Linux netfilter 学习笔记 之三 ip层netfilter的table、rule、match、target结构分析

最新推荐文章于 2023-04-19 17:29:10 发布
最新推荐文章于 2023-04-19 17:29:10 发布
阅读量1.1w 收藏 17
点赞数 11
分类专栏: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lickylin/article/details/33321905
版权

基于linux2.6.21


上一节分析了ip层hook回调函数的注册以及调用流程,本节我们就开始分析每一个模块的具体实现。 工欲善其事必先利其器,一个功能模块的代码实现与其数据结构的设计有很大的关系,所以我们本节主要是分析table、rule、match、target相关的数据结构,争取本节能把数据结构的定义以及数据结构之间的关系分析明了。

 

1. table、rule、match、target等相关数据结构分析

在分析table、rule、match、target之前,先把它们之间的联系图贴出来,看了这个图以后,我们基本上就知道xt_table里rule、match、target之间的关联了。

 

 

 总体框架图

对于一个xt_table表,通过其private指针,指向了xt_table_info结构,而xt_table_info中的entries指针数组的每一个指针成员指向xt_table表在相应cpu中的rule的首地址。

一个表中的所有rule在一个连续的内存块中,让所有rule在一个连续的内存块中,使对rule规则的遍历寻址成为了可能,因为一个规则相对于下一个规则并没有使用链表的形式连接在一起。

而一个完整的rule规则,包括了ipt_entry、ipt_entry_match、ipt_standard_target组成(其实ipt_entry就代表了一个规则,通过ipt_entry->elems即可找到该规则对应的match)。

下面我们一一分析上图提到的数据结构。

 

1.1 xt_table

 

该结构体对应于iptables中的表,目前内核注册的table有filter、mangle、nat、raw表,而这些table根据pf值添加到xt_af[pf].tables链表中。而一个xt_table中包含了该表所支持的hook点与该表里已添加的所有rule规则。

 
struct xt_table
{
/*用于将xt_table连接在一起的链表成员*/
struct list_head list;
 
/*表名*/
char name[XT_TABLE_MAXNAMELEN];
 
/*该表所感兴趣的hook点*/
unsigned int valid_hooks;
 
/*读写锁*/
rwlock_t lock;
 
/*指针,指向xt_table_info,这个指针指向的xt_table_info才是表的重要成员
用于存放规则链*/
void *private;
 
/* 判断该表是否属于一个模块 */
struct module *me;
 
/*协议号*/
int af;
};


 

 

 


1.2 xt_table_info

上面分析xt_table时,我们只xt_table通过private指针指向了xt_table_info,xt_table_info里面包括了表中含有的规则,是表比较重要的结构体。

 


struct xt_table_info
{
/*在一个cpu内,该xt_table所包含的所有规则的内存总数(以字节为单位)*/
unsigned int size;/*规则的个数*/
unsigned int number;/*初始化时的规则格式*/
unsigned int initial_entries;
/*每条规则链相对于第一条规则链的偏移量*/
unsigned int hook_entry[NF_IP_NUMHOOKS];/*这个具体用在什么地方我还没有搞懂,看别人的解释为每一条规则链范围的最大
上限,不过我看初始化时,其与hook_entry在对应规则链上的值是相等的,目前我在代码里发现对underflow的调用,基本上都是将其与hook_entry在对应规则链上的值设置为
相同的,还需要深入分析后确认*/
unsigned int underflow[NF_IP_NUMHOOKS];
 
/* ipt_entry tables: one per CPU */
/*每一个cpu里,ipt_entry指针,指向ipt_entry规则的首地址*/
char *entries[NR_CPUS];
};


 

关于ipt_tale_info与ipt_table、ipt_entry的关系见上面的总体架构图。

 

1.3 ipt_entry

下面我们分析下ipt_entry

struct ipt_entry
{
struct ipt_ip ip;
 
/* Mark with fields that we care about. */
unsigned int nfcache;
 
/* Size of ipt_entry + matches */
/*该规则中target结构相对于该ipt_entry首地址的偏移量*/
u_int16_t target_offset;
/* Size of ipt_entry + matches + target */
/* 下一个规则相对于该ipt_entry首地址的偏移量*/
u_int16_t next_offset;
 
