linux下的Netfilter&iptables:filtile表中如何向链中挂载处理函数

最新推荐文章于 2021-05-14 09:49:21 发布
最新推荐文章于 2021-05-14 09:49:21 发布
阅读量356 收藏 1
点赞数
分类专栏: Linux 网络协议栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asn1111/article/details/104109060
版权

 

挂载钩子处理函数都是在初始化中做的  filtile表则是在iptable_filter_init函数中将iptable_filter_hook函数注册到NF_BR_LOCAL_IN NF_BR_FORWARD NF_BR_LOCAL_OUT 链上。

函数调用关系如下  内核Linux 4.14版本

static int __init iptable_filter_init(void)
{
    int ret;

    ret = register_pernet_subsys(&iptable_filter_net_ops);
    if (ret < 0)
        return ret;

    /* Register hooks */
    filter_ops = xt_hook_link(&packet_filter, iptable_filter_hook);
    if (IS_ERR(filter_ops)) {
        ret = PTR_ERR(filter_ops);
        unregister_pernet_subsys(&iptable_filter_net_ops);
    }

    return ret;
}
 

static const struct xt_table packet_filter = {
    .name        = "filter",
    .valid_hooks    = FILTER_VALID_HOOKS,
    .me        = THIS_MODULE,
    .af        = NFPROTO_ARP,
    .priority    = NF_IP_PRI_FILTER,
};

 #define FILTER_VALID_HOOKS ((1 << NF_BR_LOCAL_IN) | (1 << NF_BR_FORWARD) | \
   (1 << NF_BR_LOCAL_OUT))

/****注册钩子处理函数  把处理函数放到钩子上*****/

/**
 * xt_hook_link - set up hooks for a new table
 * @table:    table with metadata needed to set up hooks
 * @fn:        Hook function
 *
 * This function will take care of creating and registering the necessary
 * Netfilter hooks for XT tables.
 */
struct nf_hook_ops *xt_hook_link(const struct xt_table *table, nf_hookfn *fn)
{
    unsigned int hook_mask = table->valid_hooks;
    uint8_t i, num_hooks = hweight32(hook_mask);
    uint8_t hooknum;
    struct nf_hook_ops *ops;
    int ret;

    ops = kmalloc(sizeof(*ops) * num_hooks, GFP_KERNEL);
    if (ops == NULL)
        return ERR_PTR(-ENOMEM);

/**********for循环把处理函数放到钩子上************/

    for (i = 0, hooknum = 0; i < num_hooks && hook_mask != 0;
         hook_mask >>= 1, ++hooknum) {
        if (!(hook_mask & 1))
            continue;
        ops[i].hook     = fn;
        ops[i].owner    = table->me;
        ops[i].pf       = table->af;
        ops[i].hooknum  = hooknum;
        ops[i].priority = table->priority;
        ++i;
    }

/************注册向钩子添加处理函数**************/

    ret = nf_register_hooks(ops, num_hooks);
    if (ret < 0) {
        kfree(ops);
        return ERR_PTR(ret);
    }

    return ops;
}
EXPORT_SYMBOL_GPL(xt_hook_link);

 

int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n)
{
    unsigned int i;
    int err = 0;

    for (i = 0; i < n; i++) {
        err = nf_register_hook(&reg[i]);
        if (err)
            goto err;
    }
    return err;

err:
    if (i > 0)
        nf_unregister_hooks(reg, i);
    return err;
}
EXPORT_SYMBOL(nf_register_hooks);

 

int nf_register_hook(struct nf_hook_ops *reg)
{
    struct nf_hook_ops *elem;

    mutex_lock(&nf_hook_mutex);

/**********nf_hooks为全局变量  是个二维数组***************/
    list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
        if (reg->priority < elem->priority)
            break;
    }
    list_add_rcu(&reg->list, elem->list.prev);
    mutex_unlock(&nf_hook_mutex);
#ifdef HAVE_JUMP_LABEL
    static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]);
#endif
    return 0;
}
EXPORT_SYMBOL(nf_register_hook);

