netfilter分析1-钩子函数在内核的初始化

最新推荐文章于 2024-01-26 15:03:14 发布
最新推荐文章于 2024-01-26 15:03:14 发布
阅读量1k 收藏 6
点赞数
分类专栏: linux网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luky_zhou123/article/details/118929103
版权

Linux内核中网络防火墙是通过NF_HOOK宏调用钩子函数进行报文处理,本文基于内核版本4.4对钩子函数的初始化流程进行描述。

以过滤本地报文的钩子函数为例。本地报文过滤钩子函数调用宏:
NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN,

       net, NULL, skb, skb->dev, NULL,

       ip_local_deliver_finish);

这个宏在文件/include/linux/netfilter.h中定义:

static inline int

NF_HOOK(uint8_t pf, unsigned int hook, struct net *net, struct sock *sk, struct sk_buff *skb,

struct net_device *in, struct net_device *out,

int (*okfn)(struct net *, struct sock *, struct sk_buff *))

{

return NF_HOOK_THRESH(pf, hook, net, sk, skb, in, out, okfn, INT_MIN);

}



static inline int

NF_HOOK_THRESH(uint8_t pf, unsigned int hook, struct net *net, struct sock *sk,

       struct sk_buff *skb, struct net_device *in,

       struct net_device *out,

       int (*okfn)(struct net *, struct sock *, struct sk_buff *),

       int thresh)

{

int ret = nf_hook_thresh(pf, hook, net, sk, skb, in, out, okfn, thresh);

if (ret == 1)

ret = okfn(net, sk, skb);

return ret;

}



static inline int nf_hook_thresh(u_int8_t pf, unsigned int hook,

 struct net *net,

 struct sock *sk,

 struct sk_buff *skb,

 struct net_device *indev,

 struct net_device *outdev,

 int (*okfn)(struct net *, struct sock *, struct sk_buff *),

 int thresh)

{

struct list_head *hook_list = &net->nf.hooks[pf][hook];



if (nf_hook_list_active(hook_list, pf, hook)) {

struct nf_hook_state state;



nf_hook_state_init(&state, hook_list, hook, thresh,

   pf, indev, outdev, sk, net, okfn);

return nf_hook_slow(skb, &state);

}

return 1;

}

最终通过链表头struct list_head *hook_list = &net->nf.hooks[pf][hook]这个链表头实际就是所谓的挂载点,后面钩子函数通过链表的形式挂载到这个链表头下

例如过滤本地报文通过遍历执行钩子函数挂载点net->nf.hooks [NFPROTO_IPV4][NF_INET_LOCAL_IN]上的所有钩子函数来实现对报文的过滤处理。

net->nf.hooks [NFPROTO_IPV4][NF_INET_LOCAL_IN]挂载点钩子函数是通过定义在:
net/ipv4/netfilter/iptable_netfilter.c文件中定义的iptable_filter_init进行初始化的

static int __init iptable_filter_init(void)

{

    int ret;



    ret = register_pernet_subsys(&iptable_filter_net_ops);

    if (ret < 0)

    return ret;



    /* Register hooks */

    filter_ops = xt_hook_link(&packet_filter, iptable_filter_hook);

    if (IS_ERR(filter_ops)) {

        ret = PTR_ERR(filter_ops);

        unregister_pernet_subsys(&iptable_filter_net_ops);

     }



    return ret;

}

该函数中通过xt_hook_link初始化钩子函数,该函数定义在文件:

net/netfilter/x_tables.c

struct nf_hook_ops *xt_hook_link(const struct xt_table *table, nf_hookfn *fn)

{

     unsigned int hook_mask = table->valid_hooks;

    uint8_t i, num_hooks = hweight32(hook_mask);

    uint8_t hooknum;

    struct nf_hook_ops *ops;

    int ret;



    ops = kmalloc(sizeof(*ops) * num_hooks, GFP_KERNEL);

    if (ops == NULL)

    return ERR_PTR(-ENOMEM);



    for (i = 0, hooknum = 0; i < num_hooks && hook_mask != 0;hook_mask >>= 1, ++hooknum)                 
    {

        if (!(hook_mask & 1))

        continue;

        ops[i].hook     = fn;

        ops[i].pf       = table->af;

        ops[i].hooknum  = hooknum;

        ops[i].priority = table->priority;

