开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > 防火墙与安全工具 > 查看源码
Ipfilter.cpp
资源名称:Firewall防火墙.rar [点击查看]
上传用户:heseme
上传日期:2009-12-23
资源大小:228k
文件大小:73k
源码类别:

防火墙与安全工具

开发平台:

Visual C++

Ipfilter.cpp:源码内容
  1. //对日志和流量统计都将有所改变
  2. //IP源路由
  3. //注意:类表仅仅用于对内网主机的设置
  4. //内网访问的是允许表
  5. //注意:覆盖表是当内网到外网时使用的对外部主机ip地址的设置(仅当tcp使用)
  6. #include "StdAfx.h"
  7. #include "ip.h"
  8. #include "ipfilter.h"
  9. #include "winsock2.h"
  10. #include "Struct.h"
  11. #ifdef _DEBUG
  12. #define new DEBUG_NEW
  13. #undef THIS_FILE
  14. static char THIS_FILE[] = __FILE__;
  15. #endif
  16. extern DefaultSetData TheDefaultSetData;
  17. struct LogView  logview;
  18. struct LogViewIcmp  logviewIcmp;
  19. extern USHORT logType;
  21.  Statistics filterstats = { NO };  //缺省运行状态
  22.  FilterConfig filtercfg = { DEFAULT_SYSL_MASK }; //缺省日志掩码
  23.  ULONG ptrs_initialized = 0;      
  24.  ULONG initialized = NO;
  25. extern HWND myhWnd1;
  27.  pointerStruct active, newspace;
  28.  FILE *hlogFile,*statFile;
  29.  int filtercount=0;
  30.  struct pkt_struct *mtodPkt(BYTE *r);
  31.  static void freeOutTree (OutaddrTreeNode *tbl, unsigned char level);
  32.  VOID GetStatisticsInfo(Statistics* StatisticInfo);
  33.  USHORT treeOutLookup (OutaddrTreeNode *tbl, ULONG addr, unsigned short max_group);
  34.  static void 
  35.  syslogMessage(unsigned char eventNo,ULONG protocolNo=NULL,ULONG srcAddr=NULL,
  36.   ULONG dstAddr=NULL, unsigned short srcPort=NULL,unsigned short dstPort=NULL,
  37.   unsigned char icmptype=NULL,UCHAR dostype=NULL);
  38.  void writestatistic();
  39.  VOID clearipfilter();
  40.  //释放主结构空间
  41.  static void freeAllPointers (pointerStruct *p);
  42. //初始化主结构,将groups设置为1(1各主机类)
  43.  static ULONG  initTables (pointerStruct *p, unsigned short groups);
  44. //释放地址树空间(pointerStruct中的指针)
  45.  static void freeTree (addrTreeNode *tbl, unsigned char level);
  46. //现在使用的函数
  47. static ULONG
  48. OutnetaddToTree(OutaddrTreeNode *tbl, in_addr_t addr,/*主机类起始地址,*/ 
  49. unsigned short hostnums,/*从主机类起始地址开始的主机数,*/
  50. unsigned short group/*组号与端口列表的组号一至*/);
  51. static ULONG
  52. GjaddToTree(addrTreeNode *tbl, in_addr_t addr/*主机类起始地址*/, 
  53. unsigned short hostnums/*从主机类起始地址开始的主机数*/,
  54. unsigned short group/*组号与端口列表的组号一至*/);
  55. //将portListReq结构中的端口列表添加到(pointerStruct的)PortListEntry结构中
  56. static ULONG copyGroup (portListReq *u, PortListEntry *kptr);
  57. //设置端口列表请求到主结构中
  58. static ULONG portListRequest (portListReq *u, pointerStruct *p);
  59. //添加地址表请求
  60. static ULONG addrTreeRequest (addrTreeReq *u);
  61. //添加拒绝表请求(到主结构)
  62. static ULONG rejaccTableRequest (ULONG id, rejaccTableReq *u, pointerStruct *p);
  63. static int
  64. OutrejaccTableRequest(int id, rejaccTableReq *u, pointerStruct *p);
  65. //添加覆盖表请求
  66. static ULONG overrideTableRequest (overrideTableReq *u, pointerStruct *p);
  67. //重设(主结构)请求;更新当前配置
  68. static ULONG manageTablesRequest (manageTablesReq *u);
  69. //收索对应的地址
  70. USHORT treeLookup (addrTreeNode *tbl, ULONG addr, unsigned short max_group);
  71. //检查入站的tcp包
  72. static ULONG checkIncomingTcp (ULONG srcAddr, ULONG dstAddr,
  73.  unsigned short srcPort, unsigned short dstPort);
  74. //检查出站的tcp包
  75. static ULONG checkOutgoingTcp (ULONG srcAddr, ULONG dstAddr,
  76.  unsigned short srcPort, unsigned short dstPort);
  77. //检查入站的udp
  78. static ULONG checkIncomingUdp (ULONG srcAddr, ULONG dstAddr,
  79.  unsigned short srcPort, unsigned short dstPort);
  80. //检查出站udp
  81. static ULONG checkOutgoingUdp (ULONG srcAddr, ULONG dstAddr,
  82.  unsigned short srcPort, unsigned short dstPort);
  83. //检查入站的icmp类型
  84. static ULONG checkIncomingIcmp (ULONG srcAddr, ULONG dstAddr, unsigned char type);
  85. //检查入站的icmp类型
  86. static ULONG checkOutgoingIcmp (ULONG srcAddr, ULONG dstAddr, unsigned char type);
  87. //检查入DM的tcp(无)
  88. static ULONG checkIncomingDMTcp (ULONG srcAddr, ULONG dstAddr,
  89.  unsigned short srcPort, unsigned short dstPort);
  90. //检查入DM的udp(无)
  91. static ULONG checkIncomingDMUdp (ULONG srcAddr, ULONG dstAddr,
  92.  unsigned short srcPort, unsigned short dstPort);
  93. //检查入DM的icmp(无)
  94. static ULONG checkIncomingDMIcmp(ULONG srcAddr, ULONG dstAddr, unsigned char type);
  95. //检查拒绝表
  96. static ULONG checkRejectTable (ip *ipHeader, ULONG srcAddr, ULONG dstAddr);
  97. //static ULONG checkIncomingPacket (unsigned char *pkt,unsigned char protolen);
  98. //检查入站包
  99. static ULONG checkIncomingPacket(USHORT,BYTE*,ULONG,ULONG);
  100. //检查允许表
  101. static ULONG checkAcceptTable (struct ip *ipHeader, ULONG srcAddr, ULONG dstAddr);//END:GJ
  102. //检查出站包
  103. static ULONG checkOutgoingPacket (unsigned short protocol,unsigned char *pkt,unsigned short protolen);
  104. //现无
  105. static ULONG checkIncomingDM(ULONG srcAddr, ULONG dstAddr,
  106.  unsigned short srcPort, unsigned short dstPort,UCHAR from);
  107. //初始化包过滤请求
  108. static ULONG initRequest (initReq *req);
  109. //校验和
  110. extern USHORT  GetCksum(USHORT* buffer,int size);
  111. USHORT in_cksum_tcp(BYTE *buffer);//gj
  112. BOOL   in_cksum_hdr(BYTE* buffer);
  113. //input eth and calculate checksum
  114. struct pkt_struct *mtodPkt(BYTE *r)
  115. {
  116.     struct pkt_struct *pkt;
  117. pkt=(struct pkt_struct *)r[14];
  118.     return pkt;
  119. }
  121. //input eth and calculate checksum
  122. USHORT in_cksum_tcp(BYTE* buffer)
  123. {
  124.     //BYTE* tempbuffer;
  125. USHORT  tcpleng;
  126. USHORT  tcpchecksum;
  127. USHORT*  tempushort;
  128. USHORT  IPleng;
  129. //
  130. BYTE*   tempbuffer;
  131. //set checksum=0;
  132. buffer[34+16] = 0;
  133. buffer[34+17] = 0;
  135.     //getIPleng(total)
  136.     ((BYTE*)(&IPleng))[0] = buffer[17];
  137.     ((BYTE*)(&IPleng))[1] = buffer[16];
  138. //get tcpleng(total)
  139. tcpleng = IPleng - 20;
  140.     
  141. //get pseudo head
  142. tempbuffer = new BYTE[tcpleng+12];
  143. memcpy(tempbuffer+12,buffer+34,tcpleng);
  144. tempbuffer[0] = buffer[26];
  145. tempbuffer[1] = buffer[27];
  146. tempbuffer[2] = buffer[28];
  147. tempbuffer[3] = buffer[29];
  148. tempbuffer[4] = buffer[30];
  149. tempbuffer[5] = buffer[31];
  150. tempbuffer[6] = buffer[32];
  151. tempbuffer[7] = buffer[33];
  152.         tempbuffer[8] = 0;
  153. tempbuffer[9] = 6;
  154. tempbuffer[10] = ((BYTE*)(&tcpleng))[1];
  155. tempbuffer[11] = ((BYTE*)(&tcpleng))[0];
  156.         
  157. tempushort = (USHORT*) tempbuffer;
  158. tcpchecksum = GetCksum(tempushort, tcpleng+12);
  159. buffer[34+16] = ((BYTE*)(&tcpchecksum))[0];
  160. buffer[34+17] = ((BYTE*)(&tcpchecksum))[1];
  161. return tcpchecksum;
  162. }
  165. //input eth and calculate checksum
  166. BOOL in_cksum_hdr(BYTE* buffer)
  167. {
  168. BYTE* tempbufferttt;
  169. USHORT* tempushortbuffer;
  170. USHORT  checksum;
  172. tempbufferttt = &buffer[14];
  173. tempushortbuffer = (USHORT* )tempbufferttt;
  174. tempushortbuffer[5] = 0;
  175.     checksum = GetCksum(tempushortbuffer,20);
  176. tempushortbuffer[5] = checksum;
  178.     return TRUE;
  179. }
  180. /*
  181. //input buffer  and calculate checksum
  182. USHORT  GetCksum(USHORT* buffer,ULONG size)
  183. {
  184. DWORD cksum;
  185. USHORT OddByte;
  187. cksum=0;
  188. while(size>1)
  189. {
  190. cksum+=*buffer++;
  191. size-=2;
  192. }
  193. if(size==1)
  194. {
  195.         OddByte = 0;
  196. *((unsigned char*)&OddByte)= *(unsigned char*)buffer;
  197. cksum+=OddByte;
  198. }
  199. cksum=(cksum>>16)+(cksum&0xffff);
  200. cksum+=(cksum>>16);
  201. cksum=~cksum;
  203.     return (unsigned short)cksum;
  204. }
  205. */
  208. static ULONG checkIncomingDM(ULONG srcAddr, ULONG dstAddr,
  209.  unsigned short srcPort, unsigned short dstPort,UCHAR from)
  210. {
  211. USHORT group;
  212. //查找目的地址是否是组播
  213. if (IN_CLASSD(dstAddr)) //0xe0000000~0xef000000
  214. {
  215. if (filtercfg.discardMulticast)
  216. {
  217. filterstats.f_insideMcast++;
  218. syslogMessage(SYSL_OUT_CLASSD,IP_PROTO_TCP,
  219. srcAddr, dstAddr, srcPort, dstPort);
  220. return DISCARD_PKT;
  221. }
  222. return ALLOW_PKT;
  223. }
  224.     if(from=FROMOUT)
  225.    group = treeOutLookup(active.Out_DmTree, srcAddr, active.num_groups);
  226. else
  227.    group = treeLookup(active.In_DmTree, srcAddr, active.num_groups);
  228.     if(group==1)
  229.        return ALLOW_PKT;
  230. syslogMessage(SYSL_IN_REJECT,NULL,
  231.          srcAddr, dstAddr);
  232.     return DISCARD_PKT;
  233. }
  235. // 所有参数都是主机顺序。
  236. // 注意:如果下面的表改变,在ipfilter.h中的enum结构也要改变。
  237. // 注意: DM的日志
  238. // log函数
  239. static SyslogMessageEntry syslogMessages[] = {
  240. { "入组播", LOG_WARNING },// SYSL_IN_CLASSD,
  241. { "出组播", LOG_WARNING },// SYSL_OUT_CLASSD,
  242. { "入端口", LOG_WARNING },// SYSL_IN_PORT,
  243. { "出端口", LOG_WARNING },// SYSL_OUT_PORT, /* only TCP */
  244. { "入协议头太短", LOG_WARNING },// SYSL_IN_LENGTH, /* TCP/UDP-Header maybe not initialized */
  245. { "出协议头太短", LOG_WARNING },// SYSL_IN_DOS, /* denial of service attack packet in */
  246. { "入ICMP类型", LOG_WARNING },// SYSL_IN_TYPE, /* only srcAddr, dstAddr, and icmp type */
  247. { "出ICMP类型", LOG_WARNING },// SYSL_OUT_TYPE, /* only srcAddr, dstAddr, and icmp type */
  248. { "入拒绝IP", LOG_WARNING },// SYSL_IN_REJECT, /* only protocolNo, srcAddr and dstAddr */
  249. { "出拒绝IP", LOG_WARNING },// SYSL_OUT_ACCEPT, /* only protocolNo, srcAddr and dstAddr */
  250. { "入非IP", LOG_NOTICE  },// SYSL_IN_PROT, /* only protocolNo, srcAddr and dstAddr */
  251. { "出非IP", LOG_WARNING },// SYSL_OUT_PROT, /* only protocolNo, srcAddr and dstAddr */
  252. { "入偏移量为1", LOG_WARNING },// SYSL_IN_OFFSET, /* suspect fragment offset */
  253. { "出偏移量为1", LOG_WARNING },// SYSL_OUT_OFFSET, /* suspect fragment offset */
  254. { "入分段", LOG_WARNING },// SYSL_IN_FRAG, /* fragmented packet */
  255. { "出分段", LOG_WARNING },// SYSL_OUT_FRAG, /* fragmented packet */
  256. { "入D_O_S攻击", LOG_WARNING },// SYSL_IN_DOS, /* denial of service attack packet in */
  257. { "出D_O_S攻击", LOG_WARNING },// SYSL_OUT_DOS, /* denial of service attack packet out */
  258. {"原路由攻击",LOG_WARNING},
  259. {"入ICMP",LOG_WARNING},
  260. {"出ICMP",LOG_WARNING},
  261. {"入IGMP",LOG_WARNING},
  262. {"出IGMP",LOG_WARNING},
  263. };
  265. static const char *syslogDosTypes[] = { ""Smurf"", ""Pong"" };
  266. //Config.cpp中添加日志请求
  267. static void
  268. syslogMessage(unsigned char eventNo,ULONG protocolNo,ULONG srcaddr,
  269.   ULONG dstaddr, unsigned short srcport,unsigned short dstport,
  270.   unsigned char icmptype,UCHAR dostype)
  271. {
  273. //如果该日志被禁止,就返回。
  274. if ( !((1UL << eventNo) & filtercfg.logMask))