/* 这个变量的用途有两个:
1.判断table表中的规则链是否存在环路
2.遍历规则链链时,用于用户自定义链的规则执行完时返回到主链时使用*/
unsigned int comefrom;
 
/* Packet and byte counters. */
struct xt_counters counters;
 
/*由于在设计时需要match结构与ipt_entry的内存是连续的,但是一个ipt_entry包含的match个数又是可变的,所以定义了一个可变长度数组elems,主要是为了实现动态的申请match内存空间*/
unsigned char elems[0];
};


 

1.3.1 ipt_ip

对应的ipt_ip定义如下,其主要用于标准匹配

/*

标准匹配时的匹配条件

*/

struct ipt_ip {
/* 源、目的ip地址 */
struct in_addr src, dst;
/* 源、目的ip地址的掩码*/
struct in_addr smsk, dmsk;
/*数据包入口、出口的网络接口名称*/
char iniface[IFNAMSIZ], outiface[IFNAMSIZ];
/*入口、出口的网络接口掩码*/
unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];
 
/* Protocol, 0 = ANY */
/*协议号*/
u_int16_t proto;
 
/* Flags*/
u_int8_t flags;
 
/*是否是反转匹配*/
/* Inverse flags */
u_int8_t invflags;
};


 

 

一个ipt_entry的整体结构如上图。

 

1.4 ipt_entry_match

我们使用到ipt_entry_match时,就说明这是一个扩展match,对于一个标准match是通过调用函数ip_packet_match,对ipt_entry->ip进行判断来实现的,只有扩展match才会使用该结构体在ipt_entry中添加一个ipt_entry_match变量。

 

 

 

match结构体,包括用户态与内核态联合体,通过这个联合体我们发现

只有match_size是共用的。当用户态需要添加新的规则时,对于新规则的

match,用户态只在ipt_entry_match.u.user.name中设置match的名称,而内核在添加规则时

就会根据ipt_entry_match.u.user.name在链表xt[af].match中查找符合要求的ipt_entry_match,当查找

到时就会对ipt_entry_match.u.kernel.match 进行赋值

struct ipt_entry_match
{
union {
struct {
/*该match所占用的内存大小(以字节为单位)*/
u_int16_t match_size;
 
/*该match的名称*/
char name[IPT_FUNCTION_MAXNAMELEN-1];
/*该match的版本,
通过match的名称与版本信息可以唯一确定一个match。
*/
u_int8_t revision;
} user;
struct {
/*该match所占用的内存大小(以字节为单位)*/
u_int16_t match_size;
 
/*指向ipt_match结构,对于*/
struct ipt_match *match;
} kernel;
 
/* Total length */
u_int16_t match_size;
} u;
 
/*可变长度数组,与下一个match或者target关联*/
unsigned char data[0];
};


ipt_entry_match相关的结构体图如下:

 

上图是一个ipt_entry_match与ipt_match以及一个ipt_match与xt_af[2].match之间的关联,当我们定义了一个xt_match(xt_match与ipt_match是同一个结构)时,需要将其插入到相应的xt_af[pf].match链表中。而当我们为一个rule规则添加一个扩展match时,根据ipt_entry_match.u.user.name查找xt_af[pf].match链表,当查找到相应的xt_match时,就将其地址赋值给ipt_entry_match.u.kernel.match(将该图与总体框架图搭配使用,就基本明了ipt_table、ipt_table_info、ipt_entry、ipt_entry_match、xt_match、xt_af[pf].match这几个数据结构之间的关系)。


1.4.1 xt_match

而xt_match的定义如下:

struct xt_match
{
struct list_head list; //链表,使该match添加到match链表中
 
const char name[XT_FUNCTION_MAXNAMELEN-1];//match名称
 
u_int8_t revision;
 
/* Return true or false: return FALSE and set *hotdrop = 1 to
           force immediate packet drop. */
/* Arguments changed since 2.6.9, as this must now handle
   non-linear skb, using skb_header_pointer and
   skb_ip_make_writable. */
 /*
 match处理函数
*/
int (*match)(const struct sk_buff *skb,
     const struct net_device *in,
     const struct net_device *out,
     const void *matchinfo,
     int offset,
     unsigned int protoff,
     int *hotdrop);
 