        ++i;
    }



    ret = nf_register_hooks(ops, num_hooks);

    if (ret < 0) {

        kfree(ops);

        return ERR_PTR(ret);

    }



    return ops;
}

参数table是对应的filter表,为了不偏离主题,本文只对钩子函数初始化用到的部分进行简单说明,不对表内容展开详细描述,filter表初始化申明如下:

static const struct xt_table packet_filter = {

.name = "filter",

.valid_hooks = FILTER_VALID_HOOKS,

.me = THIS_MODULE,

.af = NFPROTO_IPV4,

.priority = NF_IP_PRI_FILTER,

};

.priority = NF_IP_PRI_FILTER,对钩子函数优先级进行设置。

.valid_hooks = FILTER_VALID_HOOKS,钩子函数会在以下几个点进行挂载:

#define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \

    (1 << NF_INET_FORWARD) | \

    (1 << NF_INET_LOCAL_OUT))

参数fn是要注册的钩子函数指针,定义如下:

static unsigned int

iptable_filter_hook(void *priv, struct sk_buff *skb,

    const struct nf_hook_state *state)

{

    if (state->hook == NF_INET_LOCAL_OUT &&

    (skb->len < sizeof(struct iphdr) ||

     ip_hdrlen(skb) < sizeof(struct iphdr)))

    /* root is playing with raw sockets. */

    return NF_ACCEPT;



    return ipt_do_table(skb, state, state->net->ipv4.iptable_filter);

}

该函数最终通过ipt_do_table用filter表中的规则对报文进行处理。本文不对表处理进行描述。针对filter表,初始化是只注册了一个相同的钩子函数iptable_filter_hook,该钩子函数注册到了NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT三个挂载点。

钩子函数先存储到struct nf_hook_ops *ops结构中的hook成员,该结构定义如下:

struct nf_hook_ops {

struct list_head list;



/* User fills in from here down. */

nf_hookfn *hook;

struct net_device *dev;

void *priv;

u_int8_t pf;

unsigned int hooknum;

/* Hooks are ordered in ascending priority. */

int priority;

};

然后nf_register_hooks函数通过结构中的list将钩子函数分别挂载到上面说的

net->nf.hooks [NFPROTO_IPV4][NF_INET_LOCAL_IN]、

net->nf.hooks [NFPROTO_IPV4][ NF_INET_FORWARD]、

net->nf.hooks [NFPROTO_IPV4][ NF_INET_LOCAL_OUT]、

钩子挂载点。

nf_register_hooks定义在文件/net/netfiler/core.c中

int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n)

{

    unsigned int i;

    int err = 0;



    for (i = 0; i < n; i++) {

        err = nf_register_hook(®[i]);

        if (err)

        goto err;

    }

    return err;



    err:

    if (i > 0)

    nf_unregister_hooks(reg, i);

    return err;

}

进一步通过nf_register_hook对钩子函数进行注册,定义如下:

int nf_register_hook(struct nf_hook_ops *reg)

{

    struct net *net, *last;

    int ret;



    rtnl_lock();

    for_each_net(net) {

        ret = nf_register_net_hook(net, reg);

        if (ret && ret != -ENOENT)

        goto rollback;

    }

    list_add_tail(®->list, &nf_hook_list);

    rtnl_unlock();



    return 0;

    rollback:

    last = net;

    for_each_net(net) {

        if (net == last)

        break;

        nf_unregister_net_hook(net, reg);

    }

    rtnl_unlock();

    return ret;

}

其中进一步通过nf_register_net_hook注册到net->nf.hooks[reg->pf][reg->hooknum]挂载点

int nf_register_net_hook(struct net *net, const struct nf_hook_ops *reg)

{

    struct list_head *hook_list;

    struct nf_hook_entry *entry;

    struct nf_hook_ops *elem;



    entry = kmalloc(sizeof(*entry), GFP_KERNEL);

    if (!entry)

    return -ENOMEM;