  275. return;
  276. char tempchar[10];
  277. SYSTEMTIME  SystemTime;
  278. GetLocalTime(&SystemTime);
  279. char cdstaddr[16];
  280. char csrcaddr[16];
  281.     struct in_addr dstin,srcin;
  282. dstin.S_un.S_addr=htonl(dstaddr);
  283. srcin.S_un.S_addr=htonl(srcaddr);
  284.     memcpy(cdstaddr,inet_ntoa(dstin),16);
  285.     memcpy(csrcaddr,inet_ntoa(srcin),16);
  286. switch ( eventNo ) {
  287. case SYSL_IN_OFFSET:
  288. case SYSL_OUT_OFFSET:
  289. case SYSL_IN_FRAG:
  290. case SYSL_OUT_FRAG:
  291. case SYSL_IN_REJECT:
  292. case SYSL_OUT_ACCEPT:
  293. case SYSL_IN_PROT: 
  294. case SYSL_OUT_PROT: 
  295. case SYSL_OUT_ROUT:
  296.         case SYSL_IN_ICMP:
  297. case SYSL_OUT_ICMP:
  298. case SYSL_IN_IGMP:
  299. case SYSL_OUT_IGMP:
  300. { /* IP - general */
  301.      switch(protocolNo)
  302. {
  303.      case IP_PROTO_TCP:
  304.     strcpy(tempchar,"TCP");
  305.      break;
  306.     case IP_PROTO_UDP:
  307.     strcpy(tempchar,"UDP");
  308.     break;
  309.     case IP_PROTO_ICMP:
  310.     strcpy(tempchar,"ICMP");
  311.     break;
  312. case IP_PROTO_IGMP:
  313. strcpy(tempchar,"IGMP");
  314.     default:
  315. strcpy(tempchar,"");
  316.     break;
  317. }
  318. /* sprintf(filterlog.str[filterlog.pos],"时间:%d月%d日%d:%d:%dt说明:%st协议:%stFrom:%s" "To:%sn",
  319. SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  320. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  321. tempchar,csrcaddr,cdstaddr);
  322. filterlog.pos++;
  323. */          if(logType==1)
  324. {
  325.             sprintf(logview.time,"%d月%d日%d:%d:%d",SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  326.       SystemTime.wMinute,SystemTime.wSecond);
  327.             strcpy(logview.prot,tempchar);
  328. strcpy(logview.src,csrcaddr);
  329. strcpy(logview.dst,cdstaddr);
  330. strcpy(logview.demo,syslogMessages[eventNo].message);
  331.             //PostMessage(AfxGetMainWnd()->GetSafeHwnd(),M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  332.             PostMessage(myhWnd1,M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  333. }
  334. fprintf(hlogFile,"时间:%d月%d日%d:%d:%dt说明:%st协议:%stFrom:%s" "To:%sn"
  335. ,SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  336. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  337. tempchar,csrcaddr,cdstaddr);
  338.               filtercount++;
  339. break;
  340. }
  341. case SYSL_IN_CLASSD:
  342. case SYSL_OUT_CLASSD:
  343. case SYSL_IN_PORT:
  344. case SYSL_OUT_PORT:
  345. case SYSL_IN_LENGTH:
  346. case SYSL_OUT_LENGTH:
  347. { /* IP - TCP/UDP */
  348.   strcpy(tempchar,(protocolNo == IP_PROTO_UDP) ? "UDP" : "TCP");
  349. /*   sprintf(filterlog.str[filterlog.pos],"时间:%d月%d日%d:%d:%dt说明:%st协议:%stFrom%s:%d"  "To%s:%dn",
  350. SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  351. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  352. tempchar,csrcaddr,ntohs(srcport),cdstaddr,ntohs(dstport));
  353.   filterlog.pos++;
  354. */
  355. if(logType==1)
  356.             {
  357.             memset((char*)&logview,0,sizeof(LOGVIEW));
  358. sprintf(logview.time,"%d月%d日%d:%d:%d",SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  359.       SystemTime.wMinute,SystemTime.wSecond);
  360.             strcpy(logview.prot,tempchar);
  361. sprintf(logview.src,"%s:%d",csrcaddr,ntohs(srcport));
  362. sprintf(logview.dst,"%s:%d",cdstaddr,ntohs(dstport));
  363. strcpy(logview.demo,syslogMessages[eventNo].message);
  364.             PostMessage(myhWnd1,M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  365.  //           PostMessage(AfxGetMainWnd()->GetSafeHwnd(),M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  366. }
  368.   fprintf(hlogFile,"时间:%d月%d日%d:%d:%dt说明:%st协议:%stFrom%s:%d"  "To%s:%dn"
  369. ,SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  370. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  371. tempchar,csrcaddr,ntohs(srcport),cdstaddr,ntohs(dstport));
  372.               filtercount++;
  373.           break;
  374. }
  376. case SYSL_IN_TYPE:  /* IP - ICMP */
  377. case SYSL_OUT_TYPE:
  378. {
  379. /*   sprintf(filterlog.str[filterlog.pos],"时间:%d月%d日%d:%d:%dt说明:%stFrom%s"  "To%stICMP类型:%dn",
  380. SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  381. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  382. csrcaddr,cdstaddr,icmptype);
  383.   filterlog.pos++;
  384. */
  385.     strcpy(tempchar,"ICMP");
  386. if(logType==1)
  387. {
  388.             memset((char*)&logviewIcmp,0,sizeof(LOGVIEWICMP));
  389. sprintf(logviewIcmp.time,"%d月%d日%d:%d:%d",SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  390.       SystemTime.wMinute,SystemTime.wSecond);
  391.             strcpy(logviewIcmp.prot,tempchar);
  392. strcpy(logviewIcmp.src,csrcaddr);
  393. strcpy(logviewIcmp.dst,cdstaddr);
  394. strcpy(logviewIcmp.demo,syslogMessages[eventNo].message);
  395. sprintf(logviewIcmp.type,"%d",icmptype);
  396.    //         PostMessage(AfxGetMainWnd()->GetSafeHwnd(),M_LOGVIEW,(WPARAM)&logviewIcmp,(LPARAM)112);
  397.             PostMessage(myhWnd1,M_LOGVIEW,(WPARAM)&logviewIcmp,(LPARAM)112);
  398. }
  400.   fprintf(hlogFile,"时间:%d月%d日%d:%d:%dt说明:%stFrom%s"  "To%stICMP类型:%dn",
  401. SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  402. SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,
  403. csrcaddr,cdstaddr,icmptype);
  404.               filtercount++;
  405.               break;
  406. }
  408. case SYSL_IN_DOS: /* DOS 攻击 */
  409. case SYSL_OUT_DOS:
  410. {
  411. /*   sprintf(filterlog.str[filterlog.pos],"时间:%d月%d日%d:%d:%dt说明:%stDOS类型:%dtFrom%s"  "To%sn",
  412. SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  413.   SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,syslogDosTypes[dostype],
  414.     csrcaddr,cdstaddr);
  415.   filterlog.pos++;
  416. */
  417.             if(logType==1)
  418.             {
  419.             memset((char*)&logview,0,sizeof(LOGVIEW));
  420. sprintf(logview.time,"%d月%d日%d:%d:%d",SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  421.       SystemTime.wMinute,SystemTime.wSecond);
  422. strcpy(logview.src,csrcaddr);
  423. strcpy(logview.dst,cdstaddr);
  424. strcpy(logview.demo,syslogMessages[eventNo].message);
  425.     //        PostMessage(AfxGetMainWnd()->GetSafeHwnd(),M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  426.             PostMessage(myhWnd1,M_LOGVIEW,(WPARAM)&logview,(LPARAM)111);
  427. }
  429.   fprintf(hlogFile,"时间:%d月%d日%d:%d:%dt说明:%stDOS类型:%dtFrom%s"  "To%sn"
  430. ,SystemTime.wMonth,SystemTime.wDay,SystemTime.wHour,
  431.   SystemTime.wMinute,SystemTime.wSecond,syslogMessages[eventNo].message,syslogDosTypes[dostype],
  432.     csrcaddr,cdstaddr);
  433.               filtercount++;
  434.   break;
  435. }
  436. /*
  437. if(filterlog.pos==1000)
  438. {
  439.             fwrite(filterlog.str,sizeof(char),filterlog.pos*100,hlogFile);
  440. memset(&filterlog,0,sizeof(FilterLog));
  441. filterlog.pos=0;
  442.                 writestatistic();
  443. fprintf(statFile,"n");
  444. fclose(statFile);
  445.             fclose(hlogFile);
  446. hlogFile=fopen("日志.txt","a");
  447.             statFile=fopen("统计.txt","a");
  448. }
  449. */
  450. if(filtercount==100)
  451. {
  452. memset(&filterstats,0,sizeof(Statistics));
  453. filtercount=0;
  454.                 writestatistic();
  455. fprintf(statFile,"n");
  456. fclose(statFile);
  457.             fclose(hlogFile);
  458. hlogFile=fopen("日志.txt","a");
  459.             statFile=fopen("统计.txt","a");
  460. }
  464. }
  466. }
  468. /* ------------------------------------------------------------------------ */
  470. static void
  471. freeAllPointers(pointerStruct *p)
  472. {//在free函数中去掉了M_DEVBUF参数;此参数在头文件中
  473. if (p->addrTree) freeTree(p->addrTree, 0);
  474. if (p->t_dst_out) free(p->t_dst_out);
  475.         if (p->t_src_out) free(p->t_src_out);
  476.         if (p->u_dst_out) free(p->u_dst_out);
  477.         if (p->u_src_out) free(p->u_src_out);
  478.         if (p->i_typ_in) free(p->i_typ_in);
  479.         if (p->i_typ_out) free(p->i_typ_out);
  480.         if (p->t_rst_in) free(p->t_rst_in);
  481.         if (p->t_rst_out) free(p->t_rst_out);
  482.         if (p->acceptTable) free(p->acceptTable);
  483.         if (p->acceptTree) freeTree(p->acceptTree, 0);
  484.         if (p->rejectTable) free(p->rejectTable);
  485.         if (p->rejectTree) freeOutTree(p->rejectTree, 0);
  486.         if(p->In_DmTree)freeTree(p->In_DmTree,0);
  487.         if(p->Out_DmTree)freeOutTree(p->Out_DmTree,0);
  489. memset(p,0,sizeof(pointerStruct));
  490. }
  492. /* ------------------------------------------------------------------------ */
  493. //groups:最多可设定的主机类的数目
  494. static ULONG
  495. initTables(pointerStruct *p, unsigned short groups)
  496. {
  497. /* 必须至少有一类 */
  498. if (groups == 0)
  499. groups = 1;
  501. /* 释放所有由指针结构分配的空间*/
  502. freeAllPointers(p);
  504. /* 建立一个缺省配置 */
  505. p->addrTree  = MALLOC_NODE;
  507.  //groups*32*sizeof(PortListEntry)
  508. p->t_dst_out = MALLOC_GROUP(groups);
  509. p->t_src_out = MALLOC_GROUP(groups);
  510. p->u_dst_out = MALLOC_GROUP(groups);
  511. p->u_src_out = MALLOC_GROUP(groups);
  512. p->i_typ_in  = MALLOC_GROUP(groups);
  513. p->i_typ_out = MALLOC_GROUP(groups);
  514. p->t_rst_in  = MALLOC_GROUP(groups);
  515. p->t_rst_out = MALLOC_GROUP(groups);
  516. if ((p->addrTree == NULL) ||
  517.     (p->t_dst_out == NULL) ||(p->t_src_out == NULL) ||
  518.         (p->u_dst_out == NULL) ||(p->u_src_out == NULL) ||
  519.     (p->i_typ_in  == NULL) || (p->i_typ_out == NULL) ||
  520.     (p->t_rst_in  == NULL) || (p->t_rst_out == NULL)) {
  521. freeAllPointers(p);
  522. return ERROR_NO_MEMORY;
  523. }
  524. p->num_groups = groups;
  525. memset(p->addrTree, 0, sizeof(addrTreeNode));
  526. memset(p->t_dst_out,0,groups * LIST_TABLE_SIZE);
  527. memset(p->t_src_out,0,groups * LIST_TABLE_SIZE);
  528. memset(p->u_dst_out,0,groups * LIST_TABLE_SIZE);
  529. memset(p->u_src_out,0,groups * LIST_TABLE_SIZE);
  530. memset(p->i_typ_in,0,groups * LIST_TABLE_SIZE);
  531. memset(p->i_typ_out,0,groups * LIST_TABLE_SIZE);
  532. memset(p->t_rst_in,0,LIST_TABLE_SIZE);
  533. memset(p->t_rst_out,0,LIST_TABLE_SIZE);
  535. /* 填写缺省类表*/
  536. switch(TheDefaultSetData.Priority)
  537. {
  538. case 0://high
  539.         p->t_dst_out[0].begin = 2; // TCP - 1个 
  540.         p->t_dst_out[1].begin = 80; // TCP -http out    
  541.         p->t_dst_out[1].end = 80;
  542.         p->t_dst_out[2].begin=1024;//>=1024 OUT
  543.     p->t_dst_out[2].begin=0xFFFF;
  544.         
