带有vpn服务的Android防火墙
我正在尝试用vpnserviceforbs项目为android实现一个简单的防火墙。我选择VPN服务是因为它将在非根设备上工作。它将记录连接并允许您过滤连接。(基于IP)
有一个应用程序可以这样做。
谷歌play应用商店
我做了一些研究,发现VPN服务创建了一个Tun接口。没别的了。(没有VPN实现,只是一个隧道)它允许您向该接口提供地址并添加路由。它返回一个文件描述符。您可以读取传出包和写入传入包。
我创建了一个VpnService派生类并启动了该服务。我可以使用VPN服务配置tun0。生成器类。当我查看mobiwol与adb shell netcfg的连接时,它与10.2创建了一个tun0接口。3.4/32地址。它将所有包路由到此专用网络并发送到internet。我也在尝试。使用10.0创建了一个接口。0.2/32地址。添加了具有addRoute功能的路由。0.0.0.0/0,这样我就可以从我所了解的所有网络捕获所有包。(我对这门学科还很陌生,还在学习。我在网上找到了一些文章,所以我不是很确定。如果我错了,请纠正我。)
我在服务中创建了两个线程。一个从文件描述符中读取并将其写入127.0。0.1,带有受保护的插座。(我不确定是否应该读/写127.0.0.1。也许这就是问题所在。)
我分析了从文件描述符读取的数据包。例如:
01000101 byte:69 //ipv4 20byte header
00000000 byte:0 //TOS
00000000 byte:0 //Total Length
00111100 byte:60 //Total Length
11111100 byte:-4 //ID
11011011 byte:-37 //ID
01000000 byte:64 //fragment
00000000 byte:0 //"
01000000 byte:64 //TTL
00000110 byte:6 //Protocol 6 -> TCP
01011110 byte:94 //Header checksum
11001111 byte:-49 //Header checksum
00001010 byte:10 //10.0.0.2
00000000 byte:0
00000000 byte:0
00000010 byte:2
10101101 byte:-83 //173.194.39.78 //google
00111110 byte:-62
00100111 byte:39
******** byte:78
10110100 byte:-76 // IP option
01100101 byte:101
00000001 byte:1
10111011 byte:-69
//20byte IP haeder
01101101 byte:109
. . //40byte data (i couldnt parse TCP header,
I think its not needed when I route this in IP layer)
. .
. .
00000110 byte:6
我在其余的数据中没有找到任何其他IP头。我认为10.0之间应该有一个封装。0.2网络到本地网络(192.168.2.1)和互联网。我不确定。
我真正的问题是我卡在了传入包线程上。我什么都看不懂。没有回应。正如您在屏幕截图中看到的,没有传入数据:
截图
我正在尝试从写127.0时使用的同一个连接进行读取。0.1,带受保护的插座。
Android系统
所有包裹
我找不到任何关于VPN服务的有用信息。(ToyVPN示例毫无用处)我阅读了关于Linux隧道/Tap的文档,但它是关于主机和远程之间的隧道。我希望主机和远程设备在同一台设备上。不像隧道。
我该怎么做呢?
编辑:请求代码。它处于非常早期的阶段。正如我前面提到的,它是一个VPN服务派生类。在服务线程中创建2个线程(读和写)。
package com.git.firewall;
public class GITVpnService extends VpnService implements Handler.Callback, Runnable {
private static final String TAG = "GITVpnService";
private String mServerAddress = "127.0.0.1";
private int mServerPort = 55555;
private PendingIntent mConfigureIntent;
private Handler mHandler;
private Thread mThread;
private ParcelFileDescriptor mInterface;
@Override
public int onStartCommand(Intent intent, int flags, int startId) {
// The handler is only used to show messages.
if (mHandler == null) {
mHandler = new Handler(this);
}
// Stop the previous session by interrupting the thread.
if (mThread != null) {
mThread.interrupt();
}
// Start a new session by creating a new thread.
