netfilter的规则处理

最新推荐文章于 2024-02-26 16:27:01 发布
最新推荐文章于 2024-02-26 16:27:01 发布
阅读量300 收藏
点赞数
分类专栏: linux转载 文章标签: 数据结构 Linux .net IE 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809297
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

1. 前言

netfilter中的防火墙规则是通过用户层的iptables命令来进行编辑的。而规则都是从属于某个表的(见我以前关于 netfilter新表的文章)。一般在mangle表对数据进行修改,在nat表对数据进行NAT,在filter表进行过滤。所不同的是NAT表中的规则只对新包(NEW/RELATED)进行处理,而MANGLE和FILTER表中的规则对所有数据包都处理。

以下Linux内核代码版本为2.4.26。

2. 数据结构
每条规则是用结构struct ipt_entry来定义的:
/* include/linux/netfilter_ipv4/ip_tables.h */
struct ipt_entry
{
 struct ipt_ip ip;
 /* Mark with fields that we care about. */
 unsigned int nfcache;
 /* Size of ipt_entry + matches */
 u_int16_t target_offset;
 /* Size of ipt_entry + matches + target */
 u_int16_t next_offset;
 /* Back pointer */
 unsigned int comefrom;
 /* Packet and byte counters. */
 struct ipt_counters counters;
 /* The matches (if any), then the target. */
 unsigned char elems[0];
};
参数说明:
struct ipt_ip ip:基本匹配项,包括协议、源地址/掩码、目的地址/掩码、进入网卡、出网卡等
unsigned int nfcache:标志项
u_int16_t target_offset:规则动作的偏移位置
u_int16_t next_offset:下一个规则的偏移位置
unsigned int comefrom:规则返回点
struct ipt_counters counters:计数器
unsigned char elems[0]:规则匹配项表,最后是动作项

ipt_ip结构:
struct ipt_ip {
 /* Source and destination IP addr */
 struct in_addr src, dst;
 /* Mask for src and dest IP addr */
 struct in_addr smsk, dmsk;
 char iniface[IFNAMSIZ], outiface[IFNAMSIZ];
 unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];
 /* Protocol, 0 = ANY */
 u_int16_t proto;
 /* Flags word */
 u_int8_t flags;
 /* Inverse flags */
 u_int8_t invflags;
};
规则中的匹配项结构,注意这不是描述匹配的结构struct ipt_match
struct ipt_entry_match
{
 union {
// 这是用户空间(iptables)用到的部分,只提供名称即可
  struct {
   u_int16_t match_size;
   /* Used by userspace */
   char name[IPT_FUNCTION_MAXNAMELEN];
  } user;
// 这是内核空间用到的部分,指向具体的匹配模块
  struct {
   u_int16_t match_size;
   /* Used inside the kernel */
   struct ipt_match *match;
  } kernel;
  /* Total length */
  u_int16_t match_size;
 } u;
 unsigned char data[0];
};
规则中的目标(规则动作)项结构,注意这不是描述目标的结构struct ipt_target
struct ipt_entry_target
{
 union {
// 这是用户空间(iptables)用到的部分,只提供名称即可
  struct {
   u_int16_t target_size;
   /* Used by userspace */
   char name[IPT_FUNCTION_MAXNAMELEN];
  } user;
// 这是内核空间用到的部分,指向具体的目标模块
  struct {
   u_int16_t target_size;
   /* Used inside the kernel */
   struct ipt_target *target;
  } kernel;
  /* Total length */
  u_int16_t target_size;
 } u;
 unsigned char data[0];
};
3. 规则集操作函数
netfilter处理规则处理基本函数为ipt_do_table(),在filter/mangle表最终都要进入该函数,而nat表只对 NEW/RELATED的包进入该函数。该函数遍历所定义的规则集,顺次进行匹配,一旦和规则的条件匹配成功,则按规则指定的动作返回,返回值可能为 NF_ACCEPT/NF_DROP/NF_QUEUE/NF_STOLEN等。

