本节将介绍IpFwd和FirewallCmd两个命令。
**1.IpFwd命令**
IpFwd命令比较简单,主要是控制内核ipforward功能,其支持三个选项。
- status:用于判断ipforward功能是否开启。
- enable和disable:分别用于启动和禁止ipforward功能。
上述功能借助TetherController控制对象来完成,其内部代码非常简单,就是通过读写/proc/sys/net/ipv4/ip_forward文件来实现对内核ipforward功能的管理。
>[info] **提示** 读者可上网搜索/proc/sys/net/ipv4目录下其他文件的作用。
**2.FirewallCmd命令**
FirewallCmd用于防火墙控制。它支持以下命令选项。
- enable和is_enabled:用于启动防火墙和判断防火墙是否已经启动。
- set_interface_rule:针对单个或多个NIC设备设置防火墙规则。
- set_egress_source_rule和set_egress_dest_rule:基于源IP和目标IP地址设置防火墙。
- set_uid_rule:根据uid设置单个进程的防火墙。
下面重点介绍防火墙功能的启动以及如果针对单个进程的设置防火墙规则。
(1)启动防火墙
本节介绍enable和set_uid_rule。其中,enable将调用FirewallCtronller的enableFireWall函数,代码如下所示。
**FirewallController.cpp::enableFirewall**
~~~
int FirewallController::enableFirewall(void) {
int res = 0;
// 先清空fw_INPUT/fw_OUTPUT/fw_FORWARD链中的规则
disableFirewall();
// 启动防火墙就是设置Filter表中fw_INPUT/fw_OUTPUT/fw_FORWARD的目标为DROP和REJECT
res |= execIptables(V4V6, "-A", LOCAL_INPUT, "-j", "DROP", NULL);
res |= execIptables(V4V6, "-A", LOCAL_OUTPUT, "-j", "REJECT", NULL);
res |= execIptables(V4V6, "-A", LOCAL_FORWARD, "-j", "REJECT", NULL);
return res;
}
~~~
由上述代码可知,当启动防火墙时,filter表中三个用于防火墙控制的Chain的目标都改为DROP或REJECT,这样系统就无法收发网络数据包。图2-19所示为笔者在Ubuntu机器上设置的规则。
:-: 
图2-19 enable防火墙
图2-19所示是利用Ubuntu机器模拟enableFirewall函数后的结果。防火墙启动后,机器就无法连接网络了。
读者可能好奇,为什么enableFirewall的破坏作用如此之大?这是因为防火墙设置一般有两种方法。
- 先允许整个系统都能上网,然后再单独设置防火墙规则以禁止某些模块连接网络。
- 先禁止整个系统上网,然后再单独设置防火墙规则以允许某些模块能连接网络。
由此可知,Android采用了第二种更为严厉的方式来设置防火墙。接下来的工作就需要设置各种防火墙规则以允许某些程序能够上网了。本节讨论如何为单个进程设置防火墙规则。
* * * * *
**提示** 采用Ubuntu来测试enableFirewall,因为模拟器和主机也使用socket通信,一旦启动防火墙,主机就无法再使用adb shell来控制模拟器了。
* * * * *
(2)设置进程防火墙
本节介绍的针对单个应用程序设置其防火墙规则,是大部分软件管家禁止某些应用程序上网的通用方法。代码在setUidRule函数中,如下所示。
**FirewallController.cpp::setUidRule**
~~~
int FirewallController::setUidRule(int uid, FirewallRule rule) {
char uidStr[16];
sprintf(uidStr, "%d", uid);
const char* op;
if (rule == ALLOW) {
op = "-I";
} else {
op = "-D";
}
int res = 0;
res |= execIptables(V4V6, op, LOCAL_INPUT,"-m", "owner",
"--uid-owner", uidStr,"-j", "RETURN", NULL);
res |= execIptables(V4V6, op, LOCAL_OUTPUT, "-m", "owner",
"--uid-owner", uidStr,"-j", "RETURN", NULL);
return res;
}
~~~
该函数很简单,就是调用正确的iptables命令,它们分别如下。
~~~
iptables-I FORWARD_INPUT-m owner--uid-owner uid-j RETURN
iptables-I FORWARD_OUTPUT-m owner--uid-owner uid-j RETURN
~~~
这里要特别指出的是,目前Android只能根据uid来区分进程。由于Android平台允许不同应用程序共享同一个uid[^①]。多个应用程序共享同一个uid的情况下,如果用户禁止了其中一个应用程序(软件管家的防火墙控制允许用户选择是否禁止某个应用程序上网),则连带其他的相关程序都不能上网,虽然用户并没有选择禁止其他应用程序。
* * * * *
**提示** 笔者测试了360安全卫士,当出现上述关联情况时,它能提醒用户哪些关联程序也会被一并禁止上网。
* * * * *
[^①]:参考《深入理解Android:卷Ⅱ》4.3.1节关于Android系统中UID/GID知识的介绍。
- 前言
- 第1章 准备工作
- 1.1 Android系统架构
- 1.2 工具使用
- 1.2.1 Source Insight的使用
- 1.2.2 Eclipse的使用
- 1.2.3 BusyBox的使用
- 1.3 本书资源下载说明
- 第2章 深入理解Netd
- 2.1 概述
- 2.2 Netd工作流程
- 2.2.1 main函数分析
- 2.2.2 NetlinkManager分析
- 2.2.3 CommandListener分析
- 2.2.4 DnsProxyListener分析