/* Called when user tries to insert an entry of this type. */
/* Should return true or false. */
/*合法性检查函数,在创建一个ipt_entry时,在为其match指针赋值后,即会调用该函数
进行合法性检查,当检查失败后,即会返回失败,且说明ipt_table创建失败*/
int (*checkentry)(const char *tablename,
  const void *ip,
  void *matchinfo,
  unsigned int matchinfosize,
  unsigned int hook_mask);
 
/* Called when entry of this type deleted. */
/*销毁函数*/
void (*destroy)(void *matchinfo, unsigned int matchinfosize);
 
/* Set this to THIS_MODULE if you are a module, otherwise NULL */
struct module *me;
};


如果我们想要添加一个扩展match,就要初始化一个xt_match结构,并且将插入到xt_af[pf].match链表

 

1.5 ipt_standard_target

 

该结构体主要是对ipt_entry_target的封装,且增加了变量verdict。

 

这个verdict起到了很大的作用。

对于target,我们需要知道target有两大类,标准target与扩展target

a)对于标准target,其ipt_entry_target.u.kernel.target为NULL,其只需返回NF_ACCEPT/NF_DROP等操作。

b)对于扩展target,需要调用ipt_entry_target.u.kernel.target,执行扩展target操作,并根据返回值决定是否允许数据通行。

 

即扩展匹配是根据ipt_entry_target.u.kernel.target决定数据包下一步的执行操作,那标准匹配是根据什么决定数据包下一步的操作的呢?

 

答案就是verdict,当verdict为小于0时,则-verdict则为数据包下一步的执行操作;当verdict大于0时,则说明该target需要跳转到一个用户自定义链的链首地址,其值为用户自定义链相对于表的第一条链规则的偏移量。

  基于以上,我们知道verdict的存在即指明了标准target的动作,又为用户链的存在并生效提供了可能。

 

struct ipt_standard_target
{
struct ipt_entry_target target;
int verdict;
};


 

1.6 ipt_entry_target

 

虽然与ipt_entry_match定义相同,但是ipt_entry_target既可以表示一个标准target,也可以表示一个扩展target。当是一个标准的target时,其ipt_entry_target.u.kernel.target为NULL。

 

下面我们分析一下这个结构体:

/*

target结构体,包括用户态与内核态联合体,通过这个联合体我们发现

只有target_size是共用的。当用户态需要添加新的规则时,对于新规则的

target,用户态只在ipt_entry_target.u.user.name中设置target的名称,而内核在添加规则时

就会根据ipt_entry_target.u.user.name在链表xt[af].target中查找符合要求的ipt_standard_target,当查找

到时就会对ipt_entry_target.u.kernel.target 进行赋值

 

*/

struct ipt_entry_target
{
union {
struct {
u_int16_t target_size; //target 所占用的内存大小
 
/* Used by userspace */
char name[IPT_FUNCTION_MAXNAMELEN-1];//target 的名字
/*target的版本号,这个值也有很大的作用,这个值让target的向 上兼容成为了可能。
存在以下情况:
对于target名称为"ABC ",revision为0的target,我们想对这个 target的扩展target函数做新的架构修改,但是又不想改target的 名称,也不想直接改原target的扩展target函数,这时我们可以重 新添加一个target名称为"ABC",revision为1,且扩展target函数
为我们新编写的target。这样既保证了针对原来target "ABC"的 iptables规则能正确执行,又能满足我们新的需求。
通过name与revision可以唯一确定一个target
*/
u_int8_t revision;
} user;
struct {
/*target 所占用的内存大小*/
u_int16_t target_size;
/* 扩展target使用,用于指向xt_target */
struct ipt_target *target;
} kernel;
 
/*target 所占用的内存大小*/
u_int16_t target_size;
} u;
/*可变长数组,与下一个ipt_entry关联*/
unsigned char data[0];
};


ipt_entry_target相关的结构体图如下:

 

