Netfilter之table、rule、match、target的组织管理

最新推荐文章于 2023-09-05 21:06:31 发布
最新推荐文章于 2023-09-05 21:06:31 发布
阅读量998 收藏 3
点赞数
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter rule match target table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu_750516366/article/details/90553739
版权
本文详细介绍了Netfilter中table、rule、match、target的组织管理,包括table的注册(xt_alloc_table_info()、xt_register_table()、xt_replace_table())、match和target的管理(xt_af链表、xt_register_matches()、xt_register_targets()),以及模块初始化的相关内容。通过这些核心函数,理解内核如何维护Netfilter的各种组件。
摘要由CSDN通过智能技术生成

在上一篇笔记Netfilter之table、rule、match、target数据结构中,看到了内核对这些对象的定义,这篇笔记记录了内核对这些数据结构的组织,以及一些相关的核心函数分析。设计的代码文件主要有:

代码路径说明
/net/netfilter/x_tables.cnetfilter框架对table、match、target的核心实现

1. table的管理

如下,struct net中的xt成员为每个协议族维护了一个链表,用来组织该协议族注册的table,具体的协议族都是在协议族初始化过程中向框架注册自己的table。

struct net {
...
#ifdef CONFIG_NETFILTER
	struct netns_xt		xt;
#endif
};
struct netns_xt {
	struct list_head tables[NPROTO];
};

1.1 table的注册

注册之前,需要先看看struct xt_table_info对象的分配,因为该对象才是真正保存表内容的结构。

1.1.1 xt_alloc_table_info()

//size表示table中规则需要占用的内存大小
struct xt_table_info *xt_alloc_table_info(unsigned int size)
{
	struct xt_table_info *newinfo;
	int cpu;
	//实际分配的内存需要按照页边界对齐
	if ((SMP_ALIGN(size) >> PAGE_SHIFT) + 2 > num_physpages)
		return NULL;
	//为struct xt_table_info对象本身分配内存,不包括规则占用部分
	newinfo = kzalloc(XT_TABLE_INFO_SZ, GFP_KERNEL);
	if (!newinfo)
		return NULL;
	newinfo->size = size;
    //为每个CPU都分配一块内存保存规则,每块内存用entries[i]指针索引
	for_each_possible_cpu(cpu) {
		if (size <= PAGE_SIZE)
			newinfo->entries[cpu] = kmalloc_node(size, GFP_KERNEL, cpu_to_node(cpu));
		else
			newinfo->entries[cpu] = vmalloc_node(size, cpu_to_node(cpu));
		if (newinfo->entries[cpu] == NULL) {
			xt_free_table_info(newinfo);
			return NULL;
		}
	}
	return newinfo;
}
EXPORT_SYMBOL(xt_alloc_table_info);

上面很重要的一点就是表中的规则对于每个CPU都有一份相同的拷贝,这样可以避免多个CPU在访问规则的时候进行额外的锁操作。

1.1.2 xt_register_table()

各协议族调用xt_register_table()向框架注册自己的table。bootstrap参数的存在仅仅是为了复用xt_replace_table()的逻辑而已,因为xt_replace_table()函数本身是用来做table替换的。

struct xt_table *xt_register_table(struct net *net, struct xt_table *table,
	struct xt_table_info *bootstrap, struct xt_table_info *newinfo)
{
	int ret;
	struct xt_table_info *private;
	struct xt_table *t;

	//将参数指定的table拷贝一份
	table = kmemdup(table, sizeof(struct xt_table), GFP_KERNEL);
	if (!table) {
		ret = -ENOMEM;
		goto out;
	}
	//如上所述,全局数组xt[table->af]保存的该协议族的所有match和target,
	//但是这里持锁后访问了net->xt.tables[table->af]变量,该变量保存的是
	//该协议族所有的table。这把锁的定义位置并不合适,其本意是要保护table、
	//match、target,但是table的定义却在net中(更高版本已将match和target
	//也移到了net中)
	ret = mutex_lock_interruptible(&xt[table->af].mutex);
	if (ret != 0)
		goto out_free;
	//检查该协议族的已定义table中是否已有指定名字的table,可见表名字需要协议族内部唯一
	list_for_each_entry(t, &net->xt.tables[table->af], list) {
		if (strcmp(t->name, table->name) == 0) {
			ret = -EEXIST;
			goto unlock;
		}
	}
	/* Simplifies replace_table code. */
	table->private = bootstrap;
	rwlock_init(&table->lock);
	//用newinfo替换table中原来的private指针
	if (!xt_replace_table(table, 0, newinfo, &ret))
		goto unlock;
	private = table->private;
	duprintf("table->private->number = %u\n", private->number);
	/* save number of initial entries */
	private->initial_entries = private->number;
	//将table加入到该协议族的table集合中,注册完毕
	list_add(&table->list, &net->xt.tables[table->af]);
	mutex_unlock(&xt[table->af].mutex);
	return table;
unlock:
	mutex_unlock(&xt[table->af].mutex);
out_free:
	kfree(table);
out:
	return ERR_PTR(ret);
}
EXPORT_SYMBOL_GPL(xt_register_table);