- 2.2.5 MDnsSdListener分析
- 2.3 CommandListener中的命令
- 2.3.1 iptables、tc和ip命令
- 2.3.2 CommandListener构造函数和测试工具ndc
- 2.3.3 InterfaceCmd命令
- 2.3.4 IpFwd和FirewallCmd命令
- 2.3.5 ListTtysCmd和PppdCmd命令
- 2.3.6 BandwidthControlCmd和IdletimerControlCmd命令
- 2.3.7 NatCmd命令
- 2.3.8 TetherCmd和SoftapCmd命令
- 2.3.9 ResolverCmd命令
- 2.4 NetworkManagementService介绍
- 2.4.1 create函数详解
- 2.4.2 systemReady函数详解
- 2.5 本章总结和参考资料说明
- 2.5.1 本章总结
- 2.5.2 参考资料说明
- 第3章 Wi-Fi基础知识
- 3.1 概述
- 3.2 无线电频谱和802.11协议的发展历程
- 3.2.1 无线电频谱知识
- 3.2.2 IEEE 802.11发展历程
- 3.3 802.11无线网络技术
- 3.3.1 OSI基本参考模型及相关基本概念
- 3.3.2 802.11知识点导读
- 3.3.3 802.11组件
- 3.3.4 802.11 Service介绍
- 3.3.5 802.11 MAC服务和帧
- 3.3.6 802.11 MAC管理实体
- 3.3.7 无线网络安全技术知识点
- 3.4 Linux Wi-Fi编程API介绍
- 3.4.1 Linux Wireless Extensions介绍
- 3.4.2 nl80211介绍
- 3.5 本章总结和参考资料说明
- 3.5.1 本章总结
- 3.5.2 参考资料说明
- 第4章 深入理解wpa_supplicant
- 4.1 概述
- 4.2 初识wpa_supplicant
- 4.2.1 wpa_supplicant架构
- 4.2.2 wpa_supplicant编译配置
- 4.2.3 wpa_supplicant命令和控制API
- 4.2.4 git的使用
- 4.3 wpa_supplicant初始化流程
- 4.3.1 main函数分析
- 4.3.2 wpa_supplicant_init函数分析
- 4.3.3 wpa_supplicant_add_iface函数分析
- 4.3.4 wpa_supplicant_init_iface函数分析
- 4.4 EAP和EAPOL模块
- 4.4.1 EAP模块分析
- 4.4.2 EAPOL模块分析
- 4.5 wpa_supplicant连接无线网络分析
- 4.5.1 ADD_NETWORK命令处理
- 4.5.2 SET_NETWORK命令处理
- 4.5.3 ENABLE_NETWORK命令处理
- 4.6 本章总结和参考资料说明
- 4.6.1 本章总结
- 4.6.2 参考资料说明
- 第5章 深入理解WifiService
- 5.1 概述
- 5.2 WifiService的创建及初始化
- 5.2.1 HSM和AsyncChannel介绍
- 5.2.2 WifiService构造函数分析
- 5.2.3 WifiStateMachine介绍
- 5.3 加入无线网络分析
- 5.3.1 Settings操作Wi-Fi分析
- 5.3.2 WifiService操作Wi-Fi分析
- 5.4 WifiWatchdogStateMachine介绍
- 5.5 Captive Portal Check介绍
- 5.6 本章总结和参考资料说明
- 5.6.1 本章总结
- 5.6.2 参考资料说明
- 第6章 深入理解Wi-Fi Simple Configuration
- 6.1 概述
- 6.2 WSC基础知识
- 6.2.1 WSC应用场景
- 6.2.2 WSC核心组件及接口
- 6.3 Registration Protocol详解
- 6.3.1 WSC IE和Attribute介绍
- 6.3.2 802.11管理帧WSC IE设置
- 6.3.3 EAP-WSC介绍
- 6.4 WSC代码分析
- 6.4.1 Settings中的WSC处理
- 6.4.2 WifiStateMachine的处理
- 6.4.3 wpa_supplicant中的WSC处理
- 6.4.4 EAP-WSC处理流程分析
- 6.5 本章总结和参考资料说明
- 6.5.1 本章总结
- 6.5.2 参考资料说明
- 第7章 深入理解Wi-Fi P2P
- 7.1 概述
- 7.2 P2P基础知识
- 7.2.1 P2P架构
- 7.2.2 P2P Discovery技术
- 7.2.3 P2P工作流程
- 7.3 WifiP2pSettings和WifiP2pService介绍
- 7.3.1 WifiP2pSettings工作流程
- 7.3.2 WifiP2pService工作流程
- 7.4 wpa_supplicant中的P2P
- 7.4.1 P2P模块初始化
- 7.4.2 P2P Device Discovery流程分析
- 7.4.3 Provision Discovery流程分析
- 7.4.4 GO Negotiation流程分析
- 7.5 本章总结和参考资料说明
- 7.5.1 本章总结
- 7.5.2 参考资料说明
- 第8章 深入理解NFC
- 8.1 概述
- 8.2 NFC基础知识
- 8.2.1 NFC概述
- 8.2.2 NFC R/W运行模式
- 8.2.3 NFC P2P运行模式
- 8.2.4 NFC CE运行模式
- 8.2.5 NCI原理
- 8.2.6 NFC相关规范
- 8.3 Android中的NFC
- 8.3.1 NFC应用示例
- 8.3.2 NFC系统模块
- 8.4 NFC HAL层讨论
- 8.5 本章总结和参考资料说明
- 8.5.1 本章总结
- 8.5.2 参考资料说明
- 第9章 深入理解GPS
- 9.1 概述
- 9.2 GPS基础知识
- 9.2.1 卫星导航基本原理
- 9.2.2 GPS系统组成及原理
- 9.2.3 OMA-SUPL协议
- 9.3 Android中的位置管理
- 9.3.1 LocationManager架构
- 9.3.2 LocationManager应用示例
- 9.3.3 LocationManager系统模块
- 9.4 本章总结和参考资料说明
- 9.4.1 本章总结
- 9.4.2 参考资料说明
- 附录