iptables源代码分析之主流程分析

最新推荐文章于 2023-08-04 14:45:35 发布
最新推荐文章于 2023-08-04 14:45:35 发布
阅读量4.8k 收藏 14
点赞数 5
分类专栏: 防火墙netfilter/iptables/ipset 文章标签: iptables源代码 源代码 主流程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haolipengzhanshen/article/details/84888489
版权

由于我们只关注ipv4. 

看程序的流程就是要从主线开始看起。

目录结构我

libiptc:iptables控制层代码

iptables:iptables主体代码

extensions:iptables扩展代码,一般是xtables_register_matches函数注册被初始化的struct xtables_match结构体

 

我执行的iptables命令是 iptables -A INPUT -p tcp --dport 443 -m set --match-set myhash src -j DROP

iptables_main函数是主函数

位于iptables_standalone.c文件中

int
iptables_main(int argc, char *argv[])
{
	int ret;
    //默认表是filter
	char *table = "filter";
	struct xtc_handle *handle = NULL;

	iptables_globals.program_name = "iptables";
	ret = xtables_init_all(&iptables_globals, NFPROTO_IPV4);
	if (ret < 0) {
		fprintf(stderr, "%s/%s Failed to initialize xtables\n",
				iptables_globals.program_name,
				iptables_globals.program_version);
				exit(1);
	}
#if defined(ALL_INCLUSIVE) || defined(NO_SHARED_LIBS)
	init_extensions();
	init_extensions4();
#endif

	ret = do_command4(argc, argv, &table, &handle, false);
	if (ret) {
		ret = iptc_commit(handle);
		iptc_free(handle);
	}

	if (!ret) {
		if (errno == EINVAL) {
			fprintf(stderr, "iptables: %s. "
					"Run `dmesg' for more information.\n",
				iptc_strerror(errno));
		} else {
			fprintf(stderr, "iptables: %s.\n",
				iptc_strerror(errno));
		}
		if (errno == EAGAIN) {
			exit(RESOURCE_PROBLEM);
		}
	}

	exit(!ret);
}

iptables很多东东,是用共享库*.so的形式来提供的,如果不采用共享库,则进行一个初始化操作。

iptables默认是采用共享库的,因此忽略它。

do_command4函数

do_command4 函数是整个系统的核心,负责处理整个用户的输入命令。

因函数代码太长,所以我只截取其中一段代码,

while ((cs.c = getopt_long(argc, argv,
	   "-:A:C:D:R:I:L::S::M:F::Z::N:X::E:P:Vh::o:p:s:d:j:i:fbvw::W::nt:m:xc:g:46",
					   opts, NULL)) != -1) {
		switch (cs.c) {
			/*
			 * Command selection
			 */
		case 'A':
			add_command(&command, CMD_APPEND, CMD_NONE,
				    cs.invert);
			chain = optarg;
			break;

		case 'C':
			add_command(&command, CMD_CHECK, CMD_NONE,
				    cs.invert);
			chain = optarg;
			break;

		case 'D':
			add_command(&command, CMD_DELETE, CMD_NONE,
				    cs.invert);
			chain = optarg;
			if (xs_has_arg(argc, argv)) {
				rulenum = parse_rulenumber(argv[optind++]);
				command = CMD_DELETE_NUM;
			}
			break;

		case 'R':
			add_command(&command, CMD_REPLACE, CMD_NONE,
				    cs.invert);
			chain = optarg;
			if (xs_has_arg(argc, argv))
				rulenum = parse_rulenumber(argv[optind++]);
			else
				xtables_error(PARAMETER_PROBLEM,
					   "-%c requires a rule number",
					   cmd2char(CMD_REPLACE));
			break;

		case 'I':
			add_command(&command, CMD_INSERT, CMD_NONE,
				    cs.invert);
			chain = optarg;
			if (xs_has_arg(argc, argv))
				rulenum = parse_rulenumber(argv[optind++]);
			else rulenum = 1;
			break;

函数首先对一些结构、变量进行初始化,初始化完毕后,进入while循环,解析用户输入的命令(如增删改查命令),设置相关的标志变量,然后根据相应标志,调用对应的处理函数。

其中的标志(-A,-C,-D,-I,-R,-L)对应iptables命令如下

以-A参数举例,其调用add_command函数,函数参数是CMD_APPEND命令

case 'A':
            add_command(&command, CMD_APPEND, CMD_NONE,
                    cs.invert);
            chain = optarg;
            break;

将CMD_APPEND保存到command变量中,将选择的挂载点保存在chain变量中

如果do_command4函数返回值为true,则调用iptc_commit 执行规则的改变

 