mThread = new Thread(this, "VpnThread");
mThread.start();
return START_STICKY;
}
@Override
public void onDestroy() {
if (mThread != null) {
mThread.interrupt();
}
}
@Override
public boolean handleMessage(Message message) {
if (message != null) {
Toast.makeText(this, (String)message.obj, Toast.LENGTH_SHORT).show();
}
return true;
}
@Override
public synchronized void run() {
try {
Log.i(TAG, "Starting");
InetSocketAddress server = new InetSocketAddress(
mServerAddress, mServerPort);
run(server);
} catch (Exception e) {
Log.e(TAG, "Got " + e.toString());
try {
mInterface.close();
} catch (Exception e2) {
// ignore
}
Message msgObj = mHandler.obtainMessage();
msgObj.obj = "Disconnected";
mHandler.sendMessage(msgObj);
} finally {
}
}
DatagramChannel mTunnel = null;
private boolean run(InetSocketAddress server) throws Exception {
boolean connected = false;
android.os.Debug.waitForDebugger();
// Create a DatagramChannel as the VPN tunnel.
mTunnel = DatagramChannel.open();
// Protect the tunnel before connecting to avoid loopback.
if (!protect(mTunnel.socket())) {
throw new IllegalStateException("Cannot protect the tunnel");
}
// Connect to the server.
mTunnel.connect(server);
// For simplicity, we use the same thread for both reading and
// writing. Here we put the tunnel into non-blocking mode.
mTunnel.configureBlocking(false);
// Authenticate and configure the virtual network interface.
handshake();
// Now we are connected. Set the flag and show the message.
connected = true;
Message msgObj = mHandler.obtainMessage();
msgObj.obj = "Connected";
mHandler.sendMessage(msgObj);
new Thread ()
{
public void run ()
{
// Packets to be sent are queued in this input stream.
FileInputStream in = new FileInputStream(mInterface.getFileDescriptor());
// Allocate the buffer for a single packet.
ByteBuffer packet = ByteBuffer.allocate(32767);
int length;
try
{
while (true)
{
while ((length = in.read(packet.array())) > 0) {
// Write the outgoing packet to the tunnel.
packet.limit(length);
debugPacket(packet); // Packet size, Protocol, source, destination
mTunnel.write(packet);
packet.clear();
}
}
}
catch (IOException e)
{
e.printStackTrace();
}
}
}.start();
new Thread ()
{
public void run ()
{
DatagramChannel tunnel = mTunnel;
// Allocate the buffer for a single packet.
ByteBuffer packet = ByteBuffer.allocate(8096);
// Packets received need to be written to this output stream.
FileOutputStream out = new FileOutputStream(mInterface.getFileDescriptor());
while (true)
{
try
{
// Read the incoming packet from the tunnel.
int length;
while ((length = tunnel.read(packet)) > 0)
{
// Write the incoming packet to the output stream.
out.write(packet.array(), 0, length);
packet.clear();
}
}
catch (IOException ioe)
{
ioe.printStackTrace();
}
}
}
}.start();
return connected;
}
private void handshake() throws Exception {
if (mInterface == null)
{
Builder builder = new Builder();
builder.setMtu(1500);
builder.addAddress("10.0.0.2",32);
builder.addRoute("0.0.0.0", 0);
//builder.addRoute("192.168.2.0",24);
//builder.addDnsServer("8.8.8.8");
// Close the old interface since the parameters have been changed.
try {
mInterface.close();
} catch (Exception e) {
// ignore
}
// Create a new interface using the builder and save the parameters.
