Linux 路由 学习笔记 之六 策略规则的添加

最新推荐文章于 2024-06-17 17:59:34 发布
最新推荐文章于 2024-06-17 17:59:34 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lickylin/article/details/39036589
版权

上一节分析了策略规则相关的数据结构,本节就分析一下策略规则的添加。对于策略规则的功能模块,由于v4v6都有用到,所以该模块也和邻居模块一样,抽象出了通用规则的接口函数,然后根据传入的参数来进入协议相关的策略规则的接口函数,即分为通用接口函数与协议相关的接口函数。

 

1.通用规则的添加及处理流程

应用层主要是通过netlink模块实现与内核中策略规则模块通信,从而实现策略规则的添加、删除等操作(本文不关注netlink接口实现,仅介绍策略规则功能模块相关的接口)。

1.1 fib_nl_newrule

不管是v4还是v6,在内核中添加一个规则,首先就会调用通用接口函数fib_nl_newrule,然后由该函数找到协议相关的接口函数,再调用协议相关的接口函数,实现策略规则的添加。

 

 

下面我们就分析一下这个函数,这个函数主要执行一下功能:

1.根据应用层传递的协议类型,查找到相应注册的struct fib_rules_ops类型的变量

   对于ipv4而言,就是fib4_rules_ops

2.  对应用层传递的值进行解析,并对传入的源或者目的地址值进行合理性检查

3.创建一个新的fib rule缓存,并对优先级、接口index、接口名称、fwmarkactiontable_id进行设置

4.调用协议对应的configure函数,对fib rule的源、目的iptos等值进行配置

5.增加此fib rule的引用计数,并根据优先级将新的fib rule插入到协议相关的rules_list链表对应的位置

int fib_nl_newrule(struct sk_buff *skb, struct nlmsghdr* nlh, void *arg)

{

struct fib_rule_hdr *frh = nlmsg_data(nlh);

struct fib_rules_ops *ops = NULL;

struct fib_rule *rule, *r, *last = NULL;

struct nlattr *tb[FRA_MAX+1];

int err = -EINVAL;

 

if (nlh->nlmsg_len < nlmsg_msg_size(sizeof(*frh)))

goto errout;

/*对于ipv4而言,获取到的值即为fib4_rules_ops*/

ops = lookup_rules_ops(frh->family);

if (ops == NULL) {

err = EAFNOSUPPORT;

goto errout;

}

/*对应用层传递的参数进行解析,并存放在tb*/

err = nlmsg_parse(nlh, sizeof(*frh), tb, FRA_MAX, ops->policy);

if (err < 0)

goto errout;

/*调用validate_rulemsg对传入的源或者目的地址值进行合理性检查*/

err = validate_rulemsg(frh, tb, ops);

if (err < 0)

goto errout;

/*

创建一个struct fib_rule *类型的变量

*/

rule = kzalloc(ops->rule_size, GFP_KERNEL);

if (rule == NULL) {

err = -ENOMEM;

goto errout;

}

/*

根据应用层传递的参数,对优先级进行设置

*/

if (tb[FRA_PRIORITY])

rule->pref = nla_get_u32(tb[FRA_PRIORITY]);

/*

根据应用层传递的参数,决定是否需要设置fib ruleifindex

*/

if (tb[FRA_IFNAME]) {

struct net_device *dev;

 

rule->ifindex = -1;

nla_strlcpy(rule->ifname, tb[FRA_IFNAME], IFNAMSIZ);

dev = __dev_get_by_name(rule->ifname);

if (dev)

rule->ifindex = dev->ifindex;

}

/*

设置fib rulefwmark,实际应用中可以根据这个值决定路由表的选择,即实现

策略路由的功能

*/

if (tb[FRA_FWMARK]) {

rule->mark = nla_get_u32(tb[FRA_FWMARK]);

if (rule->mark)

/* compatibility: if the mark value is non-zero all bits

 * are compared unless a mask is explicitly specified.