全局搜索后,并没有搜索到iptc_commit函数的实现,只在libip4tc.c文件中搜索到

#define TC_COMMIT        iptc_commit

转而继续搜索 TC_COMMIT

TC_COMMIT(struct xtc_handle *handle)
{
	/* Replace, then map back the counters. */
	STRUCT_REPLACE *repl;
	STRUCT_COUNTERS_INFO *newcounters;
	struct chain_head *c;
	int ret;
	size_t counterlen;
	int new_number;
	unsigned int new_size;

	iptc_fn = TC_COMMIT;
	CHECK(*handle);

	/* Don't commit if nothing changed. */
	if (!handle->changed)
		goto finished;

	new_number = iptcc_compile_table_prep(handle, &new_size);
	if (new_number < 0) {
		errno = ENOMEM;
		goto out_zero;
	}

	repl = malloc(sizeof(*repl) + new_size);
	if (!repl) {
		errno = ENOMEM;
		goto out_zero;
	}
	memset(repl, 0, sizeof(*repl) + new_size);

#if 0
	TC_DUMP_ENTRIES(*handle);
#endif

	counterlen = sizeof(STRUCT_COUNTERS_INFO)
			+ sizeof(STRUCT_COUNTERS) * new_number;

	/* These are the old counters we will get from kernel */
	repl->counters = malloc(sizeof(STRUCT_COUNTERS)
				* handle->info.num_entries);
	if (!repl->counters) {
		errno = ENOMEM;
		goto out_free_repl;
	}
	/* These are the counters we're going to put back, later. */
	newcounters = malloc(counterlen);
	if (!newcounters) {
		errno = ENOMEM;
		goto out_free_repl_counters;
	}
	memset(newcounters, 0, counterlen);

	strcpy(repl->name, handle->info.name);
	repl->num_entries = new_number;
	repl->size = new_size;

	repl->num_counters = handle->info.num_entries;
	repl->valid_hooks  = handle->info.valid_hooks;

	DEBUGP("num_entries=%u, size=%u, num_counters=%u\n",
		repl->num_entries, repl->size, repl->num_counters);

	ret = iptcc_compile_table(handle, repl);
	if (ret < 0) {
		errno = ret;
		goto out_free_newcounters;
	}


#ifdef IPTC_DEBUG2
	{
		int fd = open("/tmp/libiptc-so_set_replace.blob",
				O_CREAT|O_WRONLY, 0644);
		if (fd >= 0) {
			write(fd, repl, sizeof(*repl) + repl->size);
			close(fd);
		}
	}
#endif

	ret = setsockopt(handle->sockfd, TC_IPPROTO, SO_SET_REPLACE, repl,
			 sizeof(*repl) + repl->size);
	if (ret < 0)
		goto out_free_newcounters;

	/* Put counters back. */
	strcpy(newcounters->name, handle->info.name);
	newcounters->num_counters = new_number;

	list_for_each_entry(c, &handle->chains, list) {
		struct rule_head *r;

		/* Builtin chains have their own counters */
		if (iptcc_is_builtin(c)) {
			DEBUGP("counter for chain-index %u: ", c->foot_index);
			switch(c->counter_map.maptype) {
			case COUNTER_MAP_NOMAP:
				counters_nomap(newcounters, c->foot_index);
				break;
			case COUNTER_MAP_NORMAL_MAP:
				counters_normal_map(newcounters, repl,
						    c->foot_index,
						    c->counter_map.mappos);
				break;
			case COUNTER_MAP_ZEROED:
				counters_map_zeroed(newcounters, repl,
						    c->foot_index,
						    c->counter_map.mappos,
						    &c->counters);
				break;
			case COUNTER_MAP_SET:
				counters_map_set(newcounters, c->foot_index,
						 &c->counters);
				break;
			}
		}

		list_for_each_entry(r, &c->rules, list) {
			DEBUGP("counter for index %u: ", r->index);
			switch (r->counter_map.maptype) {
			case COUNTER_MAP_NOMAP:
				counters_nomap(newcounters, r->index);
				break;

			case COUNTER_MAP_NORMAL_MAP:
				counters_normal_map(newcounters, repl,
						    r->index,
						    r->counter_map.mappos);
				break;

			case COUNTER_MAP_ZEROED:
				counters_map_zeroed(newcounters, repl,
						    r->index,
						    r->counter_map.mappos,
						    &r->entry->counters);
				break;

			case COUNTER_MAP_SET:
				counters_map_set(newcounters, r->index,
						 &r->entry->counters);
				break;
			}
		}
	}

#ifdef IPTC_DEBUG2
	{
		int fd = open("/tmp/libiptc-so_set_add_counters.blob",
				O_CREAT|O_WRONLY, 0644);
		if (fd >= 0) {
			write(fd, newcounters, counterlen);
			close(fd);
		}
	}
#endif

	ret = setsockopt(handle->sockfd, TC_IPPROTO, SO_SET_ADD_COUNTERS,
			 newcounters, counterlen);
	if (ret < 0)
		goto out_free_newcounters;

	free(repl->counters);
	free(repl);
	free(newcounters);

finished:
	return 1;

out_free_newcounters:
	free(newcounters);
out_free_repl_counters:
	free(repl->counters);
out_free_repl:
	free(repl);
out_zero:
	return 0;
}