mInterface = builder.setSession("GIT VPN")
.setConfigureIntent(mConfigureIntent)
.establish();
}
}
private void debugPacket(ByteBuffer packet)
{
/*
for(int i = 0; i < length; ++i)
{
byte buffer = packet.get();
Log.d(TAG, "byte:"+buffer);
}*/
int buffer = packet.get();
int version;
int headerlength;
version = buffer >> 4;
headerlength = buffer & 0x0F;
headerlength *= 4;
Log.d(TAG, "IP Version:"+version);
Log.d(TAG, "Header Length:"+headerlength);
String status = "";
status += "Header Length:"+headerlength;
buffer = packet.get(); //DSCP + EN
buffer = packet.getChar(); //Total Length
Log.d(TAG, "Total Length:"+buffer);
buffer = packet.getChar(); //Identification
buffer = packet.getChar(); //Flags + Fragment Offset
buffer = packet.get(); //Time to Live
buffer = packet.get(); //Protocol
Log.d(TAG, "Protocol:"+buffer);
status += " Protocol:"+buffer;
buffer = packet.getChar(); //Header checksum
String sourceIP = "";
buffer = packet.get(); //Source IP 1st Octet
sourceIP += buffer;
sourceIP += ".";
buffer = packet.get(); //Source IP 2nd Octet
sourceIP += buffer;
sourceIP += ".";
buffer = packet.get(); //Source IP 3rd Octet
sourceIP += buffer;
sourceIP += ".";
buffer = packet.get(); //Source IP 4th Octet
sourceIP += buffer;
Log.d(TAG, "Source IP:"+sourceIP);
status += " Source IP:"+sourceIP;
String destIP = "";
buffer = packet.get(); //Destination IP 1st Octet
destIP += buffer;
destIP += ".";
buffer = packet.get(); //Destination IP 2nd Octet
destIP += buffer;
destIP += ".";
buffer = packet.get(); //Destination IP 3rd Octet
destIP += buffer;
destIP += ".";
buffer = packet.get(); //Destination IP 4th Octet
destIP += buffer;
Log.d(TAG, "Destination IP:"+destIP);
status += " Destination IP:"+destIP;
/*
msgObj = mHandler.obtainMessage();
msgObj.obj = status;
mHandler.sendMessage(msgObj);
*/
//Log.d(TAG, "version:"+packet.getInt());
//Log.d(TAG, "version:"+packet.getInt());
//Log.d(TAG, "version:"+packet.getInt());
}
}
共有2个答案
也许寻找像OpenVpn这样的开源项目更好。它工作在API级别14(冰淇淋沙地)没有根访问。
几个月前有人问了一个类似的问题,虽然那里的答案不是很有见地,但被接受的答案中的评论让我们对可能出现的问题有了一些了解。
您应该记住您的逻辑位于OSI模型的哪一层:
>
VPN服务的传入和传出流位于网络层;正如您在问题中所描述的,您正在接收(并且应该反过来发送)原始IP数据包。
在示例字节流中,您可以看到传入字节流是IPv4数据报,因为前四位是0100(4)。有关IPv4的详细信息,请参阅此数据包结构规范。
当转发请求时,您处于应用程序层;您应该分别使用DatagramSocket或Socket传输UDP或TCP有效负载的内容(即仅传输其数据,而不是标头本身)。
请记住,这跳过了传输层,因为这些实现负责构建UDP报头(在DatagramSocket的情况下)和TCP报头和选项(在Socket的情况下)。
您的应用程序基本上需要能够解释和构造IPv4和IPv6报头和选项,以及作为IP负载的UDP报头和TCP报头和选项。
-
熟悉防火墙的都知道,防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务(FireWall as a Service)也是在网络节点上(具体说来是在路由器命名空间中)来实现。 目前,OpenStack 中实现防火墙还是基于 Linux 系统自带的 iptables,所以大家对于其性能和功能就不要抱太大的期望了。 一个可能混淆的概念是安全组(Security Group),安全组的对象是
-
问题内容: 我正在尝试使用VpnService for BS项目为Android实现一个简单的防火墙。我选择VpnService,因为它将在非root用户的设备上运行。它将记录连接并让您过滤连接。(基于IP) 有一个应用程序可以这样做。 GooglePlay应用商店 我进行了一些研究,发现VpnService创建了Tun接口。而已。(没有VPN实现只是一个隧道)它使您可以对此接口进行地址分配并添加
-
我怎样才能禁用Debian的保护来允许外部玩家加入我的服务器?
-
我不清楚该怎么做。
-
基本概念 netfilter Linux 内核包含一个强大的网络过滤子系统 netfilter。netfilter 子系统允许内核模块对遍历系统的每个网络数据包进行检查。这表示在任何传入、传出或转发的网络数据包到达用户空间中的组件之前,都可以通过编程方式检查、修改、丢弃或拒绝。netfilter 是 RHEL 7 计算机上构建防火墙的主要构建块。 尽管系统管理员理论上可以编写自己的内核模块以与 n
-
问题。我正在寻找一种敏捷的方法来将docker容器(存储在gcr.io上)拍摄到GCP上的托管服务: null 我理想的平台是云运行,但也是GAE工作。 我想以敏捷的方式开发(比如用2-3行代码部署),它是否可能秘密地运行我的服务,但超级容易?我们不是在谈论一个巨大的生产项目,我们是在谈论玩和写一个POC,你想通过互联网安全地分享给几个朋友,确保世界其他地方得到一个403。 到目前为止我所尝试的。