Netfilter之协议族与用户空间接口--AF_INET

最新推荐文章于 2021-05-12 12:19:56 发布
最新推荐文章于 2021-05-12 12:19:56 发布
阅读量509 收藏
点赞数
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter translate_table do_replace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu_750516366/article/details/90574574
版权
本文深入探讨Netfilter框架下AF_INET协议族的用户空间接口,特别是setsockopt()和getsockopt()如何实现。主要关注do_ipt_set_ctl()在规则替换中的作用,以及struct ipt_replace数据结构在规则替换过程中的应用。同时,文章提到了translate_table()函数在检查和替换规则中的角色。
摘要由CSDN通过智能技术生成

在笔记Netfilter之协议族初始化–AF_INET中,有看到在AF_INET的初始化过程中,有向Netfilter框架注册setsockopt()/getsockopt()接口,这是AF_INET协议族和用户空间相关程序(如iptables)沟通的接口,这篇笔记就来看看这组接口的实现。涉及的代码文件主要是:

代码路径 说明
net/ipv4/netfilter/ip_tables.c IPv4 Netfilter核心文件

1. 用户空间接口

如ip_tables_net_init()函数,用户空间接口为ipt_sockopts,所以SET操作最后由do_ipt_set_ctl()实现,GET操作由do_ipt_get_ctl()实现。

static struct nf_sockopt_ops ipt_sockopts = {
   
	.pf		= PF_INET,
	.set_optmin	= IPT_BASE_CTL,
	.set_optmax	= IPT_SO_SET_MAX+1,
	.set		= do_ipt_set_ctl,
#ifdef CONFIG_COMPAT
	.compat_set	= compat_do_ipt_set_ctl,
#endif
	.get_optmin	= IPT_BASE_CTL,
	.get_optmax	= IPT_SO_GET_MAX+1,
	.get		= do_ipt_get_ctl,
#ifdef CONFIG_COMPAT
	.compat_get	= compat_do_ipt_get_ctl,
#endif
	.owner		= THIS_MODULE,
};

2. 设置规则:do_ipt_set_ctl()

static int do_ipt_set_ctl(struct sock *sk, int cmd, void __user *user, unsigned int len)
{
   
	int ret;
	//调用者必须要有网络管理员权限,通常是root
	if (!capable(CAP_NET_ADMIN))
		return -EPERM;
	//目前仅支持两个SET命令
	switch (cmd) {
   