上图是一个ipt_entry_target与ipt_target以及一个ipt_target与xt_af[2].target之间的关联,当我们定义了一个xt_target(xt_target与ipt_target是同一个结构)时,需要将其插入到相应的xt_af[pf].target链表中。而当我们为一个rule规则添加一个扩展target时,根据ipt_entry_target.u.user.name查找xt_af[pf].target链表,当查找到相应的xt_target时,就将其地址赋值给ipt_entry_target.u.kernel.tagret(将该图与总体框架图搭配使用,就基本明了ipt_table、ipt_table_info、ipt_entry、ipt_entry_target、xt_target、xt_af[pf].target这几个数据结构之间的关系)。


1.6.1 xt_target

xt_target的定义如下:

struct xt_target
{
struct list_head list;//链表,使该match添加到target链表中
 
const char name[XT_FUNCTION_MAXNAMELEN-1];//target 名称
 
u_int8_t revision;
 
 
/*
target处理函数,对于SNAT、DNAT即在其target函数里,更新request或者reply方向 ip_conntrack_tuple值
*/
unsigned int (*target)(struct sk_buff **pskb,
       const struct net_device *in,
       const struct net_device *out,
       unsigned int hooknum,
       const void *targinfo,
       void *userdata);
 
/*合法性检查函数,在创建一个ipt_entry时,在为其target指针赋值后,即会调用该函数
进行合法性检查,当检查失败后,即会返回失败,且说明ipt_table创建失败*/
int (*checkentry)(const char *tablename,
  const void *entry,
  void *targinfo,
  unsigned int targinfosize,
  unsigned int hook_mask);
 
/*销毁函数,当删除一个规则时调用*/
void (*destroy)(void *targinfo, unsigned int targinfosize);
 
/* 该target是否属于一个模块 */
struct module *me;
};


当我们想要添加一个扩展target,就要初始化一个xt_target结构,并且将插入到xt_af[pf].target链表

 

 

至此,基本上就把三层netfilter相关的数据结构一一介绍完了,综合以上分析,结合上面的结构关联图,就把结构体ipt_table、ipt_table_info、ipt_entry、ipt_entry_target、xt_target、xt_af[pf].target、xt_af[pf].match、xt_af[pf].tables、xt_match、ipt_ip之间的关联也介绍清楚了。至此,万事俱备,就差分析表的创建、初始化、添加规则、删除规则、遍历表规则、添加match、添加target等具体实现了。只要对数据结构之间的关系清楚了,分析这些功能的实现就顺理成章了。