/* net/ipv4/netfilter/ip_tables.c */
unsigned int
ipt_do_table(struct sk_buff **pskb,
      unsigned int hook,
      const struct net_device *in,
      const struct net_device *out,
      struct ipt_table *table,
      void *userdata)
{
 static const char nulldevname[IFNAMSIZ] __attribute__((aligned(sizeof(long)))) = { 0 };
 u_int16_t offset;
 struct iphdr *ip;
 void *protohdr;
 u_int16_t datalen;
 int hotdrop = 0;
 /* Initializing verdict to NF_DROP keeps gcc happy. */
 unsigned int verdict = NF_DROP;
 const char *indev, *outdev;
 void *table_base;
 struct ipt_entry *e, *back;
 /* Initialization */
 ip = (*pskb)->nh.iph;
 protohdr = (u_int32_t *)ip + ip->ihl;
 datalen = (*pskb)->len - ip->ihl * 4;
// 如果数据包的进入网卡或出网卡为NULL,则在规则匹配时用nulldevname代替
 indev = in ? in->name : nulldevname;
 outdev = out ? out->name : nulldevname;
 /* We handle fragments by dealing with the first fragment as
  * if it was a normal packet.  All other fragments are treated
  * normally, except that they will NEVER match rules that ask
  * things we don't know, ie. tcp syn flag or ports).  If the
  * rule is also a fragment-specific rule, non-fragments won't
  * match it. */
 offset = ntohs(ip->frag_off) & IP_OFFSET;
 read_lock_bh(&table->lock);
 IP_NF_ASSERT(table->valid_hooks & (1 << hook));
// 找到规则集起点,每个表可在不同的挂接点定义规则集,但所有规则集都是统一
// 在一个数值里的
 table_base = (void *)table->private->entries
  + TABLE_OFFSET(table->private,
          cpu_number_map(smp_processor_id()));
// 第一个规则
 e = get_entry(table_base, table->private->hook_entry[hook]);
#ifdef CONFIG_NETFILTER_DEBUG
 /* Check noone else using our table */
 if (((struct ipt_entry *)table_base)->comefrom != 0xdead57ac
     && ((struct ipt_entry *)table_base)->comefrom != 0xeeeeeeec) {
  printk("ASSERT: CPU #%u, %s comefrom(%p) = %X\n",
         smp_processor_id(),
         table->name,
         &((struct ipt_entry *)table_base)->comefrom,
         ((struct ipt_entry *)table_base)->comefrom);
 }
 ((struct ipt_entry *)table_base)->comefrom = 0x57acc001;
#endif
// 规则集的最后一条规则,最后一条规则是链的缺省动作,不是全接收就是全部拒绝
 /* For return from builtin chain */
 back = get_entry(table_base, table->private->underflow[hook]);
// 这是个死循环,因为最后一条规则是链的缺省动作,不是全接收就是全部拒绝
// 是能够跳出的,除非发生意外
 do {
  IP_NF_ASSERT(e);
  IP_NF_ASSERT(back);
  (*pskb)->nfcache |= e->nfcache;
// 进行基本元素(struct ipt_ip中定义的元素)的匹配,符合再进行后续匹配
  if (ip_packet_match(ip, indev, outdev, &e->ip, offset)) {
   struct ipt_entry_target *t;
// 循环匹配规则中独立的匹配条件
   if (IPT_MATCH_ITERATE(e, do_match,
           *pskb, in, out,
           offset, protohdr,
           datalen, &hotdrop) != 0)
    goto no_match;
// 全部条件匹配,计数器增加
   ADD_COUNTER(e->counters, ntohs(ip->tot_len), 1);
// 获取规则目标
   t = ipt_get_target(e);
   IP_NF_ASSERT(t->u.kernel.target);
   /* Standard target? */
   if (!t->u.kernel.target->target) {
    int v;
// 标准目标,正常情况v值是小于0的,如ACCEPT实际对于-NF_ACCEPT-1,
// DROP对应-NF_DROP-1,都是小于0的数
    v = ((struct ipt_standard_target *)t)->verdict;
    if (v < 0) {
     /* Pop from stack? */
     if (v != IPT_RETURN) {
// verdict重新计算回正常值
      verdict = (unsigned)(-v) - 1;
      break;
     }
// 对于IPT_RETURN,返回原来的链重新继续循环
     e = back;
     back = get_entry(table_base,
        back->comefrom);
     continue;
    }
    if (table_base + v
        != (void *)e + e->next_offset) {
     /* Save old back ptr in next entry */
     struct ipt_entry *next
      = (void *)e + e->next_offset;
     next->comefrom
      = (void *)back - table_base;
     /* set back pointer to next entry */
     back = next;
    }
    e = get_entry(table_base, v);
   } else {
// 规则目标非标准目标,而是单独定义的目标模块
    /* Targets which reenter must return
                                   abs. verdicts */
#ifdef CONFIG_NETFILTER_DEBUG
    ((struct ipt_entry *)table_base)->comefrom
     = 0xeeeeeeec;
#endif
// 调用目标模块的target()函数
    verdict = t->u.kernel.target->target(pskb,
             hook,
             in, out,
             t->data,
             userdata);
#ifdef CONFIG_NETFILTER_DEBUG
    if (((struct ipt_entry *)table_base)->comefrom
        != 0xeeeeeeec
        && verdict == IPT_CONTINUE) {
     printk("Target %s reentered!\n",
            t->u.kernel.target->name);
     verdict = NF_DROP;
    }
    ((struct ipt_entry *)table_base)->comefrom
     = 0x57acc001;
#endif
// 目标有可能修改数据包的各种信息,数据包本身也可能不再是原来的包而是拷贝
// 后的包,因此关于包的网络参数需要重新识别
    /* Target might have changed stuff. */
    ip = (*pskb)->nh.iph;
    protohdr = (u_int32_t *)ip + ip->ihl;
    datalen = (*pskb)->len - ip->ihl * 4;
    if (verdict == IPT_CONTINUE)
// 返回IPT_CONTINUE时继续下一条规则的检查
// 注意不支持IPT_RETURN
     e = (void *)e + e->next_offset;
    else
     /* Verdict */
     break;
   }
  } else {
// 规则不匹配,找下一条规则继续
  no_match:
   e = (void *)e + e->next_offset;
  }
// 匹配模块中有hotdrop参数,允许匹配模块丢包,而通常匹配模块是不丢包的
 } while (!hotdrop);
#ifdef CONFIG_NETFILTER_DEBUG
 ((struct ipt_entry *)table_base)->comefrom = 0xdead57ac;
#endif
 read_unlock_bh(&table->lock);
#ifdef DEBUG_ALLOW_ALL
 return NF_ACCEPT;
#else
 if (hotdrop)
  return NF_DROP;
 else return verdict;
#endif
}