	case IPT_SO_SET_REPLACE:
		//该命令用于设置规则,这里要注意的是,设计防火墙规则的修改时,用户空间
		//和内核空间是交换整个table的内容,并非单单修改指定的规则
		ret = do_replace(sk->sk_net, user, len);
		break
最低0.47元/天 解锁文章
fanxiaoyu321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙之filter表(一)---AF_INET协议
九天小哥的专栏
03-30 1548
在Netfilter中,各个table、match和target都是以模块形式存在的。这篇笔记以AF_INET协议filter表为例,看看各个协议是如何与Netfilter框架配合,实现table的。 1. 初始化 AF_INET协议filter表的实现模块是/net/ipv4/netfilter/iptable_filter.c,其初始化函数如下: static int __net_i...
Netfilter协议初始化--AF_INET
九天小哥的专栏
05-26 587
这篇笔记开始我们来看看PF_INET协议是如何使用Netfilter框架的。 搜索源码中PF_INET协议调用nf_register_hooks()的地方,会看到三个熟悉的东西:iptables_filter.c、iptables-mangle.c、iptables-raw.c,它们就是iptables中filter表、mangle表和raw表的内核实现,这三个文件分别由开关CONFIG_IP...
防火墙之filter表(二)---AF_INET协议
九天小哥的专栏
03-31 937
继上一篇笔记Netfilterfilter表(一),这篇笔记来看看AF_INET协议filter表的钩子的注册,以及防火墙检查时规则的遍历。 1. HOOK的注册 static int __init iptable_filter_init(void) { ... /* Register hooks */ ret = nf_register_hooks(ipt_ops, ARRAY_SIZ...
dpvs中AF_INET协议hook
chris的博客
08-18 255
ip_vs_core.c文件中dpvs_init时会注册内部自定义的相关hook处理函数 //lvs功能初始化,在main函数中调用 int dp_vs_init(void) { ... //注册lvs相关hook处理函数 err = inet_register_hooks(dp_vs_ops, NELEMS(dp_vs_ops)); if (err != EDPVS_OK) { RTE_LOG(ERR, IPVS, "fail to register hook..
netfilter子系统的套接口选项
redwingz的博客
08-06 729
内核定义了全局链表nf_sockopts将其所有的套接口选项链接起来,每个表项由nf_sockopt_ops类型的结构表示。此结构主要有两个部分组成:配置下发(set)和获取(get)。其中set/get为回调函数,set_optmin - set_optmax和get_optmin - get_optmax分别定义set/get回调函数可处理的套接口选项的范围值。 static LIST_HEA...
ja-netfilter-all_20220108_091511.zip
01-28
标题中的"ja-netfilter-all_20220108_091511.zip"表明这是一个压缩文件,其主要组件是"ja-netfilter-all",后面跟随的日期和时间戳(20220108_091511)可能代表该软件或项目的版本或构建日期。由于没有提供具体的...
Firewall-Based-on-Netfilter-master_linuxnetfilter_
10-02
好的用户界面,静态包过滤防火墙,能实现添加规则,按规则过滤数据包
linux_firewall_netfilter-master.zip_LINUX防火墙_linux 防火墙_linux 防火
09-23
简单linux防火墙程序,基于netfilter
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
netfilter-layer7-v2.1.tar.gz_V2 _l7-filter_l7-protocols_netfilte
09-21
netfilter l7补丁文件!根据自己情况更改
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
Linux防火墙netfilter的编程接口libiptc简介.pdf
linux防火墙编程,Linux防火墙netfilter的编程接口libiptc简介
weixin_34920577的博客
05-12 772
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
Netfilter之框架初始化与对外接口
九天小哥的专栏
03-24 1171
从Makefile中也可以看的出来,Netfilter框架的核心功能由如下几个文件实现: netfilter-objs := core.o nf_log.o nf_queue.o nf_sockopt.o obj-$(CONFIG_NETFILTER) = netfilter.o 其中core.c文件又是重中之重。 1. 数据结构 1.1 nf_hooks 这是一个二维数组,数组元素就是链表元...
Netfilter的使用和实现
u014044624的博客
03-27 1286
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog   概述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(...
netfilter介绍
xiakewudi的专栏
08-24 4777
一、什么是netfilter?         Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
NetfilterAF_INET协议rule、match、target
九天小哥的专栏
03-31 491
在笔记Netfiltertable、match、target中,有看到框架对table、match、target的定义,分别是struct xt_table、struct xt_match和struct xt_target。如果要扩展match和target,只需要实现对应的结构,然后将其注册给Netfilter框架即可被用户态程序使用(当然也需要扩展用户态的iptables工具)。 这些并不是...
Tcp/Ip协议简介
weixin_44371379的博客
03-12 208
Tcp/Ip协议简介Tcp/IP协议数据链路层网络层传输层应用层数据封装和分用问题数据链路层、网络层、传输层为啥在内核空间实现?应用层为啥不在内核空间实现?网络层和数据链路层为什么不合并? Tcp/IP协议 tcp/ip协议是一个四层协议系统,自低而上分别是数据链路层、网络层、传输层和应用层。 数据链路层 数据链路层:实现了网卡接口的网络驱动程序(局限、具体,在物理层提供的服务基础上为网...
setsockopt用法详解
runshui27的博客
04-26 970
https://blog.csdn.net/A493203176/article/details/65438182
(十二)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【下】
01-23 1772
iptables用户空间和内核空间的交互 iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptc是iptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfilter
netfilter-libnetfilter
最新发布
07-28
Netfilter是Linux内核中的一个子系统,用于实现网络数据包的过滤和修改。而libnetfilter是一个用户空间的库,提供了与Netfilter子系统进行交互的接口。 通过libnetfilter,开发者可以在用户空间中使用C语言或者其他语言编写程序,通过调用库中的函数来实现对网络数据包的过滤、修改和处理。这样可以方便地实现网络安全、网络监控、网络访问控制等功能。 libnetfilter提供了一些常用的功能接口和数据结构,如过滤器规则的添加、删除和查询,数据包的修改和重定向等。开发者可以根据自己的需求使用这些接口来操作Netfilter子系统,实现自定义的网络数据包处理逻辑。 总之,netfilter-libnetfilter是一个在Linux用户空间中与Netfilter子系统进行交互的库,提供了方便的接口来实现网络数据包的过滤和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值