  545. p->t_src_out[0].begin=1;
  546.     p->t_src_out[1].begin=1024;
  547.     p->t_src_out[1].end=0xFFFF;
  549.     p->u_src_out[0].begin=1;
  550.     p->u_src_out[1].begin=1024;
  551.         p->u_src_out[1].end=0xFFFF;
  552.     p->u_dst_out[0].begin = 1; ///* UDP - 1个
  553.     p->u_dst_out[1].begin = 1024; ///* UDP >=1024 out    
  554.     p->u_dst_out[1].end = 0xFFFF;
  556.     p->i_typ_in[0].begin = 1; ///* ICMP - 1个
  557.     p->i_typ_in[1].begin = 0; ///* ICMP - FORBID      
  558.     p->i_typ_in[1].end = 0;
  560.     p->i_typ_out[0].begin = 1; //* ICMP - 1个
  561.     p->i_typ_out[1].begin = 0; //* ICMP - FORBID       
  562.     p->i_typ_out[1].end = 0;
  563. break;
  564. case 1://middle
  565.         p->t_dst_out[0].begin = 5; // TCP - 1个 
  566.         p->t_dst_out[1].begin = 80; // TCP -http out    
  567.         p->t_dst_out[1].end = 80;
  568.         p->t_dst_out[2].begin =20; // TCP -FTP TELNET out    
  569.         p->t_dst_out[2].end = 23;
  570.         p->t_dst_out[3].begin =137; // TCP -NBT out    
  571.         p->t_dst_out[3].end =139;
  572.         p->t_dst_out[4].begin =161; // TCP -SNMP out    
  573.         p->t_dst_out[4].end = 162;
  574. p->t_dst_out[5].begin=1024;//>=1024 OUT
  575.     p->t_dst_out[5].begin=0xFFFF;
  576.         
  577. p->t_src_out[0].begin=1;
  578.     p->t_src_out[1].begin=0;
  579.     p->t_src_out[1].end=0xFFFF;
  581.     p->u_src_out[0].begin=1;
  582.     p->u_src_out[1].begin=0;
  583.         p->u_src_out[1].end=0xFFFF;
  584.     p->u_dst_out[0].begin = 1; ///* UDP - 1个
  585.     p->u_dst_out[1].begin = 1024; ///* UDP >=1024 out    
  586.     p->u_dst_out[1].end = 0xFFFF;
  588.     p->i_typ_in[0].begin = 1; ///* ICMP - 1个
  589.     p->i_typ_in[1].begin = 0; ///* ICMP - everything out 
  590.     p->i_typ_in[1].end = 0xFF;
  592.     p->i_typ_out[0].begin = 1; //* ICMP - 1个
  593.     p->i_typ_out[1].begin = 0; //* ICMP - everything out       
  594.     p->i_typ_out[1].end = 0xFF;
  595. break;
  596. case 2://low
  597.         p->t_dst_out[0].begin = 5; // TCP - 1个 
  598.         p->t_dst_out[1].begin = 80; // TCP -http out    
  599.         p->t_dst_out[1].end = 80;
  600.         p->t_dst_out[2].begin =20; // TCP -FTP TELNET out    
  601.         p->t_dst_out[2].end = 23;
  602.         p->t_dst_out[3].begin =137; // TCP -NBT out    
  603.         p->t_dst_out[3].end =139;
  604.         p->t_dst_out[4].begin =161; // TCP -SNMP out    
  605.         p->t_dst_out[4].end = 162;
  606. p->t_dst_out[5].begin=1024;//>=1024 OUT
  607.     p->t_dst_out[5].begin=0xFFFF;
  608.         
  609. p->t_src_out[0].begin=1;
  610.     p->t_src_out[1].begin=0;
  611.     p->t_src_out[1].end=0xFFFF;
  613.     p->u_src_out[0].begin=1;
  614.     p->u_src_out[1].begin=0;
  615.         p->u_src_out[1].end=0xFFFF;
  616.     p->u_dst_out[0].begin = 2; ///* UDP - 1个
  617.     p->u_dst_out[1].begin = 53; ///* UDP dns out    
  618.     p->u_dst_out[1].end = 53;
  619.     p->u_dst_out[1].begin =1024;
  620.     p->u_dst_out[1].end = 0xFFFF;
  621.     p->i_typ_in[0].begin = 1; ///* ICMP - 1个
  622.     p->i_typ_in[1].begin = 0; ///* ICMP - everything out 
  623.     p->i_typ_in[1].end = 0xFF;
  625.     p->i_typ_out[0].begin = 1; //* ICMP - 1个
  626.     p->i_typ_out[1].begin = 0; //* ICMP - everything out       
  627.     p->i_typ_out[1].end = 0xFF;
  628. break;
  629. default://high
  630.         p->t_dst_out[0].begin = 2; // TCP - 1个 
  631.         p->t_dst_out[1].begin = 80; // TCP -http out    
  632.         p->t_dst_out[1].end = 80;
  633.         p->t_dst_out[2].begin=1024;//>=1024 OUT
  634.     p->t_dst_out[2].begin=0xFFFF;
  635.         
  636. p->t_src_out[0].begin=1;
  637.     p->t_src_out[1].begin=1024;
  638.     p->t_src_out[1].end=0xFFFF;
  640.     p->u_src_out[0].begin=1;
  641.     p->u_src_out[1].begin=1024;
  642.         p->u_src_out[1].end=0xFFFF;
  643.     p->u_dst_out[0].begin = 1; ///* UDP - 1个
  644.     p->u_dst_out[1].begin = 1024; ///* UDP >=1024 out    
  645.     p->u_dst_out[1].end = 0xFFFF;
  647.     p->i_typ_in[0].begin = 1; ///* ICMP - 1个
  648.     p->i_typ_in[1].begin = 0; ///* ICMP - FORBID      
  649.     p->i_typ_in[1].end = 0;
  651.     p->i_typ_out[0].begin = 1; //* ICMP - 1个
  652.     p->i_typ_out[1].begin = 0; //* ICMP - FORBID       
  653.     p->i_typ_out[1].end = 0;
  654. }
  655. return NOO_ERROR;
  656. }
  658. /*-----------------------------------------------------------------------*/
  660. static void
  661. freeTree(addrTreeNode *tbl, unsigned char level)
  662. {
  663.         ULONG i;
  665.         if (!tbl || (level >1)) 
  666. {
  667. //参数错误
  668.                 return;
  669. }
  671.         for (i=0; i<256; i++) 
  672. {
  673.                 if (tbl->u[i].pd)
  674. {
  675.         free(tbl->u[i].pd);
  676. }
  677. }
  679. free(tbl);
  680. }
  682. static ULONG
  683. copyGroup(portListReq *u, PortListEntry *kptr)
  684. {
  685. if (kptr == NULL)
  686. return ERROR_NET_NOT_FOUND; 
  687. //准确的添加到尾
  688.  USHORT pos=kptr[0].begin;
  689.      kptr[0].begin+=u->bytes/sizeof(PortListEntry);
  690.  if(pos==0)
  691.  pos++;
  692.  memcpy(&kptr[pos],u->ptr, u->bytes);//需要判断已经设定的端口数
  693.  return u->bytes;
  694. }
  696. /* ------------------------------------------------------------------------ */
  698. static ULONG
  699. portListRequest(portListReq *u, pointerStruct *p)
  700. {
  701. //u->group:当前的主机类
  702. ULONG byte=u->bytes*sizeof(PortListEntry);
  703. ULONG ret=u->group + ((byte/ LIST_TABLE_SIZE) +
  704.         (byte% LIST_TABLE_SIZE) ? 1 : 0);
  705. if (ret > p->num_groups)
  706. return ERROR_OUT_OF_RANGE;
  708. switch (u->id) {
  709. case T_DST_OUT:
  710. return copyGroup(u ,&(p->t_dst_out[(u->group-1)  * LIST_SIZE]));
  711. case T_SRC_OUT:
  712. return copyGroup(u ,&(p->t_src_out[(u->group-1) * LIST_SIZE]));
  713. case U_DST_OUT:
  714. return copyGroup(u ,&(p->u_dst_out[(u->group-1) * LIST_SIZE]));
  715. case U_SRC_OUT:
  716. return copyGroup(u ,&(p->u_src_out[(u->group-1) * LIST_SIZE]));
  717. case I_TYP_IN:
  718. return copyGroup(u ,&(p->i_typ_in[(u->group-1) * LIST_SIZE]));
  719. case I_TYP_OUT:
  720. return copyGroup(u ,&(p->i_typ_out[(u->group-1) * LIST_SIZE]));
  721. case T_RST_IN:
  722. if (u->group > 1)
  723. return ERROR_OUT_OF_RANGE;
  724. return copyGroup(u, p->t_rst_in);
  725. case T_RST_OUT:
  726. if (u->group > 1)
  727. return ERROR_OUT_OF_RANGE;
  728. return copyGroup(u, p->t_rst_out);
  729. default:
  730. return ERROR_UNKNOWN_GROUP;
  731. }
  732. }
  734. /* ------------------------------------------------------------------------ */
  736. static ULONG
  737. addrTreeRequest(addrTreeReq *u)
  738. {
  739. register unsigned char i;
  740.     if (newspace.addrTree == NULL) 
  741. return ERROR_NET_NOT_FOUND; 
  743. /* Add the specified IP cidr(s) to the 'newspace' config */
  744. //最多128个ip地址(可能是每个主机类的起始ip)(即最多128个主机类)
  745. for (i=0; (i < u->num) && (i < 128); i++) {
  746. if (GjaddToTree(newspace.addrTree, u->addr[i],
  747.      u->bits[i], u->group[i])) {
  748. freeTree(newspace.addrTree, 0);
  749. newspace.addrTree = NULL;
  750. return ERROR_NO_MEMORY;
  751. }
  752. }
  753. return NOO_ERROR;
  754. }
  756. /* ------------------------------------------------------------------------ */
  757. static int
  758. OutrejaccTableRequest(int id, rejaccTableReq *u, pointerStruct *p)
  759. {
  760. register unsigned char i;
  761. RejAccTableEntry *table;   //允许拒绝表
  762. OutaddrTreeNode *tree;        //地址树,用于包过滤
  763. //u->bytes必须是sizeof(RejAccTableEntry)的整数倍
  764. if ((u->bytes == 0) || (u->bytes % sizeof(RejAccTableEntry)))
  765. return ERROR_INVALID_OP;
  767. //为树分配空间  
  768. table = (RejAccTableEntry *)malloc(u->bytes);//,M_DEVBUF,M_NOWAIT);
  769. if (table == NULL)
  770. return ERROR_NO_MEMORY;
  771. tree = MALLOC_OUTNODE;
  772. if (tree == NULL)
  773. {
  774. free(table);//);
  775. return ERROR_NO_MEMORY;
  777. memset(tree,0,sizeof(addrTreeNode));
  778. memset(table,0, u->bytes);
  779.     memcpy(table, u->ptr, u->bytes);//gj
  780. // return u->bytes;//gj
  781. // Populate the tree from the table - keep the table around
  782. // to spit back out when requested by the user interface.
  783. for (i=u->bytes/sizeof(RejAccTableEntry); i; i--) {
  784. register int r;
  785. //将拒绝的IP地址添加到树
  786. if ((r=OutnetaddToTree(tree, table[i-1].network,
  787. table[i-1].bits, table[i-1].flag))) {
  788. freeOutTree(tree, 0);
  789. free(table);//);
  790. return (r>0) ? ERROR_NO_MEMORY :
  791. ERROR_INVALID_OP;
  792. }
  793. }
  794. //传到主结构
  795.  switch(id)
  796.  {
  797.    case T_REJTBL:
  798. if ((p->rejectTable != NULL) || (p->rejectTree != NULL))
  799. {
  800. free(p->rejectTable);
  801. freeOutTree(p->rejectTree,0);
  803. p->rejectTable = table;
  804. p->rejectTree = tree;
  805. p->reject_bytes = u->bytes;
  806. break;
  807.    case T_OUTDM:
  808.  if (p->Out_DmTree!= NULL)
  809. freeOutTree(p->Out_DmTree,0);
  810. p->Out_DmTree = tree;
  811. free(table);
  812.    break;
  813.    default:
  814.    freeOutTree(tree,0);
  815.    free(table);
  816.    return ERROR_INVALID_OP;
  817.  }
  818. return NOO_ERROR;
  819. }
  822. /* ------------------------------------------------------------------------ */
  823. static ULONG
  824. rejaccTableRequest(ULONG id, rejaccTableReq *u, pointerStruct *p)
  825. {
  826. register unsigned char i;
  827. RejAccTableEntry *table;   //允许拒绝表
  828. addrTreeNode *tree;        //地址树,用于包过滤
  829. //u->bytes必须是sizeof(RejAccTableEntry)的整数倍
  830. if ((u->bytes == 0) || (u->bytes % sizeof(RejAccTableEntry)))
  831. return ERROR_INVALID_OP;
  833. //为树分配空间  
  834. table = (RejAccTableEntry *)malloc(u->bytes);//,M_DEVBUF,M_NOWAIT);
  835. if (table == NULL)
  836. return ERROR_NO_MEMORY;
  837. tree = MALLOC_NODE;
  838. if (tree == NULL)
  839. {
  840. free(table);//);
  841. return ERROR_NO_MEMORY;
  843. memset(tree,0,sizeof(addrTreeNode));
  844. memset(table,0, u->bytes);
  845.     memcpy(table, u->ptr, u->bytes);//gj
  846. // return u->bytes;//gj
  847. // Populate the tree from the table - keep the table around
  848. // to spit back out when requested by the user interface.