    //将nf_hook_ops转存到entty中,这里之所以转存是为了后面方便删除。

    entry->orig_ops = reg;

    entry->ops = *reg;



    hook_list = nf_find_hook_list(net, reg);

    if (!hook_list) {

    kfree(entry);

    return -ENOENT;

    }



    mutex_lock(&nf_hook_mutex);

    list_for_each_entry(elem, hook_list, list) {

    if (reg->priority < elem->priority)

    break;

    }

    list_add_rcu(&entry->ops.list, elem->list.prev);

    mutex_unlock(&nf_hook_mutex);

 #ifdef CONFIG_NETFILTER_INGRESS

    if (reg->pf == NFPROTO_NETDEV && reg->hooknum == NF_NETDEV_INGRESS)

    net_inc_ingress_queue();

 #endif

 #ifdef HAVE_JUMP_LABEL

 static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]);

 #endif

 return 0;

}

其中通过nf_find_hook_list找到挂载点,没错就是函数中的&net->nf.hooks[reg->pf][reg->hooknum],终于又遇见你。


static struct list_head *nf_find_hook_list(struct net *net,

   const struct nf_hook_ops *reg)

{

struct list_head *hook_list = NULL;



if (reg->pf != NFPROTO_NETDEV)

hook_list = &net->nf.hooks[reg->pf][reg->hooknum];

else if (reg->hooknum == NF_NETDEV_INGRESS) {

#ifdef CONFIG_NETFILTER_INGRESS

if (reg->dev && dev_net(reg->dev) == net)

hook_list = ®->dev->nf_hooks_ingress;

#endif

}

return hook_list;

}

找到挂载点后就可以对钩子函数进行挂载了,挂载过程需要枷锁,然后挂载到对应优先级所在的位置,遍历执行钩子函数时是按优先级执行的,钩子函数中priority越小优先级越高,因此钩子函数也是按照优先级从低到高进行挂载。挂载过程很简单,如下所示:

mutex_lock(&nf_hook_mutex);

list_for_each_entry(elem, hook_list, list) {

if (reg->priority < elem->priority)

break;

}

list_add_rcu(&entry->ops.list, elem->list.prev);

mutex_unlock(&nf_hook_mutex);

到此钩子函数初始化就结束了,通过上面的分析可以得出钩子函数、filter表关系如下图:

该图表示针对NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT挂载点注册了优先级为NF_IP_PRI_FILTER 的钩子函数:iptable_filter_hook,该钩子函数通过对将报文根据filter表中的规则进行处理。

