1. 前言
Netfilter作为目前进行包过滤,连接跟踪,地址转换等的主要实现框架,了解其内部机制对于我们更好的利用Netfilter进行设 计至关重要,因此本文通过阅读内核源码2.6.21.2,根据自身的分析总结出Netfilter的大致实现机制,由于自身水平有限,且相关的参考资料较 少,因此其中的结论不能保证完全正确,如果在阅读本文的过程中发现了问题欢迎及时与作者联系。
2. 规则的存储与遍历机制
规则的存储机制
在Netfilter中规则是顺序存储的,一条规则主要包括三个部分:ipt_entry、ipt_entry_matches、 ipt_entry_target。ipt_entry_matches由多个ipt_entry_match组成,ipt_entry结构主要保存标准 匹配的内容,ipt_entry_match结构主要保存扩展匹配的内容,ipt_entry_target结构主要保存规则的动作。在 ipt_entry中还保存有与遍历规则相关的变量target_offset与next_offset,通过target_offset可以找到规则中 动作部分ipt_entry_target的位置,通过next_offset可以找到下一条规则的位置。规则的存储如下图2-1所示。
图2-1 规则的存储
ipt_entry结构如下图2-2所示,其成员ip指向结构ipt_ip,该结构主要保存规则中标准匹配的内容(IP、mask、interface、 proto等),target_offset的值等于ipt_entry的长度与ipt_entry_matches的长度之和,next_offset 的值等于规则中三个部分的长度之和。通过target_offset与next_offset可以实现规则的遍历。
图2-2 ipt_entry结构
ipt_entry_match主要保存规则中扩展匹配内容(tos、ttl、time等),其是Netfilter中内核与用户态交互的关键数据结构, 在其内核部分由一个函数指针指向一个ipt_match结构,该结构体中包含了对包做匹配的函数,是真正对包做匹配的地方。 ipt_entry_target结构与ipt_entry_match结构很类似。
图2-3 ipt_entry_match结构
图2-4 ipt_entry_target结构
规则的遍历机制
在Netfilter中,函数ipt_do_table()实现了规则的遍历,该函数根据传入的参数table和hook找到相应的规则起点,即第一个ipt_entry的位置,主要通过函数get_entry()实现。
| private = table- > private ; table_base = ( void * ) private - > entries[ smp_processor_id( ) ] ; e = get_entry( table_base, private - > hook_entry[ hook] ) ; |
标准匹配是通过函数ip_packet_match()实现的,该函数主要对包的五元组信息进行匹配,扩展匹配则通过宏IPT_MATCH_ITERATE实现,该宏的定义为:
| # define IPT_MATCH_ITERATE( e, fn, args. . . ) \ ( { \ unsigned int __i; \ int __ret = 0; \ struct ipt_entry_match * __match; \ \ for ( __i = sizeof ( struct ipt_entry) ; \ __i < ( e) - > target_offset; \ __i + = __match- > u. match_size) { \ __match = ( void * ) ( e) + __i; \ \ __ret = fn( __match , # # args) ; \ if ( __ret ! = 0) \ break ; \ } \ __ret; \ } ) |
宏IPT_MATCH_ITERATE依次调用各个ipt_entry_match所指向的ipt_match中match()处理数据包,在for循环中使用了terget_offset位置变量查找match的位置。
在对数据包进行了匹配后,接着需要进行相应的动作处理,通过函数ipt_get_target()获取规则动作ipt_entry_target的位置:
| static __inline__ struct ipt_entry_target * ipt_get_target( struct ipt_entry * e) { return ( void * ) e + e- > target_offset; } |
如果还需要继续遍历下一条规则,则继续执行以下语句以找到下一条规则的开始位置:
| e = ( void * ) e + e- > next_offset; |
3. 表、匹配、动作存储及管理机制
表、匹配、动作的存储机制
规则中所使用到的match、target、table使用全局变量xt_af所指向的相应链表保存,这些链表是在对Netfilter进行初始化或匹配 模块扩展时进行更新的,在初始化时,默认的表及动作则添加到相应的链表中。Netfilter实现了很好的扩展性,如需要对数据包的时间进行匹配,则在 match的链表中需要首先增加time扩展匹配模块,在相应的规则中则通过指向该time模块所对应的函数match()以进行时间的匹配。xt_af 是个一维数组,其按照协议族的不同分别存储,目前我们常用的协议族主要是AF_INET。
图3-1 match,target,table的全局存储
match、target、table的全局存储如上图3-1所示,以下为各部分的详细的结构表示。当扩展一个匹配模块时,其会注册一个 ipt_match结构到match链表中,该结构的主要变量值如下图所示,name表示扩展模块的名字,match()是该模块最主要的函数,其主要对 数据包进行相应的比较,checkentry()主要对包进行相应的完整性检验,destroy()在对模块进行撤销时调用。如果需要自己新加一个扩展模 块,则需要构造一个ipt_match结构并注册到相应的链表中。ipt_target的结构与ipt_match相似,其最主要的函数是 target()。
图3-2 ipt_match结构的存储
图3-3 ipt_target结构的存储
table主要是用来对规则进行管理,通过table中的相应参数可以找到相应的规则所处的入口位置。
