netfilter分析2-表在内核的初始化

最新推荐文章于 2022-08-09 01:03:09 发布
最新推荐文章于 2022-08-09 01:03:09 发布
阅读量566 收藏 3
点赞数 2
分类专栏: linux网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luky_zhou123/article/details/119041230
版权

上一节讲了钩子函数用表中的规则处理报文从而实现防火墙功能,这一节对表的初始化流程进行描述。为了保持和上一章的延续我们回到filter表钩子函数初始化入口:

所在文件net/ipv4/netfilter/iptable_filter.c

static int __init iptable_filter_init(void)
{
	int ret;

	ret = register_pernet_subsys(&iptable_filter_net_ops);
	if (ret < 0)
		return ret;

	/* Register hooks */
	filter_ops = xt_hook_link(&packet_filter, iptable_filter_hook);
	if (IS_ERR(filter_ops)) {
		ret = PTR_ERR(filter_ops);
		unregister_pernet_subsys(&iptable_filter_net_ops);
	}

	return ret;
}

上一节讲了函数xt_hook_link(&packet_filter, iptable_filter_hook);会将钩子函数iptable_filter_hook注册到挂载点,其中packet_filter就是filter对应的表。

表结构定义如下:

所在文件include/linux/netfilter/x_tables.h

struct xt_table {
	struct list_head list;

	/* What hooks you will enter on */
	unsigned int valid_hooks;

	/* Man behind the curtain... */
	struct xt_table_info *private; //最终存储表中规则信息

	/* Set this to THIS_MODULE if you are a module, otherwise NULL */
	struct module *me;

	u_int8_t af;		/* address/protocol family */
	int priority;		/* hook order */

	/* A unique name... */
	const char name[XT_TABLE_MAXNAMELEN];
};

申明如下:

static const struct xt_table packet_filter = {
	.name		= "filter",
	.valid_hooks	= FILTER_VALID_HOOKS,
	.me		= THIS_MODULE,
	.af		= NFPROTO_IPV4,
	.priority	= NF_IP_PRI_FILTER,
};

上一节讲了以上申明的初始化对象会用于钩子函数初始化流程,那么表中其他参数如何初始化的呢?

和钩子函数初始化流程相同,表也有初始化入口函数,该函数会在内核模块加载时自动调用,定义如下:

所在文件net/ipv4/netfilter/iptable_filter.c

static int __net_init iptable_filter_net_init(struct net *net)
{
	struct ipt_replace *repl;

	repl = ipt_alloc_initial_table(&packet_filter);
	if (repl == NULL)
		return -ENOMEM;
	/* Entry 1 is the FORWARD hook */
	((struct ipt_standard *)repl->entries)[1].target.verdict =
		forward ? -NF_ACCEPT - 1 : -NF_DROP - 1;

	net->ipv4.iptable_filter =
		ipt_register_table(net, &packet_filter, repl);
	kfree(repl);
	return PTR_ERR_OR_ZERO(net->ipv4.iptable_filter);
}

通过ipt_alloc_initial_table初始化一个ipt_replace,定义在文件Include/uapi/linux/netfilter_ipv4/ip_tables.h中,如下所示:

struct ipt_replace {
	/* Which table. */
	char name[XT_TABLE_MAXNAMELEN];

	/* Which hook entry points are valid: bitmask.  You can't
           change this. */
	unsigned int valid_hooks;

	/* Number of entries */
	unsigned int num_entries;

	/* Total size of new entries */
	unsigned int size;

	/* Hook entry points. */
	/*存储表中各个规则链的第一条规则相对于entry entries 的偏移*/
	unsigned int hook_entry[NF_INET_NUMHOOKS];

	/* Underflow points. */
/*存储表中各个规则链的最后一条规则相对于entry entries 的偏移*/
	unsigned int underflow[NF_INET_NUMHOOKS];

	/* Information about old entries: */
	/* Number of counters (must be equal to current number of entries). */
	unsigned int num_counters;
	/* The old entries' counters. */
	struct xt_counters __user *counters;

	/* The entries (hang off end: not really an array). */
	struct ipt_entry entries[0];
};

该结构临时存储要注册到表中的规则信息。

在文件net/ipv4/netfilter/ip_tables.c中ipt_alloc_initial_table定义如下:

void *ipt_alloc_initial_table(const struct xt_table *info)
{
	return xt_alloc_initial_table(ipt, IPT);
}

xt_alloc_initial_table 是一个宏,定义在文件net/netfilter/xt_repldata.h中,如下所示:

#define xt_alloc_initial_table(type, typ2) ({ \
	unsigned int hook_mask = info->valid_hooks; \
	unsigned int nhooks = hweight32(hook_mask); \
	unsigned int bytes = 0, hooknum = 0, i = 0; \
	struct { \
		struct type##_replace repl; \
		struct type##_standard entries[]; \
	} *tbl; \
	struct type##_error *term; \
	size_t term_offset = (offsetof(typeof(*tbl), entries[nhooks]) + \
		__alignof__(*term) - 1) & ~(__alignof__(*term) - 1); \
	tbl = kzalloc(term_offset + sizeof(*term), GFP_KERNEL); \
	if (tbl == NULL) \
		return NULL; \
	term = (struct type##_error *)&(((char *)tbl)[term_offset]); \
	strncpy(tbl->repl.name, info->name, sizeof(tbl->repl.name)); \
	*term = (struct type##_error)typ2##_ERROR_INIT;  \
	tbl->repl.valid_hooks = hook_mask; \
	tbl->repl.num_entries = nhooks + 1; \
	tbl->repl.size = nhooks * sizeof(struct type##_standard) + \
			 sizeof(struct type##_error); \
	for (; hook_mask != 0; hook_mask >>= 1, ++hooknum) { \
		if (!(hook_mask & 1)) \
			continue; \
		tbl->repl.hook_entry[hooknum] = bytes; \
		tbl->repl.underflow[hooknum]  = bytes; \
		tbl->entries[i++] = (struct type##_standard) \
			typ2##_STANDARD_INIT(NF_ACCEPT); \
		bytes += sizeof(struct type##_standard); \
	} \
	tbl; \
})

刚开始看这段代码可能会有点困难,带只要板type替换成ipt,type2替换成IPT后就会明了很多,其实就是申请了一个

struct { 
		struct ipt_replace repl; 
		struct ipt_standard entries[nhooks + 1]; // nhooks= hweight32(hook_mask)
	} *tbl;

结构体空间,并对其初始化,其中nhooks=3。

经过该宏初始化后返回的tbl表结构如下:

ipt_replace初始化后通过ipt_register_table将表注册到内核。该函数定义在文件

net/ipv4/netfilter/ip_tables.c中,定义如下:

struct xt_table *ipt_register_table(struct net *net,
				    const struct xt_table *table,
				    const struct ipt_replace *repl)
{
	int ret;
	struct xt_table_info *newinfo; //该结构存储表中规则信息
	struct xt_table_info bootstrap = {0};
	void *loc_cpu_entry;
	struct xt_table *new_table;

	/*申请xt_table_info 结构体空间和规则存储空间,规则存储空间大小为repl->size ,有上面的表可知规则大小为3*sizeof(ipt_standard)+sizeof(ipt_error)*/
	newinfo = xt_alloc_table_info(repl->size);
	if (!newinfo) {
		ret = -ENOMEM;