 */

rule->mark_mask = 0xFFFFFFFF;

}

/*

设置fwmark的掩码值

*/

if (tb[FRA_FWMASK])

rule->mark_mask = nla_get_u32(tb[FRA_FWMASK]);

/*设置规则的action以及与该规则关联的路由表id,实现规则与路由表的关联*/

rule->action = frh->action;

rule->flags = frh->flags;

rule->table = frh_get_table(frh, tb);

/*

当没有为策略规则配置优先级也没有默认优先级时,则会调用该协议对应

default_pref获取一个默认的优先级.

对于ipv4,其default_pref的原理是获取规则链表中非0优先级中的最高优先级,

即获取的默认优先级是除0优先级的规则外,最高的优先级。

*/

if (!rule->pref && ops->default_pref)

rule->pref = ops->default_pref();

 

/*

调用该协议对应的configure,该该策略进行配置

*/

err = ops->configure(rule, skb, nlh, frh, tb);

if (err < 0)

goto errout_free;

/*

遍历规则链表,找到第一个pref值比当前刚创建的fib rulepref值大的fib rule:

若找到符合要求的规则,则将新创建的策略规则添加到符合要求的规则

之前;

若在搜索完整个链表仍没有找到符合要求的规则,则将该规则添加到

当前链表已有规则的租后,即链尾。

*/

list_for_each_entry(r, ops->rules_list, list) {

if (r->pref > rule->pref)

break;

last = r;

}

 

fib_rule_get(rule);

 

if (last)

list_add_rcu(&rule->list, &last->list);

else

list_add_rcu(&rule->list, ops->rules_list);

 

notify_rule_change(RTM_NEWRULE, rule, ops, nlh, NETLINK_CB(skb).pid);

rules_ops_put(ops);

return 0;

 

errout_free:

kfree(rule);

errout:

rules_ops_put(ops);

return err;

}

 

 

 

1.2 lookup_rules_ops

在上面的函数中,在根据协议簇查找相应的已注册的协议相关的fib_rules_ops变量时,调用了函数lookup_rules_ops来实现的,下面就分析一下这个函数

功能:根据协议簇在链表rules_ops中查找符合要求的struct fib_rules_ops类型的

     变量对于ipv4而言,即为fib4_rules_ops

static struct fib_rules_ops *lookup_rules_ops(int family)

{

struct fib_rules_ops *ops;

 

rcu_read_lock();

list_for_each_entry_rcu(ops, &rules_ops, list) {

if (ops->family == family) {

if (!try_module_get(ops->owner))

ops = NULL;

rcu_read_unlock();

return ops;

}

}

rcu_read_unlock();

 

return NULL;

}

 

接着就调用函数validate_rulemsg,对于应用层传递的参数进行了合法性检查,下面就分析一下这个函数

1.3 validate_rulemsg

这个函数主要判断frhtb中的源、目的地址相关的参数是否合法,下面分析下这个函数的执行流程:

 

1.若源地址的长度不为0时,若tb[FRA_SRC]中为空,或者传入的地址

  长度与相应协议规定的地址长度不等,或者实际传递的地址的

  实际长度与相应协议规定的地址长度不等时,则返回-EINVAL

1.若目的地址的长度不为0时,若tb[FRA_SRC]中为空,或者传入的地址

  长度与相应协议规定的地址长度不等,或者实际传递的地址的

  实际长度与相应协议规定的地址长度不等时,则返回-EINVAL

 

static int validate_rulemsg(struct fib_rule_hdr *frh, struct nlattr **tb,

    struct fib_rules_ops *ops)

{

int err = -EINVAL;

 

if (frh->src_len)

if (tb[FRA_SRC] == NULL ||

    frh->src_len > (ops->addr_size * 8) ||

    nla_len(tb[FRA_SRC]) != ops->addr_size)

goto errout;

 

if (frh->dst_len)

if (tb[FRA_DST] == NULL ||

    frh->dst_len > (ops->addr_size * 8) ||

    nla_len(tb[FRA_DST]) != ops->addr_size)

goto errout;

 

err = 0;

errout:

return err;

}

 

