linux2.6中xfrm框架的dst_output的处理过程

最新推荐文章于 2024-05-28 17:28:08 发布
最新推荐文章于 2024-05-28 17:28:08 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: linux kernel 文章标签: output dst linux 框架 hook struct

原文链接:http://bbs.chinaunix.net/thread-2014756-1-1.html


Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码:

int xfrm4_output(struct sk_buff *skb)
{
        return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,
                            xfrm4_output_finish,
                            !(IPCB(skb)->flags & IPSKB_REROUTED));
}


static int xfrm4_output_finish(struct sk_buff *skb)
{
        int err;

#ifdef CONFIG_NETFILTER
        if (!skb->dst->xfrm) {
                IPCB(skb)->flags |= IPSKB_REROUTED;
                return dst_output(skb);
        }
#endif
        while (likely((err = xfrm4_output_one(skb)) == 0)) {
                nf_reset(skb);

                err = nf_hook(PF_INET, NF_IP_LOCAL_OUT, &skb, NULL,
                              skb->dst->dev, dst_output);
                if (unlikely(err != 1))
                        break;

                if (!skb->dst->xfrm)
                        return dst_output(skb);

                err = nf_hook(PF_INET, NF_IP_POST_ROUTING, &skb, NULL,
                              skb->dst->dev, xfrm4_output_finish);
                if (unlikely(err != 1))
                        break;
        }

        return err;
}

static int xfrm4_output_one(struct sk_buff *skb)
{
        struct dst_entry *dst = skb->dst;
        struct xfrm_state *x = dst->xfrm;
        int err;
      
        if (skb->ip_summed == CHECKSUM_HW) {
                err = skb_checksum_help(skb, 0);
                if (err)
                        goto error_nolock;
        }

        if (x->props.mode) {
                err = xfrm4_tunnel_check_size(skb);
                if (err)
                        goto error_nolock;
        }

        do {
                spin_lock_bh(&x->lock);
                err = xfrm_state_check(x, skb);
                if (err)
                        goto error;

                xfrm4_encap(skb);

                err = x->type->output(x, skb);
                if (err)
                        goto error;

                x->curlft.bytes += skb->len;
                x->curlft.packets++;

                spin_unlock_bh(&x->lock);
      
                if (!(skb->dst = dst_pop(dst))) {
                        err = -EHOSTUNREACH;
                        goto error_nolock;
                }
                dst = skb->dst;
                x = dst->xfrm;
        } while (x && !x->props.mode);

        IPCB(skb)->flags |= IPSKB_XFRM_TRANSFORMED;
        err = 0;

out_exit:
        return err;
error:
        spin_unlock_bh(&x->lock);
error_nolock:
        kfree_skb(skb);
        goto out_exit;
}