时光漫走
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linuxiptables那点儿事儿
hellboy0621的博客
04-21 193
1、NetFilterLinux系统核心层内部的一个数据包处理模块 2、Hook point 数据包在NetFilter挂载点,包括 PRE_ROUTING INPUT OUTPUT FORWARD POST_ROUTING iptables命令最终会调用netfilter,通过hook point挂载到网络层五个不同的挂载点,数据包通过这些挂载点,进行相应的操作,实现...
linux内核网络协议栈--2层报文处理(十七)
bob的博客
06-18 1978
版本说明 Linux版本: 3.10.103 网卡驱动: ixgbe 网络协议注册 br_add_if主要是注册桥处理函数br_handle_frame给skb->edv->rx_handler。 netdev_create–>netdev_rx_handler_register主要是注册接收函数netdev_frame_hook,此处是给openvswitch的datapath用的。 报文接收 网卡调用__netif_receivve_skb_core后,会调用skb->dev
协议栈(Bridge)
Jiajun Zhu
10-28 1495
bridge是一个二层虚拟网络设备,通过brctl命令创建,提供了二层的ebtables,类似于三层的iptables http://blog.chinaunix.net/uid-28315531-id-3572529.html https://www.cnblogs.com/morphling/p/3458546.html 注册 module_init(br_init) static int ...
Linux 网桥代码分析 五 网桥端口设备接收数据包的处理分析
lickylin的专栏
03-04 6324
对于网桥端口设备,底层接收到数据以后,经过网卡驱动的接收函数处理以后,最终会调用函数netif_receive_skb,而netif_receive_skb在对数据包头进行相关处理以及对ptype_all上注册的相关协议进行调用deliver_skb处理后(包括PF_PACKET类型的rawsocket处理),会调用handle_bridge进入网桥处理,而其会调用br_handle_frame
Linux Bridge的IP NAT细节探析-填补又一坑的过程
Netfilter
03-23 1万+
前序近日温州皮鞋厂老板正在忙着学习Linux Bridge以及诸多虚拟网卡相关的东西,老湿给了一些指导,但最根本的还要靠温州老板自己。就好像有仙灵在聆听心声,我正因为温州老板的缘故一而再再而三地怀念曾经玩转Linux Bridge,Linux Netfilter的那段痛并快乐着的时光,另外一个好玩的东西恰在此时切入。        大概有三年多没有玩Linux Bridge了,甚是想念。感谢同事给
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables和内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
洞悉linux下的Netfilter&iptables;整理
08-27
洞悉linux下的Netfilter&iptables; 内核的ip_tables小觑、内核的rule,match和target、包过滤子系统iptable_filter、如何理解连接跟踪机制、状态防火墙、DNAT、SNAT、iptables命令行工具源码解析
Linux下netfilteriptableslog日志格式探讨.pdf
09-06
Linux下netfilter/iptableslog日志格式探讨 本文将探讨Linux系统下的netfilter/iptables日志格式,对其进行分析和改进。通过对ipt_LOG.c源文件的分析,我们可以看到当前的日志记录格式存在一些问题,如过于随意...
洞悉linux下的netfilter&iptables
07-06
洞悉linux下的netfilter&iptables, 根据博客整理而成
LinuxNetfilter_iptables的研究与应用.pdf
09-06
LinuxNetfilter_iptables的研究与应用.pdf
网桥调用IP层netfilter的HOOK函数
redwingz的博客
05-24 6916
Linux的网桥属于二层转发设备,可利用ebtables工具根据数据包的ethernet头等信息,配置规则,如下,将目的MAC地址为00:01:02:03:04:05的数据包,转发到目的MAC地址为00:06:07:08:09:0a的主机上:ebtables -t nat -A PREROUTING -d 00:01:02:03:04:05 -j dnat --to-destination 00...