接着就是调用协议相关的函数,进行协议相关的配置操作了,下面我们就分析之

2.协议相关的添加处理流程

本节以ipv4为例,在函数fib_nl_newrule中,通过ops->configure函数调用了协议相关的配置函数,而对于ipv4而言,即是函数 fib4_rule_configure。下面就分析一下这个函数。

2.1  fib4_rule_configure

当新增加一个ipv4 fib rule 规则时,就会调用该函数,对

新创建的struct fib4_rule类型的变量进行初始化操作,即根据

应用层传递的配置参数,设置struct fib4_rule类型的变量的

ip地址、源ip的掩码值、目的ip地址、目的ip的掩码值、

路由表idtos

 

static int fib4_rule_configure(struct fib_rule *rule, struct sk_buff *skb,

       struct nlmsghdr *nlh, struct fib_rule_hdr *frh,

       struct nlattr **tb)

{

int err = -EINVAL;

struct fib4_rule *rule4 = (struct fib4_rule *) rule;

 

if (frh->tos & ~IPTOS_TOS_MASK)

goto errout;

 

if (rule->table == RT_TABLE_UNSPEC) {

if (rule->action == FR_ACT_TO_TBL) {

struct fib_table *table;

/*

若应用层没有设置路由表的id,则调用fib_empty_table创建

一个新的路由表,并将新创建的路由表的id传递

rule->table

(使用如下命令,即会使系统创建一个新的路由表

# ip rule add from 192.168.192.1 table 0)

*/

table = fib_empty_table();

if (table == NULL) {

err = -ENOBUFS;

goto errout;

}

 

rule->table = table->tb_id;

}

}

 

if (frh->src_len)

rule4->src = nla_get_be32(tb[FRA_SRC]);

 

if (frh->dst_len)

rule4->dst = nla_get_be32(tb[FRA_DST]);

 

#ifdef CONFIG_NET_CLS_ROUTE

if (tb[FRA_FLOW])

rule4->tclassid = nla_get_u32(tb[FRA_FLOW]);

#endif

 

rule4->src_len = frh->src_len;

rule4->srcmask = inet_make_mask(rule4->src_len);

rule4->dst_len = frh->dst_len;

rule4->dstmask = inet_make_mask(rule4->dst_len);

rule4->tos = frh->tos;

 

err = 0;

errout:

return err;

}

刚才的函数里,有调用函数fib_empty_table,那我们就分析一下这个函数。

2.2 fib_empty_table

功能:0开始到RT_TABLE_MAX为止,找到第一个没有创建路由表的id后,

            即调用fib_new_table创建此id对应的路由表,并返回路由表的首地址;

            若从0开始到RT_TABLE_MAXid,都有创建相应的路由表了,则程序

            返回NULL

static struct fib_table *fib_empty_table(void)

{

u32 id;

 

for (id = 1; id <= RT_TABLE_MAX; id++)

if (fib_get_table(id) == NULL)

return fib_new_table(id);

return NULL;

}

 

 

以上就是策略规则添加的整个分析流程,通过分析这个流程,发现在添加策略规则时,函数并没有判断要添加的规则是否已存在,这样会不会导致策略规则的重复添加呢?还是在应用层进行的判断呢?我感觉应该是应用层做了判断,由于目前一直在学习kernel里的代码,应用层的代码目前是没有时间分析了。