4. 规则的修改
netfilter本质上是以数组方法保存规则集的,虽然每条规则的大小可能是不同的,因此在编辑规则时实际上操作比较麻烦的,对于 iptables的各种编辑规则的命令,实际上都是替换操作:IPT_SO_SET_REPLACE,对应的处理函数为do_replace()。

/* net/ipv4/netfilter/ip_tables.c */

static int
do_replace(void *user, unsigned int len)
{
 int ret;
 struct ipt_replace tmp;
 struct ipt_table *t;
 struct ipt_table_info *newinfo, *oldinfo;
 struct ipt_counters *counters;
// 先从用户空间拷贝规则集的描述信息,由结构struct ipt_replace描述
 if (copy_from_user(&tmp, user, sizeof(tmp)) != 0)
  return -EFAULT;
// 长度检查
 /* Hack: Causes ipchains to give correct error msg --RR */
 if (len != sizeof(tmp) + tmp.size)
  return -ENOPROTOOPT;
 /* Pedantry: prevent them from hitting BUG() in vmalloc.c --RR */
 if ((SMP_ALIGN(tmp.size) >> PAGE_SHIFT) + 2 > num_physpages)
  return -ENOMEM;
// 分配实际的规则集内存空间,每个CPU一个
 newinfo = vmalloc(sizeof(struct ipt_table_info)
     + SMP_ALIGN(tmp.size) * smp_num_cpus);
 if (!newinfo)
  return -ENOMEM;
 if (copy_from_user(newinfo->entries, user + sizeof(tmp),
      tmp.size) != 0) {
  ret = -EFAULT;
  goto free_newinfo;
 }
// 分配老规则集的计数器空间准备返回给用户空间
 counters = vmalloc(tmp.num_counters * sizeof(struct ipt_counters));
 if (!counters) {
  ret = -ENOMEM;
  goto free_newinfo;
 }
 memset(counters, 0, tmp.num_counters * sizeof(struct ipt_counters));
// 转换规则,检查规则的合法性等操作
 ret = translate_table(tmp.name, tmp.valid_hooks,
         newinfo, tmp.size, tmp.num_entries,
         tmp.hook_entry, tmp.underflow);
 if (ret != 0)
  goto free_newinfo_counters;
 duprintf("ip_tables: Translated table\n");
// 找到相应的ipt_table表
 t = find_table_lock(tmp.name, &ret, &ipt_mutex);
 if (!t)
  goto free_newinfo_counters_untrans;
 /* You lied! */
 if (tmp.valid_hooks != t->valid_hooks) {
  duprintf("Valid hook crap: %08X vs %08X\n",
    tmp.valid_hooks, t->valid_hooks);
  ret = -EINVAL;
  goto free_newinfo_counters_untrans_unlock;
 }
// 将新的规则集替换原来的规则集
 oldinfo = replace_table(t, tmp.num_counters, newinfo, &ret);
 if (!oldinfo)
  goto free_newinfo_counters_untrans_unlock;
 /* Update module usage count based on number of rules */
 duprintf("do_replace: oldnum=%u, initnum=%u, newnum=%u\n",
  oldinfo->number, oldinfo->initial_entries, newinfo->number);
 if (t->me && (oldinfo->number <= oldinfo->initial_entries) &&
      (newinfo->number > oldinfo->initial_entries))
  __MOD_INC_USE_COUNT(t->me);
 else if (t->me && (oldinfo->number > oldinfo->initial_entries) &&
    (newinfo->number <= oldinfo->initial_entries))
  __MOD_DEC_USE_COUNT(t->me);
 /* Get the old counters. */
// 读取老规则集的计数器
 get_counters(oldinfo, counters);
 /* Decrease module usage counts and free resource */
// 遍历清除老规则集,调用规则中匹配和目标模块的destroy()函数