图3-4 ipt_table结构的存储
表、匹配、动作的管理机制
match、target、table的注册分别调用xt_register_match()、 xt_register_target()、xt_register_table()实现,前两个注册函数很相 似,xt_register_table()则稍微复杂些。撤销时则分别调用相应的unregister函数实现。 xt_register_match()函数的定义如下(xt_match与ipt_match是一样的):
| int xt_register_match( struct xt_match * match) { int ret, af = match- > family; ret = mutex_lock_interruptible( & xt[ af] . mutex) ; if ( ret ! = 0) return ret; list_add( & match- > list , & xt[ af] . match) ; mutex_unlock( & xt[ af] . mutex) ; return ret; } |
xt_register_table()函数的定义如下(xt_table与ipt_table是一样的),因为一个xt_table结构中还指向另一结构xt_table_info,该结构主要描述表的相关信息,所以对表注册时需要对这两类结构体进行定义。
| int xt_register_table( struct xt_table * table, struct xt_table_info * bootstrap, struct xt_table_info * newinfo) { int ret; struct xt_table_info * private ; struct xt_table * t; ret = mutex_lock_interruptible( & xt[ table- > af] . mutex) ; if ( ret ! = 0) return ret; /* Don't autoload: we'd eat our tail... */ list_for_each_entry( t, & xt[ table- > af] . tables, list ) { if ( strcmp ( t- > name, table- > name) = = 0) { ret = - EEXIST; goto unlock; } } /* Simplifies replace_table code. */ table- > private = bootstrap; rwlock_init( & table- > lock) ; if ( ! xt_replace_table( table, 0, newinfo, & ret) ) goto unlock; private = table- > private ; duprintf( "table->private->number = %u\n" , private - > number) ; /* save number of initial entries */ private - > initial_entries = private - > number; list_add( & table- > list , & xt[ table- > af] . tables) ; ret = 0; unlock: mutex_unlock( & xt[ table- > af] . mutex) ; return ret; } |
4. 钩子函数的存储及管理机制
钩子函数的存储机制
钩子函数由一个全局二维链表nf_hooks保存,其按照协议族归类存储,在每个协议族中,根据钩子点顺序排列,在钩子点内则根据钩子函数的优先级依次排 列。钩子函数的存储图如下图4-1所示,链表中的每个元素都是指向结构体nf_hook_ops中的hook()函数的指针,nf_hook_ops实际 存储了钩子函数的内容,其结构如图4-2所示。在相应的钩子点调用钩子函数时,则根据协议族和钩子点找到相应的链表入口,然后依次调用该链中的每一个钩子 函数对数据包进行操作。
图4-1 钩子函数的全局存储
图4-2 钩子函数的链表
钩子函数的管理机制
如果需要在相应的钩子点挂载钩子函数,则需要首先定义一个nf_hook_ops结构,在其中实现实际的钩子函数,再调用函数nf_register_hook()将该钩子函数注册到图4-1所示的二维链表中,nf_register_hook()函数的定义如下:
5. Netfilter的流程框架
在Netfilter中的不同钩子点调用了不同的钩子函数,这些钩子函数的调用如图4-1所示,其调用的流程框架如下图5-1所示。
图5-1 Netfilter中hook函数的调用流程
Netfilter中默认表filter在建立时则在NF_IP_LOCAL_IN,NF_IP_FORWARD钩子点注册了钩子函数 ipt_hook(),在NF_IP_LOCAL_OUT这个点注册了钩子函数ipt_local_out_hook(),两个钩子函数都会调用 ipt_do_table()对相对应的表和钩子点的规则进行遍历。调用的流程如下图5-2所示。
图5-2 Netfilter中规则的调用流程
6.总结
以上只是简单分析了Netfilter的整体框架,主要描述了其中的实现机制。在这个机制上已经实现了很多功能,除了对基本的功能进行完善和改进外,还出 现了很多新的扩展功能。如在此架构上实现的连接跟踪机制和NAT机制,以及结合连接跟踪机制与Netfilter框架实现的Layer7扩展匹配模块等。 对此框架的了解,有助于我们更好的利用Netfilter框架实现我们的设计,鉴于自身水平有限,因此以上的分析不能保证全部正确。希望各位批评指正。
由于主要是为了描绘出整个Netfilter的框架,故对其中较细节的的内容有所忽略而未深入分析,如规则的另外一个动作 ipt_standard_target,table表注册时的初始化等,但这并不影响对整个框架的了解。至于Netfilter在链路层的实现机制此处 也并未分析,因为其实现较简单,且我们大部分是在网络层利用Netfilter架构。分析中也未涉及到用户态规则与内核态规则之间的关系,对于 iptables如何操作内核中的规则并未介绍,以后有机会再做详细分析。
2168
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
