14

我试图通过 python 检索系统上配置的当前 iptables 链。如果我 strace iptables 命令,它会输出:

strace iptables -L INPUT
socket(PF_INET, SOCK_RAW, IPPROTO_RAW)  = 3
getsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\377`\2\351\1\0\210\377\377\210}\313\276\0\210\377\377\354\206\0\201\377\377\377\377"..., [84]) = 0

此处的完整输出:http: //pastebin.com/e7XEsaZV

在 python 中,我创建了套接字 obj 并尝试调用 getsockopt 并出现错误:

>>> s = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_RAW)
>>> s.getsockopt(socket.SOL_IP, 0x40)
Traceback (most recent call last):
  File "<pyshell#46>", line 1, in <module>
    s.getsockopt(socket.SOL_IP, 0x40)
  File "/usr/lib/python2.7/socket.py", line 224, in meth
    return getattr(self._sock,name)(*args)
error: [Errno 22] Invalid argument
>>>
>>> s = socket.socket(2, socket.SOCK_RAW, socket.IPPROTO_RAW)
>>> s.getsockopt(socket.SOL_IP, 0x41)
Traceback (most recent call last):
  File "<pyshell#48>", line 1, in <module>
    s.getsockopt(socket.SOL_IP, 0x41)
  File "/usr/lib/python2.7/socket.py", line 224, in meth
    return getattr(self._sock,name)(*args)
error: [Errno 22] Invalid argument
>>>

这是不可能的吗?

4

2 回答 2

18

你见过python-iptables吗?

Python-iptables 为 Linux 下的 iptables 提供了 python 绑定。与 iptables 的互操作性是通过使用 iptables C 库(libiptc、libxtables 和 iptables 扩展)实现的,而不是调用 iptables 二进制文件并解析其输出。

于 2011-05-05T02:14:22.817 回答
0

错误 22 的原因很明显。getsockopt()使用类型调用IPT_SO_GET_INFO需要指向的指针的第三个参数struct ipt_getinfo。该结构在我的 Linux 中具有包含文件/usr/include/linux/netfilter_ipv4/ip_tables.h

此外,还有更多的要求。为调用提供的缓冲区大小getsockopt()需要与结构的大小相匹配,在我的机器中为 84 字节。为什么这个调用真的失败是结构成员的要求.name 必须表明你有兴趣查询哪个表。表名未指定大小和随机字节将导致此错误 22。

使用 Python,最终这一切都失败了,因为没有 API 可以输入用户定义的字节作为getsockopt(). 假设IPT_SO_GET_INFO可行,下一步自然是读取带有 a 的表的所有链IPT_SO_GET_ENTRIES,这在 ​​Python 中也是不可能的。Pythongetsockopt()不允许缓冲区大于 1024 字节。在任何使用 IPtables 的真实 Linux 中,链式规则很容易超过 1 KiB 的限制。

关于如何阅读 IPtables 规则的一个很好的 C 示例位于https://github.com/mozilla/rr/blob/master/src/test/netfilter.c

于 2020-01-19T14:29:34.547 回答