 IPT_ENTRY_ITERATE(oldinfo->entries, oldinfo->size, cleanup_entry,NULL);
// 释放老规则集
 vfree(oldinfo);
 /* Silent error: too late now. */
// 将计数器拷贝回用户空间
 copy_to_user(tmp.counters, counters,
       sizeof(struct ipt_counters) * tmp.num_counters);
// 将老计数器释放
 vfree(counters);
 up(&ipt_mutex);
 return 0;
 free_newinfo_counters_untrans_unlock:
 up(&ipt_mutex);
 free_newinfo_counters_untrans:
 IPT_ENTRY_ITERATE(newinfo->entries, newinfo->size, cleanup_entry,NULL);
 free_newinfo_counters:
 vfree(counters);
 free_newinfo:
 vfree(newinfo);
 return ret;
}

处理过程中比较重要的连接函数为translate_table()和replace_table(),也都在ip_tables.c中定义:

static int
translate_table(const char *name,
  unsigned int valid_hooks,
  struct ipt_table_info *newinfo,
  unsigned int size,
  unsigned int number,
  const unsigned int *hook_entries,
  const unsigned int *underflows)
{
 unsigned int i;
 int ret;
 newinfo->size = size;
 newinfo->number = number;
 /* Init all hooks to impossible value. */
 for (i = 0; i < NF_IP_NUMHOOKS; i++) {
  newinfo->hook_entry[i] = 0xFFFFFFFF;
  newinfo->underflow[i] = 0xFFFFFFFF;
 }
 duprintf("translate_table: size %u\n", newinfo->size);
 i = 0;
 /* Walk through entries, checking offsets. */
// 检查规则集中规则的合法性,检查偏移是否正确
 ret = IPT_ENTRY_ITERATE(newinfo->entries, newinfo->size,
    check_entry_size_and_hooks,
    newinfo,
    newinfo->entries,
    newinfo->entries + size,
    hook_entries, underflows, &i);
 if (ret != 0)
  return ret;
 if (i != number) {
  duprintf("translate_table: %u not %u entries\n",
    i, number);
  return -EINVAL;
 }
 /* Check hooks all assigned */
 for (i = 0; i < NF_IP_NUMHOOKS; i++) {
  /* Only hooks which are valid */
  if (!(valid_hooks & (1 << i)))
   continue;
// 检查是否在合法hook点没有设置规则,在每个合法hook点是必须有规则的
  if (newinfo->hook_entry[i] == 0xFFFFFFFF) {
   duprintf("Invalid hook entry %u %u\n",
     i, hook_entries[i]);
   return -EINVAL;
  }
  if (newinfo->underflow[i] == 0xFFFFFFFF) {
   duprintf("Invalid underflow %u %u\n",
     i, underflows[i]);
   return -EINVAL;
  }
 }
// 检查自定义的链是否形成环
 if (!mark_source_chains(newinfo, valid_hooks))
  return -ELOOP;
 /* Finally, each sanity check must pass */
 i = 0;
// 遍历规则,通过调用匹配和目标的checkentry()函数检查其合法性
 ret = IPT_ENTRY_ITERATE(newinfo->entries, newinfo->size,
    check_entry, name, size, &i);
 if (ret != 0) {
  IPT_ENTRY_ITERATE(newinfo->entries, newinfo->size,
      cleanup_entry, &i);
  return ret;
 }
// 规则集是每个CPU都有一个
 /* And one copy for every other CPU */
 for (i = 1; i < smp_num_cpus; i++) {
  memcpy(newinfo->entries + SMP_ALIGN(newinfo->size)*i,
         newinfo->entries,
         SMP_ALIGN(newinfo->size));
 }
 return ret;
}