这段代码中嵌套调用了很多NF_HOOK_COND nf_hook函数,他最终是怎么推出循环调用到最后的ip_output的呢?在xfrm4_output_finish首先运行 xfrm4_output_one执行了esp_output和ah_output进行了完整性认证,为什么后面还可以调用 nf_hook(PF_INET, NF_IP_LOCAL_OUT, &skb, NULL,
                              skb->dst->dev, dst_output);和nf_hook(PF_INET, NF_IP_POST_ROUTING, &skb, NULL,
                              skb->dst->dev, xfrm4_output_finish);进行NAT操作?我觉得在这里没必要调用nf_hook函数去走重新遍历hook链表。
zhang-guojun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux XFRM整体框架简单分析
weixin_34026276的博客
10-12 682
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。/*----------------------------------------------------------------------------------------------------------------------------*/L...
Linux内核之XFRM框架
m0_74282605的博客
03-04 399
要添加XFRM状态,可从用户空间套接字发送请求XFRM_MSG_NEWSA,在内核,这种请求方法由xfrm_state_add()处理(位于文件net/xfrm/xfrm_user.c)。XFRM框架支持网络命名空间。从用户空间发出的消息(比如XFRM_MSG_NEWPOLICY创建新的安全策略或者XFRM_MSG_NEWSA创建新的安全联盟)会被xfrm_netlink_rcv()方法处理,该方法又会被xfrm_user_rcv_msg()方法调用(第二章曾讨论过netlink套接字)。
linux xfrm框架详细介绍
funtasty的专栏
04-15 277
此外,也可以使用其他工具,如 StrongSwan、Libreswan 等 IPsec 实现,它们提供了更高级的 IPsec 配置和管理功能,同时基于 XFRM 框架实现了 IPsec 功能。XFRM Policy:XFRM Policy 是 IPsec 通信的规则集合,用于确定哪些流量应该受到 IPsec 保护,并指定要使用的加密算法、认证算法和密钥等参数。XFRM State:XFRM State 是与特定流量相关联的实时状态,它包含了与流量处理相关的信息,如加密和认证的密钥、安全参数等。
dst_output发包
weixin_30835923的博客
05-11 728
不管是收到报文转发还是本机发送报文,最后都会调用dst_output /* Output packet to network from transport. */ static inline int dst_output(struct net *net, struct sock *sk, struct sk_buff *skb) { /* * 如果是单播数...
linux xfrm网络框架,Linux2.6xfrm框架dst_output处理过程
weixin_39994461的博客
05-12 298
Linux内核ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码:int xfrm4_output(struct sk_buff *skb){return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,xfrm4...
Linux内核的IPSEC实现(1)
IT_hue的专栏
02-23 631
Linux内核的IPSEC实现(1)本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn1. 前言在Linux2.6内核自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY...
Linux-2.6.21.1 网络函数调用流程
caofengtao1314的专栏
10-08 366
Linux-2.6.21.1 网络函数调用流程   2013-04-20 14:48:27|  分类: linux-NET |举报 |字号 订阅           下载LOFTER 我的照片书  | 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保
Linux内核的IPSEC实现(5)
funtasty的专栏
11-02 2076
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn/ 7. IPV4下的xfrm支持处理xfrm各种和地址相关的操作是和协议族相关的, 因此这部分的具体实现就放在相关的协议族实现, 然后通过状态
linux 2.6.21,Linux-2.6.21.1 网络函数调用流程
weixin_33585822的博客
05-26 122
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn:yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn接收以太帧:netif_rx-> queue-> netif_receive_skb-> bond-> packet_type_all: deliv...
xfrm6_output.rar_ipsec
09-24
Common IPsec encapsulation code for IPv6.
xfrm_replay.rar_Linux/Unix编程_Unix_Linux_
08-11
Common IPsec encapsulation code for linux.
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
很清楚的分析了一个数据包如何通过查询路由进入内核ipsec协议栈的处理Linux 内核ipsec协议栈详细的加解密流程以及加解密完后如何将数据包发送出去。 文档前半部分主要介绍一些关键的数据结构,及其相互之间的...
xfrm6_mode_ro.rar_V2
09-14
Route optimization mode for IPv6 for Linux v2.13.6.
xfi.rar_Linux/Unix编程_Unix_Linux_
08-11
xfrm algorithm interface for linux driver.
linux 之dma_buf (4)- mmap
z20230508的博客
05-28 576
前面几篇都是在 kernel space 对 dma-buf 进行访问的,本篇我们将一起来学习,如何在 user space 访问 dma-buf。当然,user space 访问 dma-buf 也属于 CPU Access 的一种。
linux内部pthread_create函数创建设置栈大小方法
$好记性还是要多记录$
05-22 194
linux 创建线程设置栈大小
Linux:confluence8.5.9的部署(下载+安装+破ji)离线部署全流程
最新发布
鲍海超
05-28 447
Confluence也是比较吃运存了,我建议运行运存给到4g或者4g以上就可以了,核数可以给到1核或以上我部署在centos7.9操作系统上,ip地址为:192.168.6.1,yum仓库使用的是自己的镜像文件,本章所有使用到的包全部为离线包,准备好包,到任何离线环境都可部署,防火墙和selinux都是关闭的。
xfrm_register_mode
07-22
Linux内核XFRM(eXtensible Framework for Routing and Marking)是用于实现IPSec协议的框架。它允许用户空间程序配置和管理IPSec策略,并提供了内核实现加密和验证的功能。 `xfrm_register_mode`函数用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值