Linux网络路由表处理及钩子(Iptables and Ebtables)

最新推荐文章于 2023-06-26 16:16:26 发布
最新推荐文章于 2023-06-26 16:16:26 发布
阅读量3k 收藏
点赞数
分类专栏: Linux

网络处理过程



轮询和中断

设备和内核之间主要用两种技术来交换数据:
轮询和中断。
轮询: 内核不停地检测设备是不是有数据接收到。
中断: 当有事件发生时,设备驱动程序指示设备产生中断

帧接收和发送

/net/core/dev.c




协议处理机(Protocol Handler)

在网络的每一层,都有一个协议处理机来负责该层的通信。

sk_buff结构

协议类别: sk_buff->protocol
协议头 (ETH, IP, ARP,ICMP,TCP,UDP…..)
入口设备
出口设备
数据

netif_receive_skb函数根据sk_buff中指定的协议做出相应处理。



在Linux内核中,每种协议都由一个packet_type数据结构来描述。



packet_type结构

struct packet_type { 
                unsigned short type;    //协议类型:ETH_P_IP, ETH_P_ARP……
                 struct net_device *dev; 
                 int (*func) (struct sk_buff *, struct net_device *, struct packet_type *);    //回调函数指针,协议处理机 (protocol handler)
                 void *af_packet_priv; 
                 struct list_head *list; 
}; 

注册协议处理机

主要调用dev_add_packet函数来实现。本例示范如何注册IP协议处理机ip_rcv.

static struct packet_type ip_packet_type = 

            .type = _ _constant_htons(ETH_P_IP), 
            .func = ip_rcv, 


int ip_rcv(struct sk_buff *buf, struct net_device *nd, struct packet_type *pt)
{
}

 void _ _init ip_init(void) 
 { 
               dev_add_pack(&ip_packet_type); 
              ... 
 } 

协议定义

ETH_P_IP                 0x0800     ip_rcv 
ETH_P_X25              0x0805     X25_lap_receive_frame
ETH_P_ARP             0x0806     arp_rcv
ETH_P_BPQ             0x08FF     bpq_rcv
ETH_P_DNA_RT      0x6003     dn_route_rcv
ETH_P_RARP           0x8035     ic_rarp_recv 
ETH_P_8021Q          0x8100      vlan_skb_rcv
ETH_P_IPX              0x8137       ipx_rcv
ETH_P_IPV6            0x86DD      ipv6_rcv
ETH_P_PPP_DISC 
ETH_P_PPP_SES     0x8863 
                                   0x8864     pppoe_disc_rcvpppoe_rcv

网络路由表及过滤器(Iptables/Netfilter)

Netfilter: 在协议栈不同点的一系列钩子
Iptables: 用户空间控制工具,可以添加/删除/修改Netfilter钩子和规则


内核模块可以在以上任何一点(1~5)注册钩子来监听数据包。
表类型是*filter *nat *mangle。
可以注册以下动作:



Netfilter钩子

本例示范如何在ip_rcv函数中注册钩子ip_rcv_finish。
#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \
        NF_HOOK_THRESH(pf,hook, skb, indev, outdev, okfn, INT_MIN)

#define NF_HOOK_THRESH(pf, hook, &(skb), indev, outdev, okfn, thresh)
        ({int __ret;
        if ((__ret = nf_hook_thresh(pf, hook, &(skb), indev, outdev, okfn, INT_MIN,     
                      cond))==1),
            __ret = okfn(skb);
            __ret;})
static inline nf_hook_thresh(int pf, unsigned int hook, struct sk_buff **pskb, 
                struct net_device *indev,
                struct net_device *outdev,
                int (*okfn)(struct sk_buff *),   
                                                int thresh,
                int cond)
{
                nf_hook_slow(....);
}

ip_rcv_finish(...)
{
}

ip_rcv(…)
{
    …
    NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL, ip_rcv_finish)   
    …
}

下面是具体处理流程:




链路层处理

桥接

桥接处理过程如下:


Ebtables

Ebtables: 可以在桥接内核模块不同点上注册一系列钩子。原型如下:
NF_HOOK(PF_BRIDGE, NF_BR_PRE_ROUTING, skb, skb->dev, NULL, br_handle_frame_finish)


beatle_1983
关注
专栏目录
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2228
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
路由表iptables - Linux实现路由器
热门推荐
喵喵的技术博客
10-17 1万+
计算机网络通信的本质就是IP数据包的转发,而实现数据包转发的基础就是位于网络中各节点上的路由表(RouteTable),即使节点不具备数据包转发的功能,以其自身(Localhost)作为收发终端的的数据包传递也要通过其上路由表实现,下图是对网络节点数据包收发机制的抽象框图,通常充当网络节点的设备会具备不只一个网络接口,接口可以是可以是物理的的也可以是虚拟的,接口必须要配置上IP地址才能实现数据包的...
iptables详解(2):路由表
RToax
10-01 2977
Table of Contents 更深的iptables VS路由表 相关文章 在默认的iptables上,包含raw-> mangle-> nat-> filter,4个表。每个表包含多个“链”。每个链包含一系列“规则”。下面的“ iptables –list”的常用用法。 $ iptables -L -n --line-numbers # you can add -t <table-name> (default table is FILTER) Chai.
iptableslinux路由的区别,路由表iptables - Linux实现路由器
weixin_33404412的博客
05-13 1473
计算机网络通信的本质就是IP数据包的转发,而实现数据包转发的基础就是位于网络中各节点上的路由表(RouteTable),即使节点不具备数据包转发的功能,以其自身(Localhost)作为收发终端的的数据包传递也要通过其上路由表实现,下图是对网络节点数据包收发机制的抽象框图,通常充当网络节点的设备会具备不只一个网络接口,接口可以是物理的也可以是虚拟的,接口必须要配置上IP地址才能实现数据包的收发,接...
Linux Netfilter注册钩子
weixin_30815427的博客
11-20 256
注册钩子点首先要包含响应的头文件,因为这应该已经属于对kernel的编程了。 1 #include <linux/module.h> 2 #include <linux/kernel.h> 3 #include <linux/init.h> 其次,要定义钩子函数 1 static unsigned int example(unsi...
iptables处理流程图
所作所为
10-30 951
 