  849. for (i=u->bytes/sizeof(RejAccTableEntry); i; i--) {
  850. register ULONG r;
  851. //将拒绝的IP地址添加到树
  852. if ((r=GjaddToTree(tree, table[i-1].network,
  853. table[i-1].bits, table[i-1].flag))) {
  854. freeTree(tree, 0);
  855. free(table);//);
  856. return (r>0) ? ERROR_NO_MEMORY :
  857. ERROR_INVALID_OP;
  858. }
  859. }
  860. //传到主结构
  861.  switch(id)
  862.  {
  863.    case T_ACCTBL:
  864. if ((p->acceptTree != NULL) || (p->acceptTable!= NULL))
  865. {
  866. free(p->acceptTable);
  867. freeTree(p->acceptTree,0);
  869. p->acceptTable = table;
  870. p->acceptTree = tree;
  871. p->accept_bytes = u->bytes;
  872. break;
  873.    case T_INDM:
  874.  if (p->In_DmTree != NULL)
  875.   freeTree(p->In_DmTree,0);
  876.    p->In_DmTree = tree;
  877. free(table);
  878.    break;
  879.    default:
  880.    freeTree(tree,0);
  881.    free(table);
  882.    return ERROR_INVALID_OP;
  883.  }
  884. return NOO_ERROR;
  885. }
  887. static ULONG
  888. manageTablesRequest(manageTablesReq *u)
  889. {
  890. pointerStruct tmp;
  891. unsigned long rcode;
  892. switch (u->command) {
  893. //新配置设为当前配置,并清除原有配置
  894. case ACTIVATE_NEW:
  895. if ((newspace.num_groups == 0) || (newspace.addrTree == NULL) ||
  896.     (newspace.t_dst_out == NULL) ||(newspace.t_src_out == NULL) ||
  897.            (newspace.u_dst_out == NULL) ||(newspace.u_src_out == NULL) ||
  898.     (newspace.i_typ_in == NULL) || (newspace.i_typ_out == NULL) ||
  899.     (newspace.t_rst_in == NULL) || (newspace.t_rst_out == NULL))
  900. return ERROR_NET_NOT_FOUND;
  901. memcpy(&tmp, &active, sizeof(pointerStruct));
  902. memcpy(&active, &newspace, sizeof(pointerStruct));
  903. memset(&newspace,0,sizeof(pointerStruct));
  904. freeAllPointers(&tmp);
  905. break;
  906. //将用户配置设为缺省配置
  907. case CLEAR_ALL:
  908. rcode = initTables(&newspace, 1);
  909. if (rcode)
  910.  return rcode;
  911. memcpy(&tmp, &active, sizeof(pointerStruct));
  912. memcpy(&active, &newspace, sizeof(pointerStruct));
  913. memset(&newspace,0,sizeof(pointerStruct));
  914. freeAllPointers(&tmp);
  915. break;
  917. //在载入新配置前要重新初始化
  918. case INIT_NEW:
  919. rcode = initTables(&newspace, u->val);
  920. if (rcode)
  921. return rcode;
  922. break;
  923. }
  924. return NOO_ERROR;
  925. }
  927. /*-----------------------------------------------------------------------*/
  928. /*
  929.  *查找IP地址所属的类
  930.  */
  931. USHORT
  932. treeOutLookup(OutaddrTreeNode *tbl, ULONG addr, unsigned short max_group)
  933. {
  934.     addrTreePtr t1,t2;
  935. in_addr_t ip;
  936. if (tbl == NULL)
  937. return DEFAULT_ACCESS;
  938. // ip = (in_addr_t)addr;
  939. ip.ss_addr=addr;//gj..................
  940.         //查找地址的第一个八位     
  941. //flg=1: group ;   flg=0: pointer
  942.         if ((t1.p = tbl->u[ip.s_b[3]].p) == NULL)
  943.                 return DEFAULT_ACCESS;
  944.         if (tbl->flg[ip.s_b[3]])
  945.                 return ((t1.c < max_group) ? t1.c : DEFAULT_ACCESS);
  947.         //查找地址的第二个八位
  948.         //flg=1: group ;   flg=0: pointer
  949.         // t1.p = tbl->u[ip.s_b[3]].p
  950.       if ((t2.p = t1.p->u[ip.s_b[2]].p) == NULL)
  951.                 return DEFAULT_ACCESS;
  952.         if (t1.p->flg[ip.s_b[2]])
  953.                 return ((t2.c < max_group) ? t2.c : DEFAULT_ACCESS);
  955. //begin gj  //查找地址的第三个八位
  956.        if ((t1.p =t2.p->u[ip.s_b[1]].p) == NULL)
  957.                 return DEFAULT_ACCESS;
  958.        if (t2.p->flg[ip.s_b[1]])
  959.                 return ((t2.c < max_group) ? t2.c : DEFAULT_ACCESS);      
  960. //end gj
  961. //flg=1: group;    flg=0: pointer
  962.        //t2.p = tbl->u[ip.s_b[3]].p->u[ip.s_b[2]].p
  963. /*        if ((t1.pd = t2.p->u[ip.s_b[1]].pd) == NULL)
  964.     return DEFAULT_ACCESS;
  965.         if (t2.p->flg[ip.s_b[1]])
  966.                 return ((t1.c < max_group) ? t1.c : DEFAULT_ACCESS);
  967. */
  969. //查找地址的第四个八位
  970. //a group
  971.         // * t1.pd = tbl->u[ip.s_b[3]].p->u[ip.s_b[2]].p->u[ip.s_b[1]].pd
  972.         t2.c = t1.pd->c[ip.s_b[0]];
  973.         return ((t2.c < max_group) ? t2.c : DEFAULT_ACCESS);
  974. }
  977. USHORT
  978. treeLookup(addrTreeNode *tbl, ULONG addr, unsigned short max_group)
  979. {
  980. in_addr_t ip;
  981. if (tbl == NULL)
  982. return DEFAULT_ACCESS;
  983. // ip = (in_addr_t)addr;
  984. ip.ss_addr=addr;//gj..................
  985.         //查找地址的第一个八位     
  986. //flg=1: group ;   flg=0: pointer
  987. USHORT group;
  988. if(tbl->u[ip.s_b[1]].pd)
  989. {
  990. group=tbl->u[ip.s_b[1]].pd->c[ip.s_b[0]];
  991. return ((group<max_group)?group:DEFAULT_ACCESS);
  992. }
  993. else 
  994. return DEFAULT_ACCESS;
  995. }
  997. /* ------------------------------------------------------------------------ */
  998. //参数是主机顺序
  999. static ULONG
  1000. checkIncomingTcp(ULONG srcAddr, ULONG dstAddr,
  1001.  unsigned short srcPort, unsigned short dstPort)
  1002. {
  1003. //检查是否组播
  1004. if (IN_CLASSD(dstAddr))//dstAddr是组播地址
  1005. {
  1006. if (filtercfg.discardMulticast)
  1007. {
  1008. filterstats.f_outsideMcast++;
  1009. syslogMessage(SYSL_IN_CLASSD, IP_PROTO_TCP,
  1010.        srcAddr, dstAddr, srcPort, dstPort);
  1011. return DISCARD_PKT;
  1012. }
  1013. return ALLOW_PKT;
  1014. }
  1015. /*
  1016. //通过目的地址从树中查找该地址所属的类
  1017. group = treeLookup(active.addrTree, dstAddr, active.num_groups);
  1018. if(group>0&&group<active.num_groups)
  1019.    portList = &active.t_dst_in[(group-1) * LIST_SIZE];
  1020. else
  1021.      return DISCARD_PKT;
  1022. //到该地址对应的目的端口设置处
  1023. //查找目的端口是否允许
  1024. for (i=1; i <= portList[0].begin; i++)
  1025. {
  1026. if ((dstPort >= portList[i].begin) &&
  1027.     (dstPort <= portList[i].end))
  1028.      return ALLOW_PKT;
  1029. }
  1030. //dstPort<1024则不检查源端口;直接禁止
  1031. if (dstPort > 1024) 
  1032. {
  1033. //到该地址对应的源端口设置处
  1034. portList = &active.t_src_in[group * LIST_SIZE];
  1035. //比较源端口
  1036. for (i=1; i <= portList[0].begin; i++)
  1037. {
  1038. if ((srcPort >= portList[i].begin) &&
  1039.     (srcPort <= portList[i].end))
  1040. return ALLOW_PKT;
  1041. }
  1042. }
  1043. filterstats.f_outsideTcpPort++;
  1044. // syslogMessage(SYSL_IN_PORT, IP_PROTO_TCP,
  1045. //       srcAddr, dstAddr, (ULONG)srcPort, (ULONG)dstPort);
  1046. //查找内网主机的TCP端口响应表(界面可加上)
  1047. for (i=1; i <= active.t_rst_in[0].begin; i++)
  1048. {
  1049. if ((dstPort >= active.t_rst_in[i].begin) &&
  1050.     (dstPort <= active.t_rst_in[i].end))
  1051. {
  1052. filterstats.outsideTCPreset++;
  1053. return DISCARD_AND_ANSWER_PKT;
  1054. }
  1055. }
  1056. */
  1057. return DISCARD_PKT;
  1058. }
  1060. /* ------------------------------------------------------------------------ */
  1061. static ULONG
  1062. checkOutgoingTcp(ULONG srcAddr, ULONG dstAddr,
  1063.  unsigned short srcPort, unsigned short dstPort)
  1064. {
  1065. ULONG i;
  1066. ULONG group;
  1067. PortListEntry *portList;
  1069. //查找目的地址是否是组播
  1070. if (IN_CLASSD(dstAddr)) 
  1071. {
  1072. if (filtercfg.discardMulticast)
  1073. {
  1074. filterstats.f_insideMcast++;
  1075. syslogMessage(SYSL_OUT_CLASSD,IP_PROTO_TCP,
  1076. srcAddr, dstAddr, srcPort, dstPort);
  1077. return DISCARD_PKT;
  1078. }
  1079. return ALLOW_PKT;
  1080. }
  1082. //通过源地址查找类
  1083. group = treeLookup(active.addrTree, srcAddr, active.num_groups);
  1084. if(group>0&&group<active.num_groups)
  1085. {
  1086. portList = &active.t_dst_out[(group-1) * LIST_SIZE];
  1087. }
  1088. else 
  1089.        return ALLOW_PKT;//未设置端口列表,默认所有的端口允许
  1090. //查找目的端口是否是允许出去访问的端口
  1091. for (i=1; i <= portList[0].begin; i++) 
  1092. {
  1093. if ((dstPort >= portList[i].begin) &&
  1094.     (dstPort <= portList[i].end))
  1095. return ALLOW_PKT;
  1096. }
  1097. if (dstPort > 1024)
  1098. {
  1099. portList = &active.t_src_out[group * LIST_SIZE];
  1100. for (i=1; i <= portList[0].begin; i++)
  1101. {
  1102. if ((srcPort >= portList[i].begin) &&
  1103.     (srcPort <= portList[i].end))
  1104. return ALLOW_PKT;
  1105. }
  1106. }
  1107. syslogMessage(SYSL_OUT_PORT,IP_PROTO_TCP,
  1108. srcAddr, dstAddr, srcPort, dstPort);
  1109. return DISCARD_PKT;
  1110. }
  1112. /* ------------------------------------------------------------------------ */
  1113. static ULONG
  1114. checkIncomingUdp(ULONG srcAddr, ULONG dstAddr,
  1115.  unsigned short srcPort, unsigned short dstPort)
  1116. {
  1117. // PortListEntry *portList;
  1118. if (IN_CLASSD(dstAddr)) 
  1119. {
  1120. if (filtercfg.discardMulticast) 
  1121. {
  1122. filterstats.f_outsideMcast++;
  1123. syslogMessage(SYSL_IN_CLASSD,IP_PROTO_UDP,
  1124. srcAddr, dstAddr, srcPort,dstPort);
  1125. return DISCARD_PKT;
  1126. }
  1127. return ALLOW_PKT;
  1128. }
  1129. syslogMessage(SYSL_IN_PORT, IP_PROTO_UDP,
  1130.       srcAddr, dstAddr, srcPort, dstPort);
  1132. return DISCARD_PKT;
  1133. }
  1135. /* ------------------------------------------------------------------------ */
  1137. static ULONG
  1138. checkOutgoingUdp(ULONG srcAddr, ULONG dstAddr,
  1139.  unsigned short srcPort, unsigned short dstPort)
  1140. {
  1141. register ULONG i;
  1142. ULONG group;
  1143. PortListEntry *portList;
  1144. if (IN_CLASSD(dstAddr)) {
  1145. if (filtercfg.discardMulticast) {
  1146. filterstats.f_insideMcast++;
  1147. syslogMessage(SYSL_OUT_CLASSD,IP_PROTO_UDP,
  1148. srcAddr, dstAddr,srcPort, dstPort);
  1149. return DISCARD_PKT;
  1150. }
  1151. return ALLOW_PKT;
  1152. }
  1153. group = treeLookup(active.addrTree, srcAddr, active.num_groups);
  1154.     if(group>0&&group<active.num_groups)
  1155. {
  1156. portList = &active.u_dst_out[(group-1) * LIST_SIZE];
  1157. }
  1158. else
  1159.    return ALLOW_PKT;
  1160. for (i=1; i <= portList[0].begin; i++) {
  1161. if ((dstPort >= portList[i].begin) &&
  1162.     (dstPort <= portList[i].end))
  1163. return ALLOW_PKT;
  1164. }
  1165. if (dstPort >= 1024) {
  1166. portList = &active.u_src_out[(group-1) * LIST_SIZE];
  1167. for (i=1; i <= portList[0].begin; i++) {
  1168. if ((srcPort >= portList[i].begin) &&
  1169.     (srcPort <= portList[i].end))
  1170. return ALLOW_PKT;