jerry_chg
关注
专栏目录
Kafka学习笔记
dw147258dw的专栏
06-07 616
4. 如果产生了消息积压,或者是吞吐量不够,可以通过增加主题的分区来解决,但是分区也不是越多越好,如果超过了一定的阈值,可能会导致不升反降,所以需要对硬件资源做一个吞吐量的测试,来找到一个合适的分区阈值区间,分区数过多也可能会导致leader宕机的时候不可用时间变得很长(选主过程)在均衡也可能会导致消息的重复消费。4. 可以根据seek方法进行消息回溯。1. kafka可以配置自动创建主题,如果收到一个未创建的主题消息,会自动创建默认分区数,默认副本数的主题,但是不推荐,推荐使用脚本创建。
策略路由之概述
九天小哥的专栏
08-11 672
策略路由需要分两块来看:非协议相关和协议相关。内核中可以有多个协议族都可以支持策略路由,这部分共性操作可以抽象出来,这就是非协议相关代码要做的是,各个协议族特有的操作通过一组回调函数来实现。这篇笔记就从初始化过程中看看策略路由的实现和组织结构。 源代码路径 说明 net/core/fib_rules.c 策略路由非协议相关实现 include/net/fib_rules.h 策...
添加路由规则
weixin_30439067的博客
08-02 225
听着李健的《传奇》,敲着dell的键盘,用着windows10的系统,我写下了这篇博客,关于express路由规则添加。 app.js: var express = require('express'); var path = require('path'); var favicon = require('serve-favicon'); var logger = require(...
Linux添加服务器安全策略
stklway的专栏
01-10 1205
系统版本:cat /etc/redhat-release CentOS release 6.10 密码过期设置,在文件/etc/login.defs中进行设置,如下参数 PASS_MAX_DAYS 180 #密码最长过期天数 PASS_MIN_DAYS 30 #密码最小过期天数 PASS_MIN_LEN 12 #密码最小长度 PASS_WARN_AGE 20 #密码过期警告天数 ...
路由器中支持几种路由规则
weixin_42454678的博客
12-13 791
路由器中支持几种路由规则 路由器中支持4中路由规则 spring.application.name=ztt.zuul.route server.port=3030 eureka.client.service-url.defaultZone=http://admin:1234@192.168.41.242:5050/eureka/,http://admin:1234@192.168.41.242...
Linux服务器设置入站规则(能访问服务器的IP)
最新发布
weixin_64489065的博客
06-17 1167
接上一篇出站配置,这一篇是入站配置,因为出站配置的时候没有涉及入站配置,所以没什么问题(),如果要进行入站设置得话,有些点需要注意的:当你已经设置出站策略DROP,此时入站策略还是ACCEPT,如果你想把ACCRPT改为DROP的话 ,就要注意一点,那就是必须把出站策略中所设置的IP也要加入进来,因为TCP是双向的如果你只给它发,不接收它的,那么也是连接不通的.所以一定要注意,其余配置和出站保持一致即可。
关于Linux系统安全策略设置操作
qq_61523293的博客
05-17 653
Linux系统其实大都默认安装了这个软件可以给系统提供一些比较基础可靠的防护。Linux本身是具有两个安全防火墙用来对系统有基础的防护,第一个保护的防火墙就是由iptables通过IP过滤机制来构成,因为iptabales可以较为直观地对系统的运行情况等起到监视作用,可以较为直接地阻挡一些恶意的攻击,来保护系统让系统不被破坏攻击。服务是否应用了libwrapped库文件来反映tcp_wrappers防火墙的局限性,如果有应用到则可以使用这个防火墙,如果没有应用到,这个防火墙的使用可能就会充满坎坷。
Linux学习笔记
weixin_48778425的博客
03-06 934
一、常用命令 1.1 文件操作命令 查看当前路径下的文件 ls 显示当前路径下的所有文件,蓝色代表文件夹,白色代表文件 ls -a 显示所有文件,包括隐藏文件,(.xxx的文件)都是隐藏文件 ls -lh 前四个对应 文件修改次数 + 文件所有人 + 文件所属组 + 文件大小 ls *.txt 显示当前路径下 所有txt文件 ls 1* 显示当前路径下 所有以1开头的文件 创建文件和文件夹 touch test.txt 当前目录创建文件 mkdir cc 当前目录创建文件夹 mkdir -p
Linux学习笔记(19)——iptables防火墙管理服务
Zone的博客
06-17 414
iptables 策略规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。 防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策...
