登录
    最新消息:
    你的位置:爱开源 > kernel > 通过 modprobe 彻底禁用 netfilter

    通过 modprobe 彻底禁用 netfilter

    kernel admin 4933浏览 0评论

    要禁用 iptables 很简单,曲线救国,禁用掉模块就好了:
    $ cat /etc/modprobe.d/blacklist-iptables.conf
    alias ip_tables off

    alias iptable off
    alias iptable_nat off
    alias iptable_filter off

    alias nf_nat off
    alias nf_conntrack_ipv4 off
    alias nf_conntrack off
    alias nf_defrag_ipv4 off

    alias x_tables off

    alias xt_limit off
    alias xt_tcpudp off
    alias xt_multiport off

    alias ipt_REJECT off
    alias ipt_LOG off

    再启用上面的文件之前,记得先把 iptables 规则清空、rmmod 掉对应的模块。这也是另外一种防止 『dropping packet』 的方式。
    netfilter 的模块在 /lib/modules/2.6.32-38-server/kernel/net/ipv4/netfilter/ 里面。

    通过 systool 可以看到被加载模块的 section:
    # systool  -v -m ip_tables
    Module = “ip_tables”

    Attributes:
    initstate           = “live”
    refcnt              = “1”
    srcversion          = “DC18D42211BCD06DB350605”

    Sections:
    .bss                = “0xffffffffa0032d60”
    .data               = “0xffffffffa00328e0”
    .data.read_mostly   = “0xffffffffa0032980”
    .exit.text          = “0xffffffffa00324fc”
    .gnu.linkonce.this_module= “0xffffffffa0032b00”
    .init.text          = “0xffffffffa000c000”
    .note.gnu.build-id  = “0xffffffffa0032568”
    .parainstructions   = “0xffffffffa0032650”
    .ref.text           = “0xffffffffa0032550”
    .rodata             = “0xffffffffa00325a0”
    .rodata.str1.1      = “0xffffffffa00325c8”
    .rodata.str1.8      = “0xffffffffa0032680”
    .strtab             = “0xffffffffa000cf78”
    .symtab             = “0xffffffffa000c0c0”
    .text               = “0xffffffffa002f000”
    __kcrctab           = “0xffffffffa0032770”
    __ksymtab           = “0xffffffffa0032740”
    __ksymtab_strings   = “0xffffffffa0032788”
    __mcount_loc        = “0xffffffffa00327c0”
    查看当前模块的所有的详细情况:
    $ modprobe -c | less

    module 也有  Alias 一说,因此 “alias my-mod really_long_modulename” 意味着你可以使用 “modprobe my-mod” 而非 “modprobe really_long_modulename” 来加载模块。所以上面的 off 就好理解了。

    跟 module 相关的还有个 blacklist 概念:
    $ cat /etc/modprobe.d/blacklist-iptables.conf
    blacklist ip_tables

    blacklist iptable
    blacklist iptable_nat
    blacklist iptable_filter

    blacklist nf_nat
    blacklist nf_conntrack_ipv4
    blacklist nf_conntrack
    blacklist nf_defrag_ipv4

    blacklist x_tables

    blacklist xt_limit
    blacklist xt_tcpudp
    blacklist xt_multiport

    blacklist ipt_REJECT
    blacklist ipt_LOG

    这个可以在系统启动的时候禁止加载这个模块,但是,尽管启动的时候禁掉了,但是如果在进入系统之后执行:
    # iptables -L -n

    系统又会自动加载诸如:
    iptable_filter          1841  0
    ip_tables              18201  1 iptable_filter
    x_tables               22361  1 ip_tables
    等模块,因此这种方式并不是很好。顺便提一句,使用 “blacklist” 可能会遇到依赖的问题,因此使用下面这个方式会比上面的这个更好:
    install MODULE_NAME /bin/false

    ref:

    https://wiki.archlinux.org/index.php/Kernel_modules

     

    相关文章

    转载请注明:爱开源 » 通过 modprobe 彻底禁用 netfilter

    与本文相关的文章

    您必须 登录 才能发表评论!