  1171. }
  1172. }
  1173. filterstats.f_insideUdpPort++;
  1174. syslogMessage(SYSL_OUT_PORT, IP_PROTO_UDP,
  1175.       srcAddr, dstAddr, srcPort, dstPort);
  1177. return DISCARD_PKT;
  1178. }
  1180. /* ------------------------------------------------------------------------ */
  1181. static ULONG
  1182. checkIncomingIcmp(ULONG srcAddr, ULONG dstAddr, unsigned char type)
  1183. {
  1184. register ULONG i;
  1185. PortListEntry *portList;
  1187. portList = &active.i_typ_in[ (treeLookup(active.addrTree,
  1188. dstAddr, active.num_groups)-1) * LIST_SIZE ];
  1189. for (i=1; i <= portList[0].begin; i++) {
  1190. if ((type >= portList[i].begin) &&
  1191.     (type <= portList[i].end))
  1192. {
  1193. syslogMessage(SYSL_IN_TYPE,IP_PROTO_ICMP,srcAddr, dstAddr,NULL,NULL,type);
  1194. filterstats.f_outsideIcmpType++;
  1195. return DISCARD_PKT;
  1196. }
  1198. }
  1200. return ALLOW_PKT;
  1201. }
  1203. /* ------------------------------------------------------------------------ */
  1204. static ULONG
  1205. checkOutgoingIcmp(ULONG srcAddr, ULONG dstAddr, unsigned char type)
  1206. {
  1207. register ULONG i;
  1208. PortListEntry *portList;
  1209. //先从地址树中得到该地址所对应的主机类号*LIST_SIZE后得到icmp类型列表对应的下标
  1210. ULONG group;
  1211. group=treeLookup(active.addrTree,srcAddr,active.num_groups);
  1212. if(group>0&&group<active.num_groups)
  1213. {
  1214. portList=&active.i_typ_out[(group-1)*LIST_SIZE];
  1215. }
  1216. else//添加未配置该地址日志
  1217.         return ALLOW_PKT;//未设置类型限制,默认允许
  1219. //判断比较
  1220. for (i=1; i <= portList[0].begin; i++) {
  1221. if ((type >= portList[i].begin) &&
  1222.     (type <= portList[i].end))
  1223. {
  1224.         syslogMessage(SYSL_OUT_TYPE,IP_PROTO_ICMP,srcAddr, dstAddr,NULL,NULL, type);
  1225.       filterstats.f_insideIcmpType++;
  1226.       return DISCARD_PKT;
  1227. }
  1228. }
  1230. return ALLOW_PKT;
  1231. }
  1233. /* ------------------------------------------------------------------------ */
  1235. static ULONG
  1236. checkRejectTable(struct ip *ipHeader, ULONG srcAddr, ULONG dstAddr)
  1237. {
  1238.   //拒绝表为空则通过所有的包
  1239. if (active.rejectTree == NULL)
  1240. return ALLOW_PKT;
  1242. /* If srcAddr is in the tree and it's group is 1, then discard pkt */
  1243. //拒绝ip表的类号为1
  1244. if (treeOutLookup(active.rejectTree, srcAddr, 2) == 1) {
  1245. filterstats.f_outsideRejectTable++;
  1246. syslogMessage(SYSL_IN_REJECT, (ULONG)ipHeader->Prot,
  1247. srcAddr, dstAddr);
  1249. return DISCARD_PKT;
  1250. }
  1252. /* Process by default */
  1253. return ALLOW_PKT;
  1254. }
  1256. /* ------------------------------------------------------------------------ */
  1257. /*
  1258.  * Parameters 'protocol' and 'protolen' are expected to be in host byte order
  1259.  * The packet pointed to by 'pkt' is, of course, in network btye order
  1260.  */
  1262. static ULONG
  1263. checkIncomingPacket(unsigned short protocol/*报文协议类型*/, unsigned char *pkt/*报文头*/,
  1264.     unsigned long protolen, ULONG checkAccept/*检查允许表或拒绝表*/)
  1265. {
  1266. struct ip *ipHeader;
  1267. struct tcphdr *tcpHeader;
  1268. struct udphdr *udpHeader;
  1269. struct icmp *icmpHeader;
  1270. ULONG srcAddr, dstAddr;
  1271. unsigned short ip_len,dstport,srcport;
  1273. switch (protocol) 
  1274. {
  1276. case ETHER_PROTO_IP:
  1277. ipHeader = (struct ip *)pkt;
  1278. //12.4:广播包允许
  1279. if(ipHeader->ip_dst.s_b[3]==255)
  1280. return ALLOW_PKT;
  1281. //12.4
  1282.     srcAddr = ntohl(ipHeader->ip_src.ss_addr);
  1283. dstAddr = ntohl(ipHeader->ip_dst.ss_addr);
  1284. switch (ipHeader->Prot/*>ip_p*/)
  1285. {
  1286.  case IP_PROTO_TCP:
  1287.  {
  1288.      tcpHeader = (struct tcphdr *)(pkt + 
  1289. (ipHeader->ip_hl<< 2));//ipHeader->ip_hl=5;左移后为20(bytes);
  1290.  dstport=ntohs(tcpHeader->th_dport);
  1291.  srcport=ntohs(tcpHeader->th_sport);
  1292.  }
  1293.  break;
  1294.  case IP_PROTO_UDP:
  1295.  {
  1296.  udpHeader = (struct udphdr *)(pkt + 
  1297. (ipHeader->ip_hl << 2));
  1298.  dstport=ntohs(udpHeader->uh_dport);
  1299.  srcport=ntohs(udpHeader->uh_sport);
  1300.  }
  1301.  break;
  1302. }
  1303. /*
  1304.  * Pass all IP fragments that do not have offset 0 (beginning
  1305.  * of the packet) without checking since the TCP/UDP
  1306.  * headers are not in this packet.
  1307.  这种情况下;TCP/UDP头不在此包中;如无攻击行为则通过!
  1308.  */
  1309.    if ((ipHeader->Flgoff/*>ip_off*/ & SW_IP_OFFMASK) != 0)
  1310.    {
  1311. /*
  1312.  * If option is set, then discard pkts with offset of 1
  1313.  */
  1314.   if (filtercfg.discardSuspectOffset &&
  1315.     (ntohs(ipHeader->Flgoff/*ip_off*/ & SW_IP_OFFMASK) == 1) &&
  1316.     (ipHeader->Prot/*>ip_p*/ == IP_PROTO_TCP)) 
  1317.   {
  1319. filterstats.f_outsideSuspectOffset++;
  1320. syslogMessage(SYSL_IN_OFFSET, IP_PROTO_TCP,
  1321. srcAddr, dstAddr);
  1323. return DISCARD_PKT;
  1324.   } 
  1326. /*
  1327.  * If option is set, then discard fragmented ICMP pkts
  1328.  */
  1329. //丢弃分段的icmp报文
  1330.    if (filtercfg.discardFragmentedICMP &&
  1331.     (ipHeader->Prot/*>ip_p*/ == IP_PROTO_ICMP)) 
  1332.    { 
  1334. filterstats.f_outsideIcmpFrag++;
  1335.      syslogMessage(SYSL_IN_FRAG, IP_PROTO_ICMP,
  1336. srcAddr, dstAddr);
  1338. return DISCARD_PKT;
  1339.    } 
  1341. return ALLOW_PKT;
  1342.    } 
  1343.          if(dstport==21||dstport==23||dstport==80||dstport==53)
  1344.  {//外网到DM区
  1345.             if (checkIncomingDM(srcAddr,dstAddr,srcport,dstport,FROMOUT) == DISCARD_PKT)
  1346. {
  1347. filterstats.b_dmFiltered++;
  1348. // filterstats.b_dmFiltered+=pktlen;
  1349.     return IPF_DROP_PKT;
  1350. }
  1351. else 
  1352.     return ALLOW_PKT;
  1353.  }
  1354.  else//进入内网检查
  1355.  {
  1356.   if (checkAccept)
  1357.   { //检查允许表
  1358. if (checkAcceptTable(ipHeader, srcAddr, dstAddr)
  1359.     == DISCARD_PKT)
  1360. return DISCARD_PKT;
  1361.   }  
  1362.   else 
  1363.   {//检查拒绝表(进站包)
  1364. if (checkRejectTable(ipHeader, srcAddr, dstAddr)
  1365.     == DISCARD_PKT)
  1366. return DISCARD_PKT;
  1367.   }
  1368.         //检查ip的上层协议
  1369.  switch (ipHeader->Prot/*>ip_p*/)
  1370.  { 
  1372.  case IP_PROTO_TCP:
  1373. /* tcpHeader = (struct tcphdr *)(pkt + 
  1374. (ipHeader->ip_hl<< 2));//ipHeader->ip_hl=5;左移后为20(bytes);
  1375. /*
  1376.  * Make sure this packet (fragment) includes enough of
  1377.  * the TCP header before making the other checks.
  1378.  * Otherwise a SYN can sneak through since we might be
  1379.  * trying to test something which is actually in the
  1380.  * next fragment.
  1381.  *
  1382.  * NOTE: we drop all of these since we do not keep any
  1383.  *       state between fragments.
  1384.  *
  1385.  * Many thanks to Uwe Ellermann at DFN-CERT for
  1386.  * reporting this problem.
  1387.  */
  1388. //保证最小的tcp头长:至少包含SYN
  1389. ip_len = ntohs(ipHeader->TtlLen/*>ip_len*/);
  1390. if ((ip_len >65535/* protolen*/) ||
  1391.     ((ip_len - (ipHeader->ip_hl << 2)) < 14)) 
  1392. {
  1393. // filterstats.f_outsideShortTcpHdr++;
  1394. syslogMessage(SYSL_IN_LENGTH, IP_PROTO_TCP,
  1395. srcAddr, dstAddr,
  1396. ntohs(tcpHeader->th_sport),
  1397. ntohs(tcpHeader->th_dport));
  1399. return DISCARD_PKT;
  1400. }
  1401.             //对于进入内网的包;因目的地址为防火墙;故不检查端口设置
  1402. /* Check for "ACKless SYN" */
  1403. /* if ((tcpHeader->th_flags & (TH_SYN|TH_ACK)) == TH_SYN)
  1404. {
  1405. return checkIncomingTcp(srcAddr, dstAddr,
  1406. ntohs(tcpHeader->th_sport),
  1407. ntohs(tcpHeader->th_dport));
  1408. }
  1409. */
  1410. break;
  1411. //检查udp
  1412. case IP_PROTO_UDP:
  1413. /* udpHeader = (struct udphdr *)(pkt + 
  1414. (ipHeader->ip_hl << 2));
  1415. /*
  1416.  * Make sure this packet (fragment) includes enough
  1417.  * of the UDP header before making the other checks.
  1418.  */
  1419. //包含足够的UDP头:至少包含srcPort,dstPort;
  1420. ip_len = ntohs(ipHeader->TtlLen/*>ip_len*/);
  1421. if ((ip_len >65535 /*protolen*/) ||
  1422.     ((ip_len - (ipHeader->ip_hl<< 2)) < 4)) {
  1423. // filterstats.f_outsideShortUdpHdr++;
  1424. syslogMessage(SYSL_IN_LENGTH, IP_PROTO_UDP,
  1425. srcAddr, dstAddr,
  1426. ntohs(udpHeader->uh_sport),
  1427. ntohs(udpHeader->uh_dport));
  1429. return DISCARD_PKT;
  1430. }
  1432. /* Check UDP protocols. */
  1433.             //对于进入内网的包;因目的地址为防火墙;故不进行更多的检查
  1434. /*return checkIncomingUdp(srcAddr, dstAddr,
  1435. ntohs(udpHeader->uh_sport),
  1436. ntohs(udpHeader->uh_dport));
  1437. */
  1438. break;
  1439. //ICMP
  1440. case IP_PROTO_ICMP:
  1441. if(filtercfg.discardIcmp)
  1442. {
  1443.     syslogMessage(SYSL_IN_ICMP, IP_PROTO_ICMP,
  1444. srcAddr, dstAddr);
  1445. return DISCARD_PKT;
  1446. }
  1447. icmpHeader = (struct icmp *)
  1448.      (pkt + (ipHeader->ip_hl << 2));
  1450. /*
  1451.  * If option is set, then discard fragmented ICMP pkts
  1452.  */
  1453. if (filtercfg.discardFragmentedICMP &&
  1454.     (ipHeader->Flgoff/*>ip_off */& IP_MF) != 0) 
  1455. {
  1456. filterstats.f_outsideIcmpFrag++;
  1457.      syslogMessage(SYSL_IN_FRAG, IP_PROTO_ICMP,
  1458. srcAddr, dstAddr);
  1461. return DISCARD_PKT;
  1462. }
  1464. /*
  1465.  * If option is set, discard attack ICMP pkts.
  1466.  *
  1467.  * If the ICMP type, code, identifier, and seq num all
  1468.  * equal 0, this may be an ICMP echo reply attack pkt.
  1469.  */
  1470. if (filtercfg.discardAttackICMP &&
  1471.     (*((unsigned short *)icmpHeader) == 0) && /*type & code*/
  1472.     (icmpHeader->icmp_void == 0))
  1473. {      /*id & seq*/
  1475. if (icmpHeader->icmp_cksum == 0xFFFF) 
  1476. {
  1478. /* This is a "smurf" attack */
  1479. filterstats.f_outsideSmurfDos++;
  1480.      syslogMessage(SYSL_IN_DOS,NULL,
  1481.       srcAddr, dstAddr,
  1482.       DOS_SMURF);
  1483.   
  1484. return DISCARD_PKT;
  1486. }
  1487. else
  1488. if (*((unsigned short *)icmpHeader->icmp_data)//?????????
  1489.    == htons(0x4500)) 
  1490. {
  1491. /* This is a "pong" attack *///???????????????////???????????
  1492. filterstats.f_outsidePongDos++;
  1493.      syslogMessage(SYSL_IN_DOS,NULL,
  1494.       srcAddr, dstAddr,NULL,NULL,NULL,
  1495.       DOS_PONG);
  1496.   