1.1.3 xt_replace_table()

该函数用@newinfo替换@table中原来的private指向的内容,参数num_counters必须是原来table中规则的数目,否则替换将失败。

struct xt_table_info* xt_replace_table(struct xt_table *table, 
	unsigned int num_counters, struct xt_table_info *newinfo, int *error)
{
	struct xt_table_info *oldinfo, *private;
	/* Do the substitution. */
	write_lock_bh(&table->lock);
	private = table->private;
	//个人理解:这只是一种简单的安全检查
	if (num_counters != private->number) {
		write_unlock_bh(&table->lock);
		*error = -EAGAIN;
		return NULL;
	}
	//替换privaet指针
	oldinfo = private;
	table->private = newinfo;
	//初始规则数目保持和旧的相同
	newinfo->initial_entries = oldinfo->initial_entries;
	write_unlock_bh(&table->lock);
	//返回旧的private指针
	return oldinfo;
}
EXPORT_SYMBOL_GPL(xt_replace_table);

关于table的注册需要多啰嗦几句,个人理解:xt_regitster_table()之所以需要两个struct xt_table_info参数,是因为table的注册过程要复用函数xt_replace_table(),该函数本身是用来做table替换的。

表的去注册就是xt_unregister_table(),就是注册的反操作,不再赘述。

2. match和target的管理

如下,全局的struct xt_af变量维护了两个链表,分别来保存系统中已注册match和target,链表中的元素就是struct xt_match和struct xt_target。

2.1 struct xt_af

//全局变量xt会保存系统中所有协议族的match和target
struct xt_af {
	struct mutex mutex;
	struct list_head match;
	struct list_head target;
};
static struct xt_af *xt;

2.2.match的注册

match的注册就相当简单了,直接将struct xt_match加入到对应协议族的match链表尾部。

int xt_register_match(struct xt_match *match)
{
	int ret, af = match->family;
	//和table一样,match用xt[af].mutext保护
	ret = mutex_lock_interruptible(&xt[af].mutex);
	if (ret != 0)
		return ret;
	//match链接到链表尾部
	list_add(&match->list, &xt[af].match);
	mutex_unlock(&xt[af].mutex);
	return ret;
}
EXPORT_SYMBOL(xt_register_match);

也可以通过xt_register_matches()一次注册多个match。相应的,去注册函数有xt_unregister_match()和xt_unregister_matches()。

2.3 target的注册

int xt_register_target(struct xt_target *target)
{
	int ret, af = target->family;
	ret = mutex_lock_interruptible(&xt[af].mutex);
	if (ret != 0)
		return ret;
	list_add(&target->list, &xt[af].target);
	mutex_unlock(&xt[af].mutex);
	return ret;
}
EXPORT_SYMBOL(xt_register_target);

和match类似,target也有xt_register_targets()、xt_unregister_target()和xt_unregister_targets()接口。

3 模块初始化

static int __net_init xt_net_init(struct net *net)
{
	int i;
	//初始化所有协议族保存table的链表
	for (i = 0; i < NPROTO; i++)
		INIT_LIST_HEAD(&net->xt.tables[i]);
	return 0;
}
static struct pernet_operations xt_net_ops = {
	.init = xt_net_init,
};