static struct ipt_table_info *
replace_table(struct ipt_table *table,
       unsigned int num_counters,
       struct ipt_table_info *newinfo,
       int *error)
{
 struct ipt_table_info *oldinfo;
#ifdef CONFIG_NETFILTER_DEBUG
 {
  struct ipt_entry *table_base;
  unsigned int i;
  for (i = 0; i < smp_num_cpus; i++) {
   table_base =
    (void *)newinfo->entries
    + TABLE_OFFSET(newinfo, i);
   table_base->comefrom = 0xdead57ac;
  }
 }
#endif
 /* Do the substitution. */
 write_lock_bh(&table->lock);
 /* Check inside lock: is the old number correct? */
 if (num_counters != table->private->number) {
  duprintf("num_counters != table->private->number (%u/%u)\n",
    num_counters, table->private->number);
  write_unlock_bh(&table->lock);
  *error = -EAGAIN;
  return NULL;
 }
// struct ipt_table结构中的private指向规则集
// 获取老规则集地址指针
 oldinfo = table->private;
// 指向新规则集
 table->private = newinfo;
 newinfo->initial_entries = oldinfo->initial_entries;
 write_unlock_bh(&table->lock);
 return oldinfo;
}

5. 结论
netfilter的规则是数组方式顺序保存,但每个元素(规则)的大小是不同的,每条规则除了基本部分相同外,还包括不同数量的匹配和目标项。规则匹配是顺序匹配,而编辑时实际上是将整个规则集全部替换。
cxw06023273
关注
专栏目录
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2217
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 794
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
Netfilter是如何工作的(三) 规则的匹配(match)
品学楼A107
09-22 979
每一条iptables配置的rule都包含了匹配条件(match)部分和动作(target)。当报文途径HOOK点时,Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件,内核就会执行动作(target)。 扩展match的表示 而match又可以分为标准match和扩展match两部分,其中前者有且只有一个,而后者有零到多个。在Netfilter中,标准mat...
iptable
weixin_33768481的博客
04-23 649
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
Netfilter框架的设计与实现
星愿心愿的专栏
08-31 703
1.        什么是Netfiler         Linux 从2.4.X 开始,引入了Netfilter,代替了原来的ipchain,什么是Netfilter呢?有人将它称为“Linux下一个优秀的防火墙工具”,这样讲,有一定的道理,但是却是很片面的。Netfilt
Linux Netfilter规则与机制详解
Linux Netfilter 是一个强大的网络包处理框架,用于实现包过滤、连接跟踪和地址转换等功能。本文将深入分析 Linux 内核 2.6.21.2 版本中 Netfilter 的实现机制,帮助读者理解其核心工作原理。 首先,规则的存储和...
ja-netfilter-all
06-29
3. **Event-driven Architecture**:ja-netfilter-all可能基于事件驱动的架构,使得当匹配到预定义的过滤规则时,能够触发相应的处理函数。这种方式提高了处理网络流量的效率。 4. **APIs and Libraries**:为了...
ja-netfilter-2022.2.0.zip
06-03
2. **Java代理技术**:ja-netfilter基于Java代理(Java Proxy)和动态代理(Dynamic Proxy)实现,这使得它能够透明地拦截并处理网络请求。通过代理,它可以捕获到所有由应用程序发起或接收到的网络通信,而无需修改...
goland 开发工具插件 ja-netfilter-all
08-24