  1497. return DISCARD_PKT;
  1498. }
  1500.             /*不进行更多的检查
  1501. return checkIncomingIcmp(srcAddr, dstAddr,
  1502.  icmpHeader->icmp_type);
  1503.  */
  1504. break;
  1505. case IP_PROTO_IGMP:
  1506. if((filtercfg.discardMulticast)||((ipHeader->Flgoff& IP_MF) != 0)) 
  1507. {
  1508.     syslogMessage(SYSL_IN_IGMP, IP_PROTO_IGMP,
  1509. srcAddr, dstAddr);
  1510.   return DISCARD_PKT;
  1511. }
  1512. else 
  1513.               return ALLOW_PKT; 
  1514. default:
  1515. if (filtercfg.discardOtherIp)
  1516. {
  1518. filterstats.f_outsideOtherIp++;
  1519. syslogMessage(SYSL_IN_PROT, (ULONG)ipHeader->Prot,
  1520. srcAddr, dstAddr);
  1522. return DISCARD_PKT;
  1523. }
  1525. /* Everything is allowed so far. */
  1526. break;
  1527.  }
  1528. //first switch语句
  1529. break;
  1530. /*不考虑ARP与RARP报文
  1531. case ETHER_PROTO_ARP:
  1532. //case ETHER_PROTO_REVARP:
  1533. /* pass these guys through no matter what */
  1534. // break;
  1537. default:
  1538. /* Only pass the rest if told to do so. */
  1539. if (filtercfg.discardNonIp)
  1540. {
  1542. /* Boy will this get ugly if the syslog mask is not */
  1543. /* configured properly..... */
  1545. // filterstats.f_outsideNonIp++;
  1546. return DISCARD_PKT;
  1547. }
  1549.   } 
  1551. return ALLOW_PKT;
  1552. }
  1553. return ALLOW_PKT;
  1554. }
  1556. /* ------------------------------------------------------------------------ */
  1558. static ULONG
  1559. checkAcceptTable(struct ip *ipHeader, ULONG srcAddr, ULONG dstAddr)
  1560. {
  1561. /* If the accept table is empty, then forward all packets */
  1562. if (active.acceptTree == NULL)
  1563. return ALLOW_PKT;
  1565. /* If srcAddr is in the tree and it's group is 1, then process pkt */
  1566. //允许ip表的类号也应设置为1
  1567. if (treeLookup(active.acceptTree, srcAddr, 2) == 1)
  1568. {
  1569. /* Discard by default */
  1570. filterstats.f_insideAcceptTable++;
  1571. syslogMessage(SYSL_OUT_ACCEPT, (ULONG)ipHeader->Prot,
  1572. srcAddr, dstAddr);
  1573.   return DISCARD_PKT;
  1574. }
  1575. return ALLOW_PKT;
  1576. }
  1578. /* ------------------------------------------------------------------------ */
  1579. /*
  1580.  * Parameters 'protocol' and 'protolen' are expected to be in host byte order
  1581.  * The packet pointed to by 'pkt' is, of course, in network btye order
  1582.  */
  1583. //出去的只检查允许表
  1584. static ULONG
  1585. checkOutgoingPacket(unsigned short protocol, unsigned char *pkt, unsigned short protolen)
  1586. {
  1588. struct ip *ipHeader;
  1589. struct tcphdr *tcpHeader;
  1590. struct udphdr *udpHeader;
  1591. struct icmp *icmpHeader;
  1592. unsigned short ip_len,dstport,srcport;
  1593. ULONG srcAddr, dstAddr;
  1595. switch (protocol)
  1596. {
  1597. case ETHER_PROTO_IP:
  1598. ipHeader = (struct ip *)pkt;
  1599. //12.4:广播包允许
  1600. if(ipHeader->ip_dst.s_b[3]==255)
  1601. return ALLOW_PKT;
  1602. //12.4
  1603. srcAddr = ntohl(ipHeader->ip_src.ss_addr);
  1604. dstAddr = ntohl(ipHeader->ip_dst.ss_addr);
  1605. //首先进行攻击检查
  1606. /*
  1607.  * Pass all IP fragments that do not have offset 0 (beginning
  1608.  * of the packet) without checking since the TCP/UDP
  1609.  * headers are not in this packet.  An area for improvement
  1610.  * would be to cache session info so we could drop all
  1611.  * disallowed fragments also instead of just the first one.
  1612.  这种情况下(偏移量不在(0~224));TCP/UDP头不在此包中;如无攻击行为则通过!
  1613.  */
  1614. if ((ipHeader->Flgoff/*>ip_off*/ & SW_IP_OFFMASK) != 0)
  1615. {//非first数据包SW_IP_OFFMASK:ntohs(0xFF1F)=0x1FFF:因为前三位为标志
  1616. if (filtercfg.discardSuspectOffset &&
  1617.     (ntohs(ipHeader->Flgoff/**/ & SW_IP_OFFMASK) == 1) &&//ipHeader->Flgoff:0X0100~0X01E0(256~480)
  1618.     (ipHeader->Prot/*>ip_p*/ == IP_PROTO_TCP)) 
  1619. {
  1621. filterstats.f_insideSuspectOffset++;
  1622. syslogMessage(SYSL_OUT_OFFSET, IP_PROTO_TCP,
  1623. srcAddr, dstAddr);
  1624. return DISCARD_PKT;
  1625. }
  1627. /*
  1628.  * If option is set, then discard fragmented ICMP pkts
  1629.  */
  1630. if (filtercfg.discardFragmentedICMP &&
  1631.     (ipHeader->Prot/*>ip_p*/ == IP_PROTO_ICMP)) 
  1632. {
  1634. filterstats.f_insideIcmpFrag++;
  1635.      syslogMessage(SYSL_OUT_FRAG, IP_PROTO_ICMP,
  1636. srcAddr, dstAddr);
  1638. return DISCARD_PKT;
  1639. }
  1641. return ALLOW_PKT;
  1642. }
  1643.         //是第一个ip分片包,可能包含上层协议报头,因此检查上层协议
  1644. switch (ipHeader->Prot/*>ip_p*/)
  1645.  {
  1646.   case IP_PROTO_TCP:
  1647.   {
  1648.      tcpHeader = (struct tcphdr *)(pkt + 
  1649. (ipHeader->ip_hl<< 2));//ipHeader->ip_hl=5;左移后为20(bytes);
  1650.  dstport=ntohs(tcpHeader->th_dport);
  1651.  srcport=ntohs(tcpHeader->th_sport);
  1652.   }
  1653.  break;
  1654.   case IP_PROTO_UDP:
  1655.   {
  1656.  udpHeader = (struct udphdr *)(pkt + 
  1657. (ipHeader->ip_hl << 2));
  1658.  dstport=ntohs(udpHeader->uh_dport);
  1659.  srcport=ntohs(udpHeader->uh_sport);
  1660.   }
  1661.  break;
  1662.  }
  1663.         if(dstAddr==filtercfg.dm_ip)//进入dm检查
  1664. {
  1665.    if(checkIncomingDM(srcAddr,dstAddr,srcport,dstport,FROMIN) == DISCARD_PKT)
  1666. {
  1667. filterstats.b_dmFiltered++;
  1668. // filterstats.b_dmFiltered += pktlen;
  1669.     return IPF_DROP_PKT;
  1670. }
  1671. else 
  1672.      return ALLOW_PKT;
  1673. }
  1674. else//进入外网检查
  1675. {
  1676. if (checkAcceptTable(ipHeader,srcAddr,dstAddr) == DISCARD_PKT)
  1677. return DISCARD_PKT;
  1678. switch (ipHeader->Prot/*>ip_p*/) 
  1679. {
  1680. case IP_PROTO_TCP:
  1681. tcpHeader = (struct tcphdr *)(pkt + 
  1682. (ipHeader->ip_hl<< 2)); 
  1683. /*
  1684.  * Make sure this packet (fragment) includes enough
  1685.  * of the TCP header before making the other checks.
  1686.  */
  1687. ip_len = ntohs(ipHeader->TtlLen/*>ip_len*/);
  1688. if ((ip_len >65535/* protolen*/) ||
  1689.     ((ip_len - (ipHeader->ip_hl<< 2)) < 14))
  1690. {
  1691. // filterstats.f_insideShortTcpHdr++;
  1692. syslogMessage(SYSL_OUT_LENGTH, IP_PROTO_TCP,
  1693. srcAddr, dstAddr,
  1694. ntohs(tcpHeader->th_sport),
  1695. ntohs(tcpHeader->th_dport));
  1697. return DISCARD_PKT;
  1698. }
  1700. /* Check for "ACKless SYN" */
  1701. if ((tcpHeader->th_flags & (TCP_SYN|TCP_ACK)) == TCP_SYN)
  1702. {
  1703. return checkOutgoingTcp(srcAddr, dstAddr,
  1704. ntohs(tcpHeader->th_sport),
  1705. ntohs(tcpHeader->th_dport));
  1706. }
  1707. break;
  1709. case IP_PROTO_UDP:
  1710. udpHeader = (struct udphdr *)(pkt + 
  1711. (ipHeader->ip_hl << 2));
  1712. /*
  1713.  * Make sure this packet (fragment) includes enough
  1714.  * of the UDP header before making the other checks.
  1715.  */
  1716. ip_len = ntohs(ipHeader->TtlLen);
  1717. if ((ip_len >65535 /*protolen*/) ||
  1718.     ((ip_len - (ipHeader->ip_hl << 2)) < 4)) 
  1719. {
  1720. // filterstats.f_insideShortUdpHdr++;
  1721. syslogMessage(SYSL_OUT_LENGTH, IP_PROTO_UDP,
  1722. srcAddr, dstAddr,
  1723. ntohs(udpHeader->uh_sport),
  1724. ntohs(udpHeader->uh_dport));
  1726. return DISCARD_PKT;
  1727. }
  1729. return  checkOutgoingUdp( srcAddr, dstAddr,
  1730. ntohs(udpHeader->uh_sport),
  1731. ntohs(udpHeader->uh_dport));
  1732.         case IP_PROTO_IGMP:
  1733. if(filtercfg.discardMulticast)
  1734. {
  1735.     syslogMessage(SYSL_OUT_IGMP, IP_PROTO_IGMP,
  1736. srcAddr, dstAddr);
  1737. return DISCARD_PKT;
  1738. }
  1739. else 
  1740. return ALLOW_PKT;
  1741. case IP_PROTO_ICMP:
  1742. if(filtercfg.discardIcmp)
  1743. {
  1744.     syslogMessage(SYSL_OUT_ICMP, IP_PROTO_ICMP,
  1745. srcAddr, dstAddr);
  1746. return DISCARD_PKT;
  1747. }
  1748. icmpHeader = (struct icmp *)
  1749.      (pkt + (ipHeader->ip_hl<< 2));
  1751. /*
  1752.  * If option is set, then discard fragmented ICMP pkts
  1753.  */
  1754. if (filtercfg.discardFragmentedICMP &&
  1755.     (ipHeader->Flgoff/*>ip_off*/ & IP_MF) != 0)
  1756. {//IP_MF:0x4000;标志域的第二位为1,说明有后续的分片
  1757. filterstats.f_insideIcmpFrag++;
  1758.      syslogMessage(SYSL_OUT_FRAG, IP_PROTO_ICMP,
  1759. srcAddr, dstAddr);
  1762. return DISCARD_PKT;
  1763. }
  1765. /*
  1766.  * If option is set, discard attack ICMP pkts.
  1767.  *
  1768.  * If the ICMP type, code, identifier, and seq num all
  1769.  * equal 0, this may be an ICMP echo reply attack pkt.
  1770.  */
  1771. if (filtercfg.discardAttackICMP &&
  1772.     (*((unsigned short *)icmpHeader) == 0) && /*type & code*/
  1773.     (icmpHeader->icmp_void == 0))
  1774. {      /*id & seq*/
  1776. if (icmpHeader->icmp_cksum == 0xFFFF)
  1777. {
  1779. /* This is a "smurf" attack */
  1780. filterstats.f_insideSmurfDos++;
  1781.      syslogMessage(SYSL_OUT_DOS,NULL,
  1782.       srcAddr, dstAddr,NULL,NULL,NULL,
  1783.       DOS_SMURF);
  1784.   
  1785. return DISCARD_PKT;
  1788. else
  1789. if (*((unsigned short *)icmpHeader->icmp_data)
  1790.    == htons(0x4500))//69
  1791. {
  1792. /* This is a "pong" attack */
  1793. filterstats.f_insidePongDos++;
  1794.      syslogMessage(SYSL_OUT_DOS,NULL,
  1795.       srcAddr, dstAddr,NULL,NULL,NULL,
  1796.       DOS_PONG);
  1797.   