tcp/ip 协议栈Linux内核源码分析七 路由子系统分析二 策略路由
fuyuande的博客
05-27 1594
内核版本:3.4.39 策略路由就是根据配置策略查找路由表,早期的Linux版本是不支持策略路由的,默认的查找策略就是先查找local路由表,找不到再继续查找main表,当支持策略路由功能时,内核最多可以配置255个路由表,这时候根据先匹配策略,匹配后再去查找该策略指定的路由表,内核最多支持32768张策略表,初始化的时候创建了local表,main表和default表。策略表按照优先级从高到低...
sonic处理netlink事件
weixin_39094034的博客
03-30 1603
sonic处理netlink事件 ​ sonic在处理路由,接口up/down,接口地址变化,team等事件上极大的依赖内核。sonic通过监听rtnl事件来响应linux事件。从而感知相关信息变化。 libnl sonic使用libnl库来操作netlink事件,详细内容可以访问http://www.infradead.org/~tgr...。sonic在libnl库基础上封装了类NetLink进行netlink操作。 NetLink class NetLink : public Select
linux关闭防火墙、添加访问策略
wang123459的博客
01-19 7311
1.centos7 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running) 2、iptables防火墙(这里iptables已
linux 路由表 fib,linux内核 路由fib表之创建
weixin_39956009的博客
05-13 406
2.2.2 路由创建当通过netlink,操作类型为RTM_NEWROUTE时,调用inet_rtm_newroute函数添加路由。功能:a)、将用户空间配置内容传过来b)、路由表的创建c)、路由表项的添加流程: 代码:static int inet_rtm_newroute(struct sk_buff *skb, struct nlmsghdr *nlh, void *arg)//其中nlh为...
四 libnl库详解
clytiejoe的专栏
04-24 1万+
translate from http://www.infradead.org/~tgr/libnl/doc/core.html#core_netlink_fundamentals 1 介绍    libnl核心库提供了通过netlink socket连接所需要的基础函数,用于处理socket的链接和断开、数据收发、消息创建分析,提供用户可定制接收状态机,并提供一种抽象的数据类型框架,
Android 策略路由
woai110120130的专栏
08-11 6233
Android使用netd对网络进行管理,一个操作系统如何对网络进行管理的呢,又是如何实现的,我们本篇文章就来分析一下。 Android的网络管理我觉得最重要的就是策略路由,为了了解Android的策略路由,我们先熟悉下路由规则路由器我们都比较熟悉,属于三成设备,路由器是用于数据报转发的,那么路由器如何确定将一个设备转发到下一跳路由呢,是通过路由表。 #ip route show 61.135.165.183 via 192.168.1.1 dev wlp5s0 proto unspec defaul
Linux基于mark的策略路由以及nf_conntrack RELATED
热门推荐
Netfilter
10-21 1万+
谈到什么是意义,话题总显得很大,近日每晚都和老城里的朋友聊老城的文化,老城的老房子,老城的叫卖声,老城的方言…进行了很多的思考,也挺充实。至于技术方面,也有跟朋友以及前同事聊过,这些都是意义。又到了周末,早早起来写一篇技术总结,至于老城的话题,我会在朋友圈零零散散地写。本文关键词:Linux策略路由,nf_conntrack,socket,路由缓存再谈“哪里来的回哪里”当人们部署双线服务器时,比如一
linux中通用Netlink详解及使用剖析(附源码)
weixin_33744854的博客
05-14 1842
相关部分可以参考之前文章:《netlink机制》 因为Netlink协议簇不能超过32个,而且添加协议簇需要在include/linux/netlink.h中添加协议簇定义。因为开发了通用netlink,类似netlink的多路复用器,因为提供了通用的渠道,所以可以在其他子系统使用,例如ACPI、任务统计信息、过热事件等。 1.1.1 协议族 通...
Linux 路由 学习笔记 之七 策略规则的查找
lickylin的专栏
09-04 4539
上面分析了策略规则添加,本文分析一下策略规则的查找。其实策略规则的存在就是为了实现策略路由功能的,而在策略路由的查找一节已经分析了策略规则的查找了,但为了在这一节单独分析策略规则,此处也一并再分析一下。   对于策略规则的功能模块来说,其查找函数是始于通用策略规则模块的fib_rules_lookup。   1 通用规则的查找函数  1.1 fib_rules_lookup   这
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值