udphdr *)trans_data;
if ((void *)(uh + 1) > data_end)
return -1;
return uh->dest;
default:
return 0;
}
}
SEC("mysection")
int myprogram(struct xdp_md *ctx) {
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
char fmt[] = "source = %d \n";
struct iphdr *ip;
int dport;
int hdport;
struct ethhdr *eth = data;
struct iphdr *iph = data + sizeof(struct ethhdr);
if ((void *)(iph + 1) > data_end) {
return XDP_DROP;
}
dport = get_dport(iph + 1, data_end,iph->protocol);
if (dport == -1 || dport == bpf_htons(8000)) {
bpf_trace_printk(fmt,sizeof(fmt),bpf_ntohs(dport));
return XDP_DROP;
}
return XDP_PASS;
}
char _license [] SEC ("license") = "GPL";
使用下面的命令进行编译:clang -g -c -O2 -target bpf -c program.c -o program.o
编译完成后,使用下面的ip命令对某个网卡进行价值xdp文件。
ip link set dev eth0 xdp obj program.o sec mysection
通过上面的命令加载后,在接口上出现加载的xdp的类型和ID,表明加载成功。
使用python3 -m http.server在本地主机上其中http服务器,并监听8000端口。
使用另一台主机上使用nmap命令扫描对方监听的端口。nmap -sS 10.9.4.222,扫描结果如下:
ip link set dev eth0 xdp off 关闭加载的xdp程序。再次使用nmap扫描