  1798. return DISCARD_PKT;
  1799. }
  1800. }
  1802. return checkOutgoingIcmp(srcAddr, dstAddr,
  1803.  icmpHeader->icmp_type);
  1805. default:
  1806. if (filtercfg.discardOtherIp)
  1807. {
  1809. filterstats.f_insideOtherIp++;
  1810. syslogMessage(SYSL_OUT_PROT,(ULONG)ipHeader->Prot,
  1811. srcAddr, dstAddr);
  1813. return DISCARD_PKT;
  1814. }
  1816. /* Everything is allowed so far. */
  1817. break;
  1818. }
  1819.       }
  1820. break;
  1822. // case ETHER_PROTO_ARP:
  1823. // case ETHER_PROTO_REVARP:
  1824. /* pass these guys through no matter what */
  1825. // break;
  1827. default:
  1828. /* Only pass the rest if told to do so. */
  1829. if (filtercfg.discardNonIp) {
  1830. // filterstats.f_insideNonIp++;
  1831. // syslogMessage(SYSL_OUT_FILTER, (ULONG)protocol);
  1832. return DISCARD_PKT;
  1833. }
  1834. }
  1836. return ALLOW_PKT;
  1837. }
  1839. /* ------------------------------------------------------------------------ */
  1840. /* char      dev_instance;   //网络设备编号
  1841.    char      direction;       //数据流向
  1842.                                // 1 入站
  1843.      // 2 出站  
  1844.    struct ether_header  h;    //以太帧头的指针
  1845.    struct mbuf    m;          //数据缓冲区的指针
  1846. */
  1847. ULONG
  1848. ipfilter_test_pkt(USHORT dev_instance, UCHAR direction,ULONG ethlen,/* struct ether_header *h,*/BYTE *m)
  1849. {
  1850. unsigned short protocol,protolen;
  1851. unsigned char *pkt;
  1852. unsigned long  pktlen;
  1853. struct ip *ipHeader;
  1854. ULONG srcAddr, dstAddr;
  1855. // unsigned short ip_len;
  1856.  //如果包过滤器没有运行则通过所有包
  1857. if (!filterstats.running)
  1858. return IPF_PROCESS_PKT;
  1859.     struct ether_header *h=(struct ether_header *)m;
  1861. //得到以太帧的协议号,以太帧的数据部分,数据部分长和以太帧总长
  1862. protocol = ntohs(h->ether_type);
  1863. pkt = m+sizeof(struct ether_header);
  1864. protolen =ethlen-sizeof(struct ether_header)/* m->m_pkthdr.len*/;
  1865. pktlen =ethlen;
  1867. //只对IP包进行过滤检查,非IP包允许通过
  1868. if (protocol != ETHER_PROTO_IP) 
  1869. return IPF_PROCESS_PKT;
  1870. else 
  1871. {//如果是IP包,则得到IP包的目的地址和源地址      
  1872. ipHeader = (struct ip *)pkt;
  1873. if(ipHeader->ip_hl>5)
  1874. {
  1875.     syslogMessage((SYSL_OUT_ROUT,ntohs(ipHeader->Prot),srcAddr,dstAddr));              
  1876. return IPF_DROP_PKT;
  1877. }
  1879. // static iii;
  1880. // iii++;
  1881. // TRACE("AAA%dn",iii);
  1882. srcAddr = ntohl(ipHeader->ip_src.ss_addr);
  1883. dstAddr = ntohl(ipHeader->ip_dst.ss_addr);
  1884. }
  1885. if (dev_instance == filtercfg.in_number)//判断设备号
  1886. {   /* 来自内部接口的包 */
  1887.     ULONG rc;
  1888. filterstats.p_insideRx++;
  1889. filterstats.b_insideRx += pktlen;
  1890. //丢弃所有IP地址假冒的包
  1891. if (srcAddr&filtercfg.in_mask == dstAddr&filtercfg.in_mask) //在同一网段
  1892. {
  1893. //在此加上 if (ipHeader->ip_hl != 5) {
  1894. //          if (filtercfg.discardRouteIP){ 
  1895. //             DBstat.f_insideRouteIP++;
  1896. //     syslogMessage((SYSL_OUT_ROUT,ntohs(ipHeader->Prot),srcAddr,dstAddr));              
  1897. return IPF_DROP_PKT;
  1898. }
  1901. //进入外网与DM区检查
  1902. //检查允许表
  1903. rc = checkOutgoingPacket(protocol,pkt,protolen);
  1904. if (rc != ALLOW_PKT)
  1905. {
  1906. filterstats.p_insideFiltered++;
  1907. filterstats.b_insideFiltered += pktlen;
  1908. /* if (rc == DISCARD_AND_ANSWER_PKT)
  1909. return IPF_DROP_AND_ANSWER_PKT;
  1910. */
  1911. return IPF_DROP_PKT;
  1912. }
  1913. filterstats.p_insideTx++;
  1914. filterstats.b_insideTx+= pktlen;
  1915. return IPF_FORWARD_PKT;
  1916. //end
  1917. }
  1918.  else
  1919.  {
  1920. if (dev_instance == filtercfg.out_number) 
  1921. {  /* from the outside interface1 */ //来自外部接口的包
  1922.  ULONG rc;
  1923.  filterstats.p_outsideRx++;
  1924.  filterstats.b_outsideRx += pktlen;
  1925.         
  1926.  if (srcAddr&&filtercfg.out_mask == dstAddr&&filtercfg.out_mask) 
  1927. return IPF_DROP_PKT;
  1928.      
  1929.  //外网进入内网或DM区
  1930.          rc = checkIncomingPacket(protocol,pkt,protolen,0);//0:检查拒绝表
  1931.          if (rc != ALLOW_PKT)
  1932.  {
  1933. filterstats.p_outsideFiltered++;
  1934. filterstats.b_outsideFiltered += pktlen;
  1935. if (rc == DISCARD_AND_ANSWER_PKT)
  1936. return IPF_DROP_AND_ANSWER_PKT;
  1937. return IPF_DROP_PKT;
  1938.  }
  1940.     filterstats.p_outsideTx++;
  1941. filterstats.b_outsideTx+= pktlen;
  1942. return IPF_FORWARD_PKT;
  1943. }
  1944.  }
  1945. /*
  1946.  * The pkt is not from either filter interface so process it normally
  1947.  */
  1948.  //从dm区来的包假定为始终合法
  1949. return DB_PROCESS_PKT;
  1950. }
  1951. VOID   ipfilter_pkt(ULONG ethlen,BYTE *m)
  1952. {
  1953. // TRACE("initialized=%dn",initialized);
  1954.             if(initialized)
  1955. {
  1956.   USHORT dev_instance=m[1];//test
  1957.           UCHAR  direction;//test
  1958.           direction=m[0];
  1959. //   TRACE("direction=%dn",direction);
  1960.   if(direction==0)//从网卡进来
  1961.   {
  1962. static int ii;
  1963.                     ULONG ret;
  1964.             ret=ipfilter_test_pkt(dev_instance,direction,1600,m+2);
  1965.             switch(ret)
  1966. {      
  1967.                case IPF_DROP_PKT:
  1968.                    case IPF_DROP_AND_ANSWER_PKT:
  1969.                            TRACE("memset%dn",ii);
  1970.    ii++;
  1971.    memset(&m[2],0,1598);
  1972.    break;
  1973.         
  1974.                case  DB_PROCESS_PKT:
  1975.                case  IPF_PROCESS_PKT:
  1976.    case  IPF_FORWARD_PKT:
  1977.    break;
  1978.                default:
  1979.    TRACE("defaultn");
  1980.                 break;
  1981. }
  1982.   } 
  1983. }
  1985. }
  1986. /*------------------------------------------------------------------------ */
  1987. /*
  1988.  * Sends tcp reset packet.
  1989.  */
  1990. //将rout发送出去。。。。。。。。。。。。。。。。。。。。。。。。。
  1991. void
  1992. ipfilter_response_pkt(BYTE *rout,ULONG outlen,ULONG inlen/* void *inh, */,BYTE *min)
  1993. {
  1994. memcpy(rout,min,inlen);
  1995. ULONG tmp;
  1996. register struct pkt_struct *out_pkt;
  1997. register struct pkt_struct *in_pkt;
  1999. /* Outbound packet's media header */
  2000. if (filtercfg.media_type == IFT_ETHER)
  2001. {
  2002. register struct ether_header *in_h =(struct ether_header *)/*gj*/ min;
  2003. // register struct ether_header *out_h =mtod(r, struct ether_header *);
  2004. //     register struct ether_header *out_h =mtod(r);////gj
  2005.   //      register struct ether_header *out_h =mtod(r);////gj
  2006.         register struct ether_header *out_h =(struct ether_header *)rout;////gj
  2007. //调还原与目的
  2008. memcpy(&out_h->ether_dhost, &in_h->ether_shost, 6);
  2009. memcpy(&out_h->ether_shost, &in_h->ether_dhost, 6);
  2010. out_h->ether_type = in_h->ether_type;
  2012. // rout->m_data += sizeof(struct ether_header);
  2016. /* else
  2017. { /* IFT_FDDI */
  2018. /* register struct fddi_header *in_h = (struct fddi_header *)h;
  2019. register struct fddi_header *out_h =mtodFddi(r);//gj
  2021. memcpy(out_h->fddi_dhost, in_h->fddi_shost, 6);
  2022. memcpy(out_h->fddi_shost, in_h->fddi_dhost, 6);
  2023. out_h->fddi_fc = in_h->fddi_fc;
  2025. r->m_data += sizeof(struct fddi_header);
  2026. memcpy(r->m_data, m->m_data, LLC_SNAPLEN);
  2027. r->m_data += LLC_SNAPLEN;
  2028. m->m_data += LLC_SNAPLEN;
  2029. }
  2030. */
  2031. /* Setup pointers and clear outbound packet */
  2032. // in_pkt = mtod(m, struct pkt_struct *);
  2033. // out_pkt = mtod(r, struct pkt_struct *);
  2034. in_pkt = mtodPkt(min);//将以太帧内容转换为struct pkt_struct
  2035. out_pkt = mtodPkt(rout);
  2036. // rout->m_len = sizeof(struct pkt_struct);
  2037. memset(out_pkt,0, sizeof(struct pkt_struct));
  2039. /* IP header fields included in the TCP checksum */
  2040. out_pkt->i.TtlLen = htons(20); /* TCP len */
  2041. out_pkt->i.Prot = IP_PROTO_TCP;
  2042. out_pkt->i.ip_src = in_pkt->i.ip_dst;
  2043. out_pkt->i.ip_dst = in_pkt->i.ip_src;
  2045. /* TCP header */
  2046. out_pkt->t.th_sport = in_pkt->t.th_dport;
  2047. out_pkt->t.th_dport = in_pkt->t.th_sport;
  2048. out_pkt->t.th_seq = in_pkt->t.th_ack;
  2049. tmp = ntohl(in_pkt->t.th_seq) + 1;
  2050. out_pkt->t.th_ack = htonl(tmp);
  2051. out_pkt->t.th_off = 5;
  2052. out_pkt->t.th_flags = 0x14;//ack,rst
  2054. /* TCP checksum */
  2055. out_pkt->t.th_sum = in_cksum_tcp(rout);//gj:添加函数体
  2057. /* Finish the IP header */
  2058. out_pkt->i.ip_v = 4;
  2059. out_pkt->i.ip_hl = 5; /* IP hdr len >> 2 */
  2060. out_pkt->i.TtlLen = htons(40); /* Total length */
  2061. out_pkt->i.TTL= 128;
  2063. /* IP header checksum */
  2064. out_pkt->i.ChkSum = in_cksum_hdr((BYTE*)&out_pkt);
  2065. //并未改变以太帧头的内容
  2066. //将rout发送出去。。。。。。。。。。。。。。。。。。。。。。。。。
  2068. /* Adjust outbound mbuf to include media header */
  2069. /* if (filtercfg.media_type == IFT_ETHER) {
  2070. rout->m_data -= sizeof(struct ether_header);
  2071. rout->m_len += sizeof(struct ether_header);
  2072. }
  2073. */
  2074. /*else {
  2075. r->m_data -= (sizeof(struct fddi_header) + LLC_SNAPLEN);
  2076. r->m_len += (sizeof(struct fddi_header) + LLC_SNAPLEN);
  2077. }
  2078. */
  2079. // rout->m_pkthdr.len = rout->m_len;
  2080. //。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
  2081. }
  2083. /* ------------------------------------------------------------------------ */
  2085. static ULONG
  2086. initRequest(initReq *req)
  2087. {
  2088. //清除所有的状态信息(除了日志信息)
  2089.     memset(&filterstats, 0, sizeof(filterstats));
  2090. hlogFile=fopen("日志.txt","a");
  2091. statFile=fopen("统计.txt","a");
  2093. //建立缺省配置
  2094. initTables(&active, 10);//1:初始化为10个类表
  2095. //:当需要运行时动态增加类表数(超过了initTables(&active, 10)中的设置)时
  2096. //:现在用处不大
  2097. //每个类最多可有LIST_SIZE==32个PortListEntry
  2098.     initTables(&newspace, 10);
  2099. GetLocalTime(&filterstats.starttime);
  2100. initialized = YES;
  2102. return NOO_ERROR;
  2103. }
  2105. //地址是主机顺序
  2106. //addrTree是过滤用的。
  2107. //函数适用:外网拒绝表设置,主机类最大范围不可超过255;主机号部分全0、全1除外(1~254)
  2108. //因为外网范围很广
  2109. //相应设置适于外网的搜索函数
  2110. static ULONG
  2111. OutnetaddToTree(OutaddrTreeNode *tbl, in_addr_t addr,/*主机类起始地址,*/ 
  2112. unsigned short hostnums,/*从主机类起始地址开始的主机数,*/
  2113. unsigned short group/*组号与端口列表的组号一至*/)
  2114. {
  2115. int i, start, end, n, level;
  2116. addrTreePtr *ptr=(addrTreePtr *)malloc(sizeof(addrTreePtr));//gj
  2117.         if (!tbl || ((256-addr.s_b[0])<hostnums))
  2118.            return -1;
  2120. //地址范围
  2121.     start=addr.s_b[0];
  2122. end=start+hostnums;
  2123. for (i=start; i<end; i++) 
  2124. {
  2125. ptr->p=tbl;
  2126. addr.s_b[0] = i;
  2127. // 'byte' 说明树有多深 
  2128. //'level'记录正处在何处: 0, 1, 2, or 3 
  2129.         for (n=0, level=0; n < 4; n++, level++)
  2130. {
  2131. //IP地址的下一个8位作为索引,索引这个结点的指针或类的数组
  2132.  unsigned char b =addr.s_b[3 - level];
  2133. // 如果n=3, 最后一个字节
  2134. if (n == 3) 
  2135. {
  2136. if (level == 3) 
  2137. {
  2138. //Level 3只包括类
  2139. ptr->pd->c[b] = group;
  2141. else
  2142. {
  2143. // Levels 0-2 可能是一个类或者是一个指针
  2144. if (!ptr->p->flg[b] && ptr->p->u[b].p)//访问违例???????????
  2145. freeOutTree(ptr->p->u[b].p,level+1);
  2146.                     //释放指针后;存储类号
  2147. ptr->p->u[b].p = NULL;
  2148.                     ptr->p->u[b].c = group;
  2149. ptr->p->flg[b] = 1;
  2150. }
  2151. //一个指针
  2152. }
  2153. else
  2154. {
  2155.      if ((!ptr->p->flg[b])&&(ptr->p->u[b].p))//访问违例??????????