这个插件集成了对Netfilter框架的支持,NetfilterLinux内核中的一个模块,用于处理网络数据包,它允许用户在数据包经过网络栈的不同阶段进行操作,包括防火墙规则、NAT转换等。 首先,Ja-Netfilter-All提供了一套...
Netfilter简介
最新发布
railzen的博客
02-26 1531
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
linux ip 过滤器,Linux表驱动IP过滤器的基本工作过程
weixin_33514163的博客
05-07 168
表驱动IP过滤器的基本工作过程(1) Linux的IP过滤器主要采用了表驱动方法, 表驱动入口函数为ipt_do_table(), 驱动表称为IP表, 用ip_table结构描述. IP表是位置无关的数据块, 它由表头(ipt_table_info)和变长的规则链组成. 表头包含了IP表的尺寸,规则数量和不同的过滤编号对应的规则项的起始位置. 规则链是由多个变长的规则项组成, 每个规则项可分为匹配...
Netfilter规则(rule)的组织框架
carltraveler的专栏
03-16 1655
1、大蓝图 table->chain->rule(match:target) 从上图所示,在内核空间,每个CPU上维护了一份rule的拷贝。这样做是为了减少锁的使用及增加硬件L1 cache的命中次数,以空间换时间 2、table(表) include/linux/netfilter/x_table.h struct xt_table {     struct list_
Linux netfilter 学习笔记 之五 ip层netfilter的table中规则的匹配检查
lickylin的专栏
06-23 6610
通过上面一节的分析我们知道,我们通过iptables -A操作添加的规则,都会保存在一个xt_table->private->entries[]中,所以当数据到来后,协议栈执行NF_HOOK操作时,肯定需要遍历xt_table->private->entries中的规则,找到一个匹配的规则,然后对进来的数据包执行该规则的target操作。从xt_table的通用性,我们可以猜到,肯定会有一个通用的
Linux netfilter源码分析(5)
maimang1001的专栏
06-08 327
Linux netfilter源码分析(5)http://staff.ustc.edu.cn/~james/linux/netfilter-5.html五、 ipt_do_table()函数,数据包的过滤5.1 ipt_entry 相关结构 ip_tables.hipt_entry结构前面有过了,再看一遍struct ipt_entry { struct ipt_ip ip; /* 所要匹配的报文的IP头信息 */ unsigned int nfcache; /* 位向量,标示本规则关心
iptables insert_entry
sidemap的博客
12-12 352
iptables v1.8.3 【预备知识】 使用getopt_long函数存在两个全局变量 全局变量: (1)optarg:表示当前选项对应的参数值。 (2)optind:表示的是下一个将被处理到的参数在argv中的下标值。 【插入过程】 (1) ///< 命令行I选项:代表要在指定位置插入一条entry 1280 case 'I': 1281 ...
linux 网络命令源码分析,(十一)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【上】...
weixin_42143092的博客
05-04 376
当前,用户空间的iptables工具的绝大多数模块都是以动态共享库so的形式。使用动态库的优点也是显而易见的:编译出来的iptables命令比较小,动态库方式使得对于iptables的扩充非常方便。如果你非要去研究一下init_extensions函数的话,那么可以在iptables源码包的extensions/Makefile文件里找点思路。这里,我不会对其进行分析。命令行参数解析do_comm...
linux防火墙_深入理解iptables防火墙
weixin_39891272的博客
10-19 189
本文部分内容节选自:netfilter/iptables 简介 - IBM developerWorks0x00 Linux 安全性和 netfilter/iptables Linux 因其健壮性、可靠性、灵活性以及好象无限范围的可定制性而在 IT 业界变得非常受欢迎。Linux 具有许多内置的能力, 使开发人员可以根据自己的需要定制其工具、行为和外观,而无需昂贵的第三方工具。 如果 Linux...
Linux netfilter 学习笔记 之四 ip层netfilter的table注册及规则的添加
lickylin的专栏
06-22 6093
既然我们都已经将xt_table、rule、match、target的结构体之间的联系都已经分析清楚了,那我们接下来分析表的注册、表中规则的添加、表中规则的删除、表中规则的替换也应该比较容易了。   在上节分析时,我们应该有注意到一个细节,即xt_table_info->entries[]是指向每一个CPU对应于该xt_table的所有规则的首地址,而一个表里面所有的规则是按照连续内存存取的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值