NF_IP_LOCAL_IN NF_IP_LOCAL_OUT
tycoon的专栏
11-05 1552
下面主要是通过上面接收的hook注册函数,实现向内核相应的hook点注册hook回调函数,结合icmp数据包的格式,实现对icmp数据包的处理。   icmp_reply_filter.c 主要是数据接收方向的NF_IP_LOCAL_IN点注册回调函数,该回调函数对接收到的icmp reply报文,将序列号是9的倍数的reply报文丢弃掉 #include  #in
netfilter接跟踪实现之nf_conntrack_in函数
City_of_skey的博客
12-10 3083
1、数据包方向 要分析连接接跟踪的实现我们就要先分析数据包在协议栈的方向,总的来说主要分为三个方向:本机转发的数据包、本机接受的数据包、本机产生的数据包,我们之前分析了连接跟踪只在四个上注册了钩子函数,分别是PRE_ROUTING、OUT、LOCAL_IN、POST_ROUTING。PRE_ROUTING上注册的是ipv4_conntrack_in,OUT上注册的是ipv4_c...
linux网桥处理函数学习-----br_handle_frame
jackywgw的专栏
10-20 2883
/* * Return NULL if skb is handled * note: already called with rcu_read_lock */ rx_handler_result_t br_handle_frame(struct sk_buff **pskb) { struct net_bridge_port *p; struct sk_buff *skb =
linux网桥如何转发数据包,Linux内核bridge的数据包处理流程
weixin_32672471的博客
05-12 1669
1. 前言本文简要介绍数据包在进入桥网卡后在Linux网络协议栈的处理流程,并描述netfilter的hook点的挂接处理情况,具体各部分的详细处理待后续文章说明。以下内核代码版本为2.6.19.2.2. 函数处理流程bridge入口点handle_bridge()/* net/core/dev.c */int netif_receive_skb(struct sk_buff *skb){......
linux网桥stp分析,linux网桥stp分析
weixin_42617406的博客
05-14 1475
STP(Spanning Tree Protocol)是一个二层管理生成树协议。在一个扩展的局域网参与STP的所有交换机之间通过交换桥协议数据单元bpdu(bridge protocol data unit)来实现;为稳定的生成树拓扑结构选择一个根桥;为每个交换网段选择一台指定交换机;将冗余路径上的交换机置为blocking,来消除网络的环路.其标准在IEEE 802.1d定义,提供网络的动态...
linux内核netfilter模块分析之:HOOKs点的注册及调用
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其可以根据内核提供的数据结构获取连接跟踪记录。  iptables 的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
Windows系统如何mount盘符到目录
热门推荐
Netfilter
08-31 2万+
本文是从另一篇关于Linux文件系统实现的文章里摘出来的。 在Windows上如何将一个文件系统分区挂载到一个目录,这其实是一个 硬需求! 是的,非常硬的需求。因为我们总是面临C盘,D盘满了却无法动态扩容问题。所以,在有一天我因为路上堵车撸了一个Linux上的最小的tinyfs之后,就想到顺便解决一下Windows的mount问题,并且发现了方法,就记录了下来。 我以前确实不知道Windows系统...
一个反外挂的策略
Netfilter
02-09 3260
如何反外挂呢?现行的方式很多都是设置一个随机字符串,然后进行MD5校验,要么就是在服务器端进行微小的逻辑验证控制,比如一秒内点击鼠标10次就被认为是外挂所为,其实还有一种方法,就是每周或者每天动态更新一个随机数作为序列号,然后用户登录的时候每发送一个包都会携带递增的序列号,一点序列号不匹配就拒绝,这样即使外挂程序猜出了序列号,也要每周或者每天更新外挂程序,会把他们拖垮的,问题是序列号谁生成的问题,
Linux防火墙系统构建指南:Netfilter/Iptables配置管理
iptables是Netfilter框架下的一个应用程序,它提供了一种基于规则的防火墙系统。 2. iptables的配置管理: iptables的配置管理分为两部分:规则的配置和的配置。规则的配置是指定义防火墙规则的过程,而的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值