  2156. {//对应的标志为0;同时对应的下一节点指针存在
  2157.    //将树向上移动一个深度
  2158. ptr->p = ptr->p->u[b].p;
  2159. }// 对应的标志为1或 对应的下一节点指针不存在
  2160. else
  2161. {
  2162.  unsigned short j;
  2163.  addrTreePtr next;
  2164.  if (level == 2)
  2165.  {
  2166. unsigned int tmp_c = ptr->p->u[b].c;
  2167. if (!(next.pd = MALLOC_LEAF))//最后一个必定是类
  2168. return 1;
  2169. for (j=0; j<256; j++)
  2170. {
  2171. next.pd->c[j] = tmp_c;
  2172. }
  2173.  }
  2174.  else //level=0或1
  2175.  {
  2176. void *tmp_p = ptr->p->u[b].p;
  2177. unsigned char tmp_f = ptr->p->flg[b];
  2178. if (!(next.p = MALLOC_OUTNODE))
  2179. return 1;
  2180. //对next的每一成员付值;添加到树的前部
  2181. for (j=0; j<256; j++) 
  2182. {
  2183. next.p->u[j].p = (OutaddrTreeNode*)tmp_p;
  2184. next.p->flg[j] = tmp_f;
  2185. }
  2186. int gj=0;
  2187. }//生成下一个节点,并将标志位设置为0指示为一个指针
  2188. ptr->p->u[b].p = next.p;//添加到树的上一节点
  2189. ptr->p->flg[b] = 0;
  2190. ptr->p = next.p;//将临时指针指向树的上一节点
  2191. }
  2192. }//end else(2.1)
  2193. }//end for(2)
  2194. }//end for(1)
  2195. free(ptr);
  2196. return 0;
  2197. }
  2199. VOID clearipfilter()
  2200. {
  2201. if(initialized==YES)
  2202. {
  2203. freeAllPointers(&active);
  2204. freeAllPointers(&newspace);
  2205. /* fwrite(filterlog.str,sizeof(char),filterlog.pos*100,hlogFile);
  2206. */
  2207. writestatistic();
  2208. fprintf(statFile,"n");
  2209. fclose(statFile);
  2210. fclose(hlogFile);
  2211. initialized=NO;
  2212. memset(&filterstats,0,sizeof(Statistics)); 
  2213. memset(&filtercfg,0,sizeof(FilterConfig)); 
  2214.     filtercount=0;
  2215. }
  2217. }
  2218. //地址是主机顺序
  2219. //addrTree是过滤用的。
  2220. //函数适用:主机类最大范围可超过255;//主机号部分全0、全1不除外(1~254)
  2222. static ULONG
  2223. GjaddToTree(addrTreeNode *tbl, in_addr_t addr/*主机类起始地址*/, 
  2224. unsigned short hostnums/*从主机类起始地址开始的主机数*/,
  2225. unsigned short group/*组号与端口列表的组号一至*/)
  2226. {
  2227. unsigned short   start, end,i,n, level,total,remove,remain;
  2228. UCHAR b;
  2229. BOOL bfirst=TRUE;
  2230. addrTreeLeaf *ptrleaf;
  2231.         if (!tbl)
  2232.            return -1;
  2233. //地址范围
  2234. start=addr.s_b[0];
  2235. total=start+hostnums;
  2236. if(total>255)
  2237. {
  2238. end=255;
  2239. remove=255-start;
  2240. }
  2241. else
  2242. {
  2243. end=total;
  2244.         remove=hostnums;
  2245. }
  2246.     do
  2247. {
  2248.     if(!bfirst)
  2249. {
  2250. start=0;
  2251. addr.s_b[1]++;
  2252. }
  2253. for (i=start; i<end; i++) 
  2254. {
  2255. addr.s_b[0] = i;
  2256. //'level'记录正处在何处: 0, 1
  2257.         for (n=0, level=0; n < 2; n++, level++)
  2258. {
  2259. //IP地址的下一个8位作为索引,索引这个结点的指针或类的数组
  2260.   b=addr.s_b[1- level];
  2261.   if(n==1)
  2262.   {
  2263.  ptrleaf->c[b]=group;
  2264.   }
  2265.   else
  2266.   {
  2267.     if(!tbl->u[b].pd)
  2268. {
  2269.  tbl->u[b].pd=MALLOC_LEAF;
  2270. }
  2271.     ptrleaf=tbl->u[b].pd;
  2272.   }
  2273. }
  2274. }
  2275. bfirst=FALSE;
  2276. remain=hostnums-remove;
  2277. if(remain>255)
  2278. {
  2279. end=255;
  2280.     remove+=256;
  2281. }
  2282. else
  2283. {
  2284. end=remain;
  2285. remove+=remain;
  2286. }
  2287. }while(remain);
  2288. return 0;
  2289. }
  2290. static void
  2291. freeOutTree(OutaddrTreeNode *tbl, unsigned char level)
  2292. {
  2293.         int i;
  2295.         if (!tbl || (level > 3)) 
  2296. {
  2297. //参数错误
  2298.                 return;
  2299. }
  2301.         if (level == 3)
  2302. {
  2303.   free((addrTreeLeaf *)tbl);
  2304.   return;
  2305. }
  2307.         for (i=0; i<256; i++) 
  2308. {
  2309.                 if (!tbl->flg[i] && tbl->u[i].p)
  2310. {
  2311.         if (level == 2)
  2312.        free(tbl->u[i].pd);
  2313.         else
  2314.         freeOutTree(tbl->u[i].p, level + 1);//递归的方法????
  2315. }
  2316. }
  2318. free(tbl);
  2319. }
  2320. /* ------------------------------------------------------------------------ */
  2321. //从命令发生器接受命令,并产生动作
  2322. ULONG
  2323. filter_command( unsigned long cmd, char* initinfo)
  2324. {
  2325. ULONG error = 0;
  2326. //未被初始化的IP过滤器,不能接受其他命令
  2327. if (initialized == 0) {
  2328. if ((cmd != DIOCINIT)&&(cmd != DIOCGLOGM) &&
  2329.          (cmd != DIOCSLOGM)) {
  2330. return ERROR_NOT_INITILIZED; /* 没有初始化 */
  2331. }
  2332. }
  2334. switch (cmd) {
  2336. case DIOCINIT: /* 初始化 */
  2337. if (filterstats.running)
  2338. {
  2339. error = ERROR_RUNNING;
  2340. break;
  2341. }
  2342. error = initRequest((initReq *)initinfo);//!!!!!!!!!!!!!!!!!!!!!!!!!!!
  2343. break;
  2345. case DIOCSTART: // 启动 
  2346. if (filterstats.running) 
  2347. {
  2348. error = ERROR_RUNNING;   //已经运行
  2349. break;
  2350. }
  2351. filterstats.running = YES;
  2352. break;
  2354. case DIOCSTOP: // 停止
  2355. if (!filterstats.running) 
  2356. {
  2357. error = ERROR_NOT_RUNNING; // 没有运行 
  2358. break;
  2359. }
  2360. filterstats.running = NO;
  2361. break;
  2363. //输出统计结果//>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  2364. case DIOCGSTATS:
  2365. *((Statistics *)initinfo) = filterstats;
  2366. break;
  2368.     //清除统计信息
  2369. case DIOCCSTATS:
  2370.         memset(&filterstats, 0, sizeof(filterstats));
  2371. break;
  2373. //输入到类表中
  2374. case DIOCSGROUP://!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  2375. // initTables(&newspace, u->val);//现在仅考虑一个主机类的情况
  2376. error = portListRequest((portListReq *)initinfo, &newspace);
  2377. break;
  2379. //输入到网络表中
  2380. case DIOCSNETWORK:
  2381. error = addrTreeRequest((addrTreeReq *)initinfo);
  2382. break;
  2383.   
  2384. //修改网络表
  2385. case DIOCMNETWORK:
  2386. error = manageTablesRequest((manageTablesReq *)initinfo);
  2387. break;
  2389. //输入到拒绝表中
  2390. case DIOCSREJECT:
  2391. error = OutrejaccTableRequest(T_REJTBL,
  2392.    (rejaccTableReq *)initinfo,&newspace );
  2393. break;
  2394.    //输入到允许表中
  2395. case DIOCSACCEPT:
  2396. error = rejaccTableRequest(T_ACCTBL,
  2397.    (rejaccTableReq *)initinfo, &newspace);
  2398. break;
  2399.     case DIOCS_INDM:
  2400. error = rejaccTableRequest(T_INDM,
  2401.    (rejaccTableReq *)initinfo, &newspace);
  2402. break;
  2403.     case DIOCS_OUTDM:
  2404. error = OutrejaccTableRequest(T_OUTDM,
  2405.    (rejaccTableReq *)initinfo, &newspace);
  2406. break;
  2407. default:
  2408. error = ERROR_INVALID_OP; //错误的操作
  2409. break;
  2411. }
  2412. return error;
  2413. }
  2414. void writestatistic()
  2415. {
  2416.     Statistics StatisticInfo;
  2417.     GetStatisticsInfo(&StatisticInfo);
  2418. fprintf(statFile,"起始时间:%d月%d日%d:%d:%dt"
  2419. ,StatisticInfo.starttime.wMonth,StatisticInfo.starttime.wDay,
  2420. StatisticInfo.starttime.wHour,
  2421. StatisticInfo.starttime.wMinute,StatisticInfo.starttime.wSecond);
  2422. SYSTEMTIME systemtime;
  2423. GetLocalTime(&systemtime);
  2424. fprintf(statFile,"结束时间:%d月%d日%d:%d:%dtn"
  2425. ,systemtime.wMonth,systemtime.wDay,systemtime.wHour,
  2426.  systemtime.wMinute,systemtime.wSecond);
  2428. fprintf(statFile,"出站包数:%d"  "字节数:%d"  "通过的内网包数:%d"  "字节数:%d"  "过滤掉的内网包数:%d"  "字节数:%d,n入站包数:%d"  "字节数:%d"  "通过的外网包数:%d"  "字节数:%d"  "过滤掉的外网包数:%d"  "字节数:%d,n"
  2429. ,StatisticInfo.p_insideRx,StatisticInfo.b_insideRx
  2430. ,StatisticInfo.p_insideTx,StatisticInfo.b_insideTx
  2431. ,StatisticInfo.p_insideFiltered,StatisticInfo.b_insideFiltered
  2432. ,StatisticInfo.p_outsideRx,StatisticInfo.b_outsideRx
  2433. ,StatisticInfo.p_outsideTx,StatisticInfo.b_outsideTx
  2434. ,StatisticInfo.p_outsideFiltered,StatisticInfo.b_outsideFiltered
  2435. );
  2436. fprintf(statFile,"进DM包数:%d"  "字节数:%d"  "通过DM的包数:%d"  "字节数:%d"  "DM过滤掉的包数:%d"  "字节数:%d,n"
  2437.     ,StatisticInfo.p_dmRx,StatisticInfo.b_dmRx
  2438. ,StatisticInfo.p_dmFiltered,StatisticInfo.b_dmFiltered
  2439. ,StatisticInfo.p_dmTx,StatisticInfo.b_dmTx
  2440. );
  2441. fprintf(statFile,"内网:nt禁止IP的包数:%d"  "禁止ICMP分段的包数:%d"  "禁止ICMP类型的包数:%d"  "pong攻击包数:%d,n"  "smurf攻击的包数:%d"  "可疑offset的包数:%d"  "禁止tcp端口的包数:%d"  "禁止udp端口的包数:%dn禁止组播的包数:%d"  "禁止别的IP包数:%dn"
  2442. ,StatisticInfo.f_insideAcceptTable,StatisticInfo.f_insideIcmpFrag
  2443. ,StatisticInfo.f_insideIcmpType,StatisticInfo.f_insidePongDos
  2444. ,StatisticInfo.f_insideSmurfDos,StatisticInfo.f_insideSuspectOffset
  2445. ,StatisticInfo.f_insideTcpPort,StatisticInfo.f_insideUdpPort
  2446. ,StatisticInfo.f_insideMcast,StatisticInfo.f_insideOtherIp);
  2447.  fprintf(statFile,"外网:nt禁止IP的包数:%d"  "禁止ICMP分段的包数:%d"  "禁止ICMP类型的包数:%d"  "pong攻击包数:%dnsmurf攻击的包数:%d"  "可疑offset的包数:%d"  "禁止组播的包数:%dn" "禁止别的IP的包数:%dn"
  2448. ,StatisticInfo.f_outsideRejectTable,StatisticInfo.f_outsideIcmpFrag
  2449. ,StatisticInfo.f_outsideIcmpType,StatisticInfo.f_outsidePongDos
  2450. ,StatisticInfo.f_outsideSmurfDos,StatisticInfo.f_outsideSuspectOffset
  2451. ,StatisticInfo.f_outsideMcast,StatisticInfo.f_outsideOtherIp);
  2452. }
  2453. VOID GetStatisticsInfo(Statistics* StatisticInfo)
  2454. {
  2455. filter_command(DIOCGSTATS,(char*)StatisticInfo);
  2456. }
  2457. VOID mysearch()
  2458. {
  2459. /* ULONG group0,group1,group2,group3,group4,group5,group6,group7,group8,group9;
  2460. //没有则返回0
  2461. //主机树
  2462. group0 = treeLookup(active.addrTree, ntohl(inet_addr("192.168.130.205")), active.num_groups);
  2463. group1 = treeLookup(active.addrTree, ntohl(inet_addr("192.168.0.13")), active.num_groups);
  2464. group1 = treeLookup(active.addrTree, ntohl(inet_addr("192.168.0.14")), active.num_groups);
  2465. group2=treeLookup(active.addrTree, ntohl(inet_addr("192.168.3.11")), active.num_groups);//no
  2466. group2=treeLookup(active.addrTree, ntohl(inet_addr("192.168.11.11")), active.num_groups);//no
  2467. //允许树
  2468. group3 = treeLookup(active.acceptTree, ntohl(inet_addr("192.168.130.205")), active.num_groups);
  2469. group4 = treeLookup(active.acceptTree, ntohl(inet_addr("192.168.0.21")), active.num_groups);//no
  2470. group4 = treeLookup(active.acceptTree, ntohl(inet_addr("192.168.13.21")), active.num_groups);//no
  2471. //拒绝树
  2472. group5 = treeOutLookup(active.rejectTree, ntohl(inet_addr("192.168.130.205")), active.num_groups);
  2473. group6 = treeLookup(active.acceptTree, ntohl(inet_addr("192.168.13.21")), active.num_groups);//no
  2474. group7= treeLookup(active.In_FtpTree, ntohl(inet_addr("111.11.111.11")), active.num_groups);//no
  2475. group8 = treeLookup(active.In_HttpTree, ntohl(inet_addr("111.11.111.11")), active.num_groups);//no
  2476. group9 = treeLookup(active.In_SmtpTree, ntohl(inet_addr("111.11.111.11")), active.num_groups);//no
  2477. */
  2478. }