Android下基于Iptables的一种app网络访问控制方案（一）[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

1.什么是Iptable？

百度百科对于Iptables有详细的介绍。简单地说，Iptables是Linux内核提供的一套IP信息包过滤系统，对外由Iptables命令提供设置过滤规则的入口。

Android是基于Linux的操作系统，支持Iptables。执行Iptables命令需要root权限。

2.如何配置Iptables命令链？

假设一个安卓系统网络访问管理体系，需要针对不同的app、不同的域名配置不同的网络访问控制策略（允许访问/禁止访问），譬如，规定使用UC浏览器可以访问sina，使用360浏览器不可以访问sohu，等等。

在root过的Android设备上，通过adb shell，调试Iptables命令链。

第1步：根据user id区分不同的app

Android系统安装apk的时候，会为每一个应用分配一个userId，userId在此设备上将唯一且不再变化（但同一个app在不同的设备上userId可能不同）。另外，应用也可以通过在AndroidManifest.xml中通过android:shareUserId字段来和其他应用共享userId，但有其他限制，比如签名等，此处不展开。

Android系统中/data/system/packages.xml用来记录系统中所有安装的应用信息，其中可以查到userId。针对某一个应用，根据其包名查到userId。包名可以通过在手机上启动应用，然后adb shell下通过dumpsys window查看。假设查到UC浏览器的userId为10060。

简便起见，即以10060为UC使用的规则链（chain）名。

第2步：创建规则链并且关联到app

在adb shell下执行命令创建规则链：

iptables -N 10060

执行下面命令将规则链10060与UC浏览器关联：

iptables -A OUTPUT -m owner –uid-owner 10060 -j 10060

语义说明：向OUTPUT规则链附加一条规则：如果IP信息报匹配到uid是10060，则跳转（-j）到规则链10060。iptables支持区分不同的uid以跳转到不同的规则链。通过iptables -L可以查询到当前内核已有的规则链。其中OUTPUT是内核自动创建的处理本地生成的IP信息包的规则链。

在具体配置规则链10060之前，可以运行下面命令将10060内容清掉：

iptables -F 10060

为什么要在OUTPUT中添加规则链，而不是在INPUT？

因为往往需要实现网络访问白名单功能，即允许访问某个域名，其他的不允许。有很多网站的内容IP包并不仅仅是自己的域名下，还包括一些其他的域名，譬如新浪的域名是http://www.sina.com.cn/，新浪微博的域名是http://weibo.com/，新浪域名下的很多网页可能内容来自新浪微博。这种情况难以统计清楚或预估，所以如果在INPUT中只放行白名单域名关键字的IP包，往往会丢失内容。

在OUTPUT中添加规则链，利用Http协议中的Host头域，只放行白名单域名的请求。能更好的地实现白名单需求。

第3步：配置访问规则

白名单功能：

允许访问某一域名（www.abc.com）禁止访问其他域名

iptables -A 10060 -p tcp -m string –string Host: –algo bm -j MARK –set-mark 1

iptables -A 10060 -p tcp -m mark –mark 1 -m string –string abc –algo bm -j ACCEPT

iptables -A 10060 -p tcp -m mark –mark 1 -j REJECT

黑名单功能：

禁止访问某一域名（www.abc.com）允许访问其他域名

iptables -A 10060 -m string –string abc –algo bm -j REJECT

iptables -A 10060 -j ACCEPT

说明：对于黑名单，逻辑比较简单，只要把所有包含abc的IP包REJECT即可，其余的ACCEPT，即使没有第二条命令，默认也是ACCEPT。

对于白名单，针对Host头域，原因如上。对于包含Host的IP包先做一次mark（标记），然后对此标记的IP包判断是否包含abc。