缥缈孤鸿_jason
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter 之 ip 层的 filter 表注册及规则的添加以及钩子函数
10-31 1492
目录 1filter初始化iptable_filter_init() 2filter表的注册iptable_filter_net_init() 2.1ipt_register_table() 入参 2.1.1static struct xt_table packet_filter 2.1.2 struct ipt_replace repl 2.1.3struct ipt_replace repl 初始化ipt_alloc_initial_table() 2.2ipt_re...
对于数据包的截取,使用linux中的netfilter钩子函数
瞎几把学
05-05 1821
netfilter可以过滤数据包,也就对数据包经行了截获,它通过调用内核网络代码中的一些hook函数完成所需要的工作。 而当一个当数据包游历Linux内核的网络堆栈时,它穿过了几个hook点,在这里,数据包可以被分析并且选择是保留还是丢弃,这些hook点就是Netfilter hook。   而钩子函数(回调函数)也是系统内核为驱动程序提供的一些特定的函数,在驱动程序中某个变量的状态发生改变
linux4下netfilter注册钩子,一个参考实现 netfilter中注册钩子函数
weixin_42418755的博客
05-25 235
在netfilter中注册钩子函数即可,一个参考实现#include #include #include #include #include #include #include #include #include #include #include #include #include //define interface packet ...
一个参考实现 netfilter中注册钩子函数
jk110333的专栏
04-24 3864
在netfilter中注册钩子函数即可,一个参考实现  #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #
netfilter:开发一个hook函数
倚楼听风雨的博客
09-20 1606
一、什么是hook函数     netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么!在钩子函数的代码最后需要决定netfiler框架接下来需要怎么处理packet,可以返回以下5种值:     NF_ACCEP
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
goland 开发工具插件 ja-netfilter-all
08-24
Ja-Netfilter-All插件的核心功能在于帮助开发者更便捷地处理网络过滤规则,尤其是在构建网络应用时,能够高效地实现数据包的捕获、分析和过滤。这个插件集成了对Netfilter框架的支持,Netfilter是Linux内核中的一个...
ja-netfilter-all
06-29
在实际使用ja-netfilter-all时,开发者可能需要了解如何配置过滤规则、编写解码器、集成到现有项目中以及如何分析解码后的数据。此外,理解和掌握网络协议的基本知识对于充分利用ja-netfilter-all的功能至关重要。 ...
Intellij 插件 ja-netfilter-all
04-14
"ja-netfilter-all"是一款专为IntelliJ IDEA设计的插件,它在2021.3版本中被提及,意味着它是与这个特定版本兼容的。这款插件通常用于增强IDE的功能,提高开发效率。 Ja-NetFilter是一个网络过滤库,它允许你在Java...
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
netfilter_queue的安装包所需依赖包,先安装libmnl然后libnfnetlink最后netqueue。在钩子点可以通过return NF_QUEUE对所需数据包进行地址转换
Linux 钩子函数 实现数据包的过滤实例
瞎几把学
05-05 1922
记录一下,方便查询 洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上) http://blog.chinaunix.net/uid-23069658-id-3243434.html 洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(下) http://blog.chinaunix.net/uid-230
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1681
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回值各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
Linux Netfilter框架实现及函数调用处理过程
最新发布
mrtyxr的博客
01-26 1168
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
文章标题 netfilter的hook函数
daocaoguizu的博客
09-08 921
一,hook点与数据流向 linux抽象出整体的hook架构,通过在以下几个数据流经点添加hook机制,为实现netfilter提供基础框架: NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING。 这五个点在数据的流经方向如下图: 二、数据结构 1、nf_hook_ops
linux 下的 iptables/ netfilter 防火墙 深度理解 后篇
kevin_0903的博客
07-27 213
中篇已经提到了钩子函数的注册,也知道最终数据进来是通过钩子函数处理,来实现防火墙的功能的。那么netfilter 内核是在什么时候调用钩子函数钩子函数又是怎么实现防火墙对应的功能的?(本章主要讲钩子函数实现的过滤功能)当数据包到达设置的五个关卡(对应五条链),首先根据表的优先级,会先执行优先级高的表每个表会挂载自己关联的链,然后在每条链表上会注册自己的钩子函数。而到了某个关卡(链表),也就会先执行表优先级高的,并且在这条链注册了钩子函数的。
struct net网络命名空间
weixin_34273046的博客
11-30 1043
struct net 结构体表示的内核中的网络命名空间(net_namespace)。在linux内核中,每一个网络设备(struct net_device)都有一个所属的网络命名空间,至于一个网络设备是属于内核中的那一个网络命名空间,在介绍网络设备(struct net_device。在linux内核中,用struct net_device来刻画一个网络设备)时候...
Linux netfilter 学习笔记 之二 ip 层netfilter的hook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 9040
上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3104
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
linux的网络hook接口,Linux下的网络HOOK实现 - 嵌入式操作系统 - 电子发烧友网
weixin_32283253的博客
05-04 334
上面分别是四个函数:nf_register_hook,nf_unregister_hook,nf_register_hooks,nf_unregister_hooks.功能是注册Hooks函数输入的参数是struct nf_hook_ops *reg。下面让我们看一个验证ARP报文的Hook代码,以表示我们如何使用Hook函数实现这种功能。unsigned int arphook_snd(unsi...
基于Netfilter框架设计的软件防火墙过滤系统
qq_53928256的博客
05-05 1138
本此的防火墙设计是基于Netfilter框架设计的软件防火墙过滤系统基于学习和实践的目的,本次的防火墙设计主要面向于初学者,简单入门防火墙设计。所以本次只对源IP、目的IP地址、源端口、目的端口以及一些简单协议进行过滤。欢迎大家学习交流,如有不足之处,敬请批评指正!其实到这里,这个基于Netfilter框架设计的软件防火墙过滤系统就已经设计完毕了。啪啪啪啪啪啪!!!!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

缥缈孤鸿_jason

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值