netfilter学习总结一:规则结构表示及其内存布局

最新推荐文章于 2024-02-26 16:27:01 发布
最新推荐文章于 2024-02-26 16:27:01 发布
阅读量765 收藏 3
点赞数
分类专栏: Linux内核 源码分析 文章标签: Linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq32/article/details/103432759
版权

 

       最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。

另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里赋值,而这些信息是理解功能和源码必须要明白的。

1. netfilter规则组成

netfilter的每一条规则由结构体struct ipt_entry定义,规则包含三部分:

ip头信息及控制信息 struct ipt_ip,属于标准匹配信息

match匹配相关信息 struct xt_entry_match,属于扩展match信息,可以没有

target匹配成功时执行的动作相关信息 struct xt_entry_target,为扩展target信息可以没有,但是netfilter初始化时会设置默认策略,包含了标准target,即target必须只少有一个,以决定默认数据包走向。默认策略的设置代码还需要再看看。

2. 规则匹配结构体

头文件 linux/netfilter_ipv4/ip_tables.h

struct ipt_entry 定义如下:
/* This structure defines each of the firewall rules.  Consists of 3
   parts which are 1) general IP header stuff 2) match specific
   stuff 3) the target to perform if the rule matches */
struct ipt_entry {
    struct ipt_ip ip;     //标准匹配:ip头信息,源目的IP地址,掩码,网络接口等
                          //在匹配规则时先进行次标准匹配,作为参数传递到ip_packet_match
                          //函数进行匹配

    /* Mark with fields that we care about. */
    unsigned int nfcache;     //自己理解:匹配的字段,每一位表示一个字段
                              //查看iptables源码时,发现设置规则时会把命令行的字段也就是规则需
                              //要的字段,将其宏定义值安照位或运算设置到该变量

    /* Size of ipt_entry + matches */
    u_int16_t target_offset;  //target的偏移位置,获取和遍历target都根据该变量进行
                              
    /* Size of ipt_entry + matches + target */
    u_int16_t next_offset;    //一个完整的规则包含ipt_entry + matches + target三部分
                              //所以这三部分后就属于下一条规则ipt_entry的开始位置
                              //也就是说该变量表示下一个规则的偏移

    /* Back pointer */        
    unsigned int comefrom;    //也是在遍历规则时用,没仔细看细节

    /* Packet and byte counters. */
    struct xt_counters counters;   //计数器统计字节与包数,后续再细看

    /* The matches (if any), then the target. */
    unsigned char el
最低0.47元/天 解锁文章
种菜的
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Netfilter的完整结构
12-06
Netfilter的完整结构,综合其他文档后画出来的,绝对完整,看完后肯定让你一目了然,适合菜鸟学习的好东西,申请加精。。。
netfilter规则处理
csb74110的博客
10-21 232
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn...
Netfilter的基本结构
04-03 1222
Netfilter的基本结构(1)从IP包的收发流程中可以看到,当IP包接收器(ip_rcv)接收到正确的ip包后,首先注入“路由前过滤器”(NF_IP_PRE_ROUTING),路由前过滤器(NF_IP_PRE_ROUTING)的输出(ip_rcv_finishi)包经过绑定路由和编译ip选项区之后输入到路由入口(dst->input)。对于本地接收包来说,路由入口指向ip本地分发器(ip_lo
netfilter数据结构设计的艺术
Netfilter
02-09 3599
netfilter较以前的ipchains提升了一个层次,在ipchains的东西中抽象出来共性的东 西然后形成了一个框架,从ipchains到netfilter的发展展现了软件发展的数据不断抽象的过程,也正是《重构》一书中讲的精髓。 netfilter不再为具体的过滤服务,而是提供了一个过滤模板,用户不再需要重新设计具体的过滤过程,而只需要填充这个模板就可以了,也就是说 netfilter只提供
netfilter 结构整理
weixin_34077371的博客
08-31 319
@(Linux network) netfilter struct 整理 结构体关系图 阐述了结构体之间的关联 xt_table 在net->netns_ipv4结构体中,包含了如下几个xt_table iptable_filter iptable_mangle iptable_raw arptable_filter nat_...
基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能
最新发布
05-17
【作品名称】:基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 ...
lltj.rar_netfilter_netfilter 流量_site:www.pudn.com_计费 网络
09-24
利用netfilter 流量统计的例子,做网络流量计费的同志可能用的上
netfilter中表的数据结构及其表示
11-12
绝对自己总结!参阅了不少的书籍,查找了关于linux2.6.28.10中的netfilter的表的结构,现在罗列给大家,共同学习
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
Opdracht1-CNAF:为netfilter创建防火墙规则
03-26
Opdracht1-CNAF:为netfilter创建防火墙规则
linux下的netfilter防火墙配置
09-04
ipt 1/7 http://www.boobooke.com/v/bbk3648 ipt 2/7 http://www.boobooke.com/v/bbk3649 ipt 3/7 http://www.boobooke.com/v/bbk3671 ipt 4/7 http://www.boobooke.com/v/bbk3679 ipt 5/7 http://www.boobooke.com/v/bbk3680 ipt 6/7 http://www.boobooke.com/v/bbk3685 ipt 7/7 http://www.boobooke.com/v/bbk3686
Netfilter规则(rule)的组织框架
carltraveler的专栏
03-16 1640
1、大蓝图 table->chain->rule(match:target) 从上图所示,在内核空间,每个CPU上维护了一份rule的拷贝。这样做是为了减少锁的使用及增加硬件L1 cache的命中次数,以空间换时间 2、table(表) include/linux/netfilter/x_table.h struct xt_table {     struct list_
iptables/netfilter介绍、样例实验和配置规则
dhRainer的博客
10-26 624
iptables/netfilter介绍、样例实验和配置规则0x 01 前言0x 02 表,链以及规则1、表(tables)2、链(chains)3、规则(rules)0x 03 利用Iptables进行网络地址转换实例展示1、环境:2、需求描述0x 04 Iptables常见配置命令和操作一、链及NAT的基本操作1、清除所有的规则2、设置链的默认策略。一般有两种方法。3、列出表/链中的所有规...
深入Linux网络核心堆栈--netfilter详解(整理)
IT小小鸟
01-30 3899
本文转载自: http://blog.csdn.net/xsckernel/article/details/8186679 plain] view plaincopyprint? 目录      1 - 简介     1.1 - 本文涉及的内容     1.2 - 本文不涉及的内容   2 - 各种Netfilter hook及其用法     2
0x04 嵌入式---Ubuntu新版本Netfilter神坑
q759451733的博客
02-13 914
Ubuntu新版本的神坑一: 以往的版本是使用 nf_register_hook(reg) 而新版本是 nf_register_net_hook(&init_net, reg) 注销函数也改成了 nf_unregister_net_hook(&init_net, reg) Ubuntu新版本的神坑二: 以往的版本是使用 static unsigned int xxxx( u...
Netfilter简介
railzen的博客
02-26 1328
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
Netfilter的使用和实现
u014044624的博客
03-27 1285
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog   概述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(...
防火墙之filter表(一)---AF_INET协议族
九天小哥的专栏
03-30 1548
Netfilter中,各个table、match和target都是以模块形式存在的。这篇笔记以AF_INET协议族的filter表为例,看看各个协议族是如何与Netfilter框架配合,实现table的。 1. 初始化 AF_INET协议族的filter表的实现模块是/net/ipv4/netfilter/iptable_filter.c,其初始化函数如下: static int __net_i...
netfilter源代码及规则存储分析.doc
07-06
netfilter源代码及规则存储分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种菜的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值