static int __init xt_init(void)
{
	int i, rv;
	//各个协议族分别和xt[pf]对应
	xt = kmalloc(sizeof(struct xt_af) * NPROTO, GFP_KERNEL);
	if (!xt)
		return -ENOMEM;
	//初始化锁、target链表、match链表
	for (i = 0; i < NPROTO; i++) {
		mutex_init(&xt[i].mutex);
		INIT_LIST_HEAD(&xt[i].target);
		INIT_LIST_HEAD(&xt[i].match);
	}
	rv = register_pernet_subsys(&xt_net_ops);
	if (rv < 0)
		kfree(xt);
	return rv;
}
module_init(xt_init);
fanxiaoyu321
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux netfilter 学习笔记 之五 ip层netfiltertable中规则的匹配检查
lickylin的专栏
06-23 6575
通过上面一节的分析我们知道,我们通过iptables -A操作添加的规则,都会保存在一个xt_table->private->entries[]中,所以当数据到来后,协议栈执行NF_HOOK操作时,肯定需要遍历xt_table->private->entries中的规则,找到一个匹配的规则,然后对进来的数据包执行该规则的target操作。从xt_table的通用性,我们可以猜到,肯定会有一个通用的
Netfilter是如何工作的(二) 表(table)与规则(rule)
品学楼A107
09-22 1085
在(一)中说到,报文在内核协议栈中会途经5个HOOK点,在每个HOOK点上会依次执行链表上的钩子函数,那么这些钩子函数是如何与用户使用iptables下发的各个rule联系起来的呢?这些rule又是如何存储的呢? 本文详细描述这个问题。 table 内核使用struct xt_table这个结构来表示一个表(table)。结构中记录了这个表在哪些HOOK点有效,它的private指针保存了这个表包...
iptables 内部调用过程
最新发布
Megahertz66的博客
09-05 284
iptables 调用过程 int iptables_main(int argc, char *argv[]) { // 解析用户输入的 iptables 命令,配置好 handle 参数 ret = do_command4(argc, argv, &table, &handle, false); if (ret) { ret = iptc_commit(handle); iptc_free(handle); } iptc_commit 函数实际的实现是使用 TC_COMM
linux iptables实现
godleading的专栏
02-26 5668
Xtables提供的资源   struct  xt_af  xt[]结构数组 该数组用于挂载各个协议的matchtarget资源。由于写者(添加、删除)和读者(查找)都是在内核空间进程上下文执行,所以它们只需要用xt[n].mutex信号量进行互斥。读者(查找)在将规则关联上一个matchtarget时会增加它们所在模块的引用计数,在它释放这个引用计数之前该模块是不会被卸载的,所
netfiltermatchtarget
fengcai_ke的博客
07-18 690
netfilter matchtarget
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfiltertablerulematchtarget结构分析》、《 ip层netfilter...
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter的内核源代码,可以作为研究ARP,IP的HOOK的前提。
ja-netfilter
02-09
ja-netfilter
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解 一、Netfilter/IPTables 框架简介 Netfilter/IPTables 是 Linux 防火墙机制的新一代解决方案,继承了 IPfwadm 和 IPchains 的优点,并具有良好的可扩充性。Netfilter 采用模块化设计,...
第十一章 Linux包过滤防火墙-netfilter--基于Linux3.10
shichaog的专栏
03-25 4996
11.1 netfilter框架 netfilter从Linux2.4引入linux内核,是现在3.10版本的防火墙框架,该框架可实现数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(NetworkAddressTranslation,NAT),以及基于用户及媒体访问控制(MediaAccess Control,MAC)地址的过滤和基于状态的过滤、包速率限制等 netfilte
linux内核协议栈 netfilter 之 ip 层的tablerulematchtarget结构分析
10-30 2138
在使用iptables过程中,经常会提到tablerulematchtarget,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rulematchtarget组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
linux内核协议栈 netfilter 之 ip 层的 filter 表注册及规则的添加以及钩子函数
10-31 1509
目录 1filter 表初始化iptable_filter_init() 2filter表的注册iptable_filter_net_init() 2.1ipt_register_table() 入参 2.1.1static struct xt_table packet_filter 2.1.2 struct ipt_replace repl 2.1.3struct ipt_replace repl 初始化ipt_alloc_initial_table() 2.2ipt_re...
Netfilter中规则(rule)的组织框架
carltraveler的专栏
03-16 1646
1、大蓝图 table->chain->rule(match:target) 从上图所示,在内核空间,每个CPU上维护了一份rule的拷贝。这样做是为了减少锁的使用及增加硬件L1 cache的命中次数,以空间换时间 2、table(表) include/linux/netfilter/x_table.h struct xt_table {     struct list_
iptables和netfilter的通信流程
脚踏实地,不断突破自我,每天有收获就OK
12-14 2825
iptables和netfilter通信采用的是setsockopt和getsockopt函数 一、用户态iptables代码 前面博客文章 https://blog.csdn.net/haolipengzhanshen/article/details/84888489 我们分析了iptables的主流程,相信大家会熟悉下面的代码 ret = do_command4(argc, argv,...
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1805
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
table模块各个结构定义 及 iptables filter hook函数注册
sidemap的博客
12-04 295
1、iptables filter tables 首先看一下xt_table -> xt_table_info -> xt_entry -> ipt_entry / ipt_entry_match / ipt_standard_target ->ipt_entry_target / verdict之间的关系 涉及到的部分结构体 ///< include/l...
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4980
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
iptables目标NFQUEUE
redwingz的博客
05-01 1740
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
内核配置CONFIG_NETFILTER_XT_MATCH_IPVS 是什么意思
05-30
内核配置`CONFIG_NETFILTER_XT_MATCH_IPVS`是用于支持IPVS(IP Virtual Server)数据包匹配的一个内核选项。 IPVS是Linux内核中的一个模块,可以将来自客户端的数据包转发到后端的多个服务器上,从而实现负载均衡和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值