linux网卡钩子,Linux网络路由表处理钩子Iptables and Ebtables)
weixin_30462741的博客
05-06 728
packet_type结构struct packet_type {unsigned short type; //协议类型:ETH_P_IP, ETH_P_ARP……struct net_device *dev;int (*func) (struct sk_buff *, struct net_device *, struct packet_type *); //回调函数指针,协议处理机...
Linux路由表详细介绍
09-15
Linux路由表是操作...总结,理解并掌握Linux路由表对于网络管理员和系统管理员来说至关重要,因为它直接影响着系统的网络通信能力。通过合理配置路由表,可以优化网络性能,确保数据包能够准确无误地到达目的地。
Linux网络iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 972
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤处理数据包的各种规则并按照先后顺序存放在各规则链中。
iptables规则、路由表配置、虚拟IP创建常用操作
最新发布
youcan_doit的博客
06-26 3654
iptables规则、路由表配置、虚拟IP创建常用操作
ebtables/iptables interaction on a Linux-based bridge
cxhmcu的专栏
10-22 420
ebtables/iptables interaction on a Linux-based bridge Table of Contents Introduction How frames traverse theebtableschains A machine used as a bridge and a router (not a brouter) DNAT'ing bridged packets Chain traversal for bridged IP packets ...
Linux 网络协议注册及内核对其的处理过程
baidu20008的专栏
09-10 2348
1 Overview 1.1 网络协议栈模型 两个最著名的网络协议模型: 7 层的 OSI 模型和 5 层的 TCP/IP 模型, 如下图: Network protocol module 后文的介绍以 TCP/IP 模型为主,数据在不同层中传递的时候, 需要知道使用何种协议来对代传输的数据进行处理, 例如,在 L2 层, 网卡驱动接收到了 skb
IC半导体电路公司网站搭建模板
fofu33的专栏
08-11 580
IC半导体芯片电路科技公司网站搭建模板,织梦最新内核开发的模板,该模板属于微科技电子、中英双语类企业使用,一款适用性很强的模板,基本可以适合各行业的企业网站!蓝色中英双语网站源码,更重要的此套模板还带手机端网站,可实现织梦电脑端和手机端数据同步,模板也是少有的中英双语带手机站的网站。 带织梦最新版手机端,同一个后台,数据即时同步,简单适用! 原创设计、手工书写DIV+CSS, 完美兼容IE7+、Firefox、Chrome、360浏览器等;主流浏览器; 页面简洁简单,容易管理,DEDE内核都可以使用;附带测
linux内核网络协议栈--packet_type(十二)
bob的博客
06-15 1480
进入函数netif_receive_skb()后,skb正式开始协议栈之旅。 先上图,协议栈大致过程如下所示: 跟OSI七层模型不同,linux根据包结构对网络进行分层。 比如,arp头和ip头都是紧跟在以太网头后面的,所以在linux协议栈中arp和ip地位相同(如上图) 但是在OSI七层模型中,arp属于链路层,ip属于网络层… 这里就不死抠概念,我们就说arp,ip都属于第二层。下面是网络第二层的处理流程 一、相关数据结构 内核处理网络第二层,有下面2个重要list_head变量 (文件linux_
ebtables hook
weixin_30877755的博客
11-08 216
1概述 netfliter框架不仅仅在ipv4中有应用,bridge,ipv4,ipv6,decnet这四种协议中都有应用,其中ipv4中又分开了arp和ip的两种 其实netfliter是个大的框架,在ipv4中对应的应用层工具是iptables,在bridge中对应的应用层工具是ebtables,在arp中对应的应用层工具是arptables iptables中有raw,filte...
26. 静态路由和iptables
hello world
07-13 889
1. 把linux配置成路由器 准备一台机器: 改主机名 hostnamectl set-hostname network01 bash 重启网络服务 systemctl restart network ip addr 由于配置的静态路由就是相当于网关的一种,所以在配置网卡时,要记得删除网关,DNS。 数据在传输的过程中随着数据的传送 物理地址一直改变,但是源IP和目标Ip不变 2. iptables 参数; -I 插入一条规则,(默认是从自上而下应用规则,所以咋插入规则时,要考虑先后顺序,
iptables及其过滤规则
成长的足迹
03-19 5279
1. iptablesLinux内核的一个模块,用以管理对网络设备(网卡)的访问,如路由过滤、端口转发、NAT等,root用户可以通过iptables配置操作系统的路由表。在当前的主流Linux发布系统中,都默认安装了iptables。 为了适应IPv6,事实上iptables用以管理IPv4数据包的过滤和地址转换,ip6tables用以管理IPv6数据包的过滤和地址转换。后文将其统一称为ip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值