 

编程实战营
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核网络部分源码分析-唐文
08-28
Linux内核网络部分源码分析-唐文
iptables 命令 源代码分析
killmice的专栏
01-06 3859
iptables : version 1.2 版本分析 主要是基于ipv4的, ipv6的没有分析。 一. extentions    iptable的所有的extenion源文件在 extention 目录中, 每个extention 都有一个.c文件。 extention 可以是一个match 或 一个target, 每个match/target 必须提供init
iptables 源码分析
Rain的专栏
08-06 2543
http://linux.ccidnet.com/art/741/20060705/596527_1.html
iptables源码编译
qq_41167620的博客
01-12 486
iptables源码编译
iptables源码iptables源码
09-02
iptables源码 iptables工具
linux iptables 源码
09-30
linux iptables 源码
ipset内核源码分析
bob的博客
05-30 847
遍历所有的xt_entry_match模块,而ipset的xt_entry_match是在net/netfilter/ipset/ip_set_list_set.c文件中list_set_init通过ip_set_type_register注册的。iptables通过ipt_do_table来进行查包,进入ipt_do_table函数后,应该是执行到xt_ematch_foreach进行ipset模块的匹配。其中定义了一些variant为set_variant,而set_variant是。
iptables源码下载网站
qq_41167620的博客
01-04 811
linux netfilter|iptables源码下载网站
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解 一、Netfilter/IPTables 框架简介 Netfilter/IPTables 是 Linux 防火墙机制的新一代解决方案,继承了 IPfwadm 和 IPchains 的优点,并具有良好的可扩充性。Netfilter 采用模块化设计,...
kubernetes 源码分析.pdf
12-13
Kubernetes是当今最流行的容器编排系统,其源代码解析对于深入了解Kubernetes的工作原理至关重要。本文将探讨Kubernetes的几个核心组件的源码分析,包括kube-apiserver、控制器(如node controller、job controller...
iptables源码详解
12-20
通过跟踪一条命令的执行,详细分析iptables源代码,
Cloudera Impalad分布式群集部署(yum本地源+代码实例)
12-05
本文详细介绍了在 Centos 6.xx 64 位系统环境下部署 Cloudera Impala 分布式集群的整个流程,包括系统环境配置、JDK 安装、主机名修改、SSH 无密码访问配置、防火墙及 SELINUX 关闭、NTP 服务安装等关键步骤。...
[主机域名]ISPConfig 3.0.1.4_ispconfig3_codepub.rar
08-10
此外,通过修改源代码,还可以尝试实现自定义的功能或者优化现有的工作流程。 在这个压缩包中,文件“[主机域名]ISPConfig 3.0.1.4_ispconfig3_codepub”很可能是ISPConfig 3的源代码目录,包含了所有相关的PHP脚本...
iptables源码
钟明家
03-29 732
# Generated by iptables-save v1.4.7 on Wed Mar 29 16:50:09 2017 *filter :INPUT DROP [908:112872] :FORWARD DROP [0:0] :OUTPUT DROP [2:127] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INP...
iptables源码分析(4)
venoy4806的专栏
01-07 1056
然match是以可扩展的形式表现出来,那么,当然就需要find_match这样的函数将它们一一找出来了。  前面说过,在输出规则的函数中: IPT_MATCH_ITERATE(fw, print_match, &fw->ip, format & FMT_NUMERIC); 用来遍历每一个match,找到了后,就调用print_match来输出。print_match是调用fin
iptables源码分析(1)
venoy4806的专栏
01-07 1596
一、规则的显示选择先来说明规则的显示,因为他涉及到的东东简单,而且又全面,了解了规则的显示,对于其它操作的了解就显得容易了。 iptables version 1.2.7 iptables有两条线:ipv4 和ipv6,这里只分析v4的,因为v6偶暂时还用不着,没有去看。 iptables_standardone.c主函数:int m
iptables全面详解(图文并茂含命令指南)
最新发布
程序人生
08-04 1万+
iptables原理详解及操作指南
iptables源代码分析之set集合模块
脚踏实地,不断突破自我,每天有收获就OK
12-11 5225
适合的读者 1.能够熟练使用iptables和ipset命令,增删改查等 2.心里好奇iptables的命令是如何生效的? 3.对研究netfilter源代码有浓厚兴趣的技术人员 4.用户态的iptables和内核态的netfilter是如何交互的 一、研究背景 使用iptables来针对某ip指定规则,从而达到抵御网络攻击的目的。但有时可能对成千上万的ip进行封禁,如过添加成千上万条iptabl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值