jerry_chg
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
linux内核协议栈 netfilterip 层的tablerulematchtarget结构分析
10-30 2022
在使用iptables过程中,经常会提到tablerulematchtarget,这些在内核都有对应的数据结构rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rulematchtarget 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
Netfiltertablerulematchtarget数据结构
九天小哥的专栏
03-24 1345
表、规则、匹配和target在内核中都有其对应的数据结构,在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及它们之间的关系。 如标题,这篇笔记记录的内容针对的是PF_INET协议族,对于PF_INET6,相同概念对应的数据结构并不相同。 数据结构 struct net 如下,每个协议族有一个自己的链表,用来组织该协议族的表。 struct net { ... #ifdef CONFIG_...
洞悉linux下的Netfilter&iptables:什么是Netfilter
海边顽石的专栏
08-31 1万+
转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 很多人在接触iptables之后就会这么一种感觉:我通过iptables命令配下去的每一条规则,到底是如何生效的呢?内核又是怎么去执行这些规则匹配呢?如果iptables不能满足我当下的需求,那么我是否可以去对其进行扩展呢?这些问题,都是我在接下来的博文中一一和大家分享的话题。
iptables衍生出的疑问
最新发布
qq_41781462的博客
04-19 361
学习Iptablenetfilter中有很多疑问,简单分析netfilter的原理,以及如何自己注册自定义表和钩子函数
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1688
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ipnetfilter的hook 注册以及执行hook函数的概要分析》、《ipnetfiltertablerulematchtarget结构分析》、《 ipnetfilter...
code_linux.rar_LINUX防火墙_ip过滤_linux 防火墙_netfilter过滤_防火墙过滤
09-23
netfilter防火墙,实现ip过滤,协议过滤,端口过滤
Linux netfilter/iptables知识点详解
01-09
NetfilterLinux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间...
linux netfilter 机制分析
09-12
linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
XTTable:一种用于快速布局和配置UITable和UICollectionView的工具
02-19
XTTable 快速布局和配置UITable和UICollectionView的工具 例子 要运行示例项目,请克隆存储库并运行目录。 要求 iOS 8.0或更高版本 安装 XTTable可通过。 要安装它,只需将以下行添加到您的Podfile中: pod "XTTable" 使用情况 #import <XTTable> // for UITableView and UITableViewCell #import <XTTable> // for UICollectionView and UICollectionViewCell 设置 [MyCell xt_registerNibFromTable: self .table] ; [ self .table xt_setup ] ; self.tabl
【博客597】iptables如何借助连续内存块通过xt_table结构管理流量规则
qq_43684922的博客
01-18 660
xt_table 的初始化:不同的规则表有以下特征:基于规则的最终目的,iptables 默认初始化了 4 个不同的规则表,分别是 raw、 filter、nat 和 mangle。以 filter 为例介绍 xt_table的初始化和调用过程:filter table 的定义如下: 在 iptable_filter.c 模块的初始化函数 iptable_filter_init中,调用xt_hook_link 对 xt_table 结构 packet_filter 执行如下初始化过程:不同 table
netfilter之nat初始化
City_of_skey的博客
12-11 603
nat功能是我们使用非常广泛,包括SNAT、DNAT,很多功能是基于NAT实现。 (1)SNAT SNAT简称源地址转换,比如一个公司只有一个共有IP,公司下面有许多私有设备,私有设备都分配了私有地址,私有地址不能在互联网中传递,那么就要做源地址转换,私有设备要访问互联网就会把源地址转换为公司的共有IP,通过这个共有IP访问互联网。 (2)DNAT DNAT简称目的地址转换,也就是把目的地...
netfilter数据结构设计的艺术
Netfilter
02-09 3599
netfilter较以前的ipchains提升了一个层次,在ipchains的东西中抽象出来共性的东 西然后形成了一个框架,从ipchains到netfilter的发展展现了软件发展的数据不断抽象的过程,也正是《重构》一书中讲的精髓。 netfilter不再为具体的过滤服务,而是提供了一个过滤模板,用户不再需要重新设计具体的过滤过程,而只需要填充这个模板就可以了,也就是说 netfilter只提供
linux Netfilter在网络层的实现详细分析iptables)
热门推荐
weixin_42915431的博客
12-31 1万+
本文来详细分析linux netfilter在网络层的实现细节,本文代码分析是基于Linux内核版本4.18.0-80(也即centos8.0系统上)。我画了一张linux内核协议栈网络层netfilteriptables)的全景图,里面涉及内容比较多,本文会详细讲解。
table模块各个结构定义 及 iptables filter hook函数注册
sidemap的博客
12-04 286
1、iptables filter tables 首先看一下xt_table -> xt_table_info -> xt_entry -> ipt_entry / ipt_entry_match / ipt_standard_target ->ipt_entry_target / verdict之间的关系 涉及到的部分结构体 ///< include/l...
xt_action_param/xt_match/xt_target
sidemap的博客
11-28 885
/** * struct xt_action_param - parameters for matches/targets * * @match: the match extension * @target: the target extention * @matchinfo: per-match data * @targetinfo: per-targ...
netfilter:开发一个match模块
倚楼听风雨的博客
09-20 1592
一、说明     下图说明了Netfilter模块是如何运行的,它指出我们需要开发两个东西,一个是用户态的共享库so,一个是内核态的内核库ko。命名规则有讲究,如果模块叫Mymodules,那么内核态源代码一般命名为ipt_Mymodules.c,头文件为ipt_Mymodules.h,用户态源代码为libipt_Mymodules.c。     用户态和内核态的模块各有什么作用?用户态的
iptables match 扩展
chengfangang的专栏
12-09 3909
转载地址:http://blog.chinaunix.net/uid-23069658-id-3230608.html 自己开发一个match模块        今天我们来写一个很简单的match来和大家分享如何为iptables开发扩展功能模块。这个模块是根据IP报文中有效载荷字段的长度来对其进行匹配,支持固定包大小,也支持一个区间范围的的数据包,在用户空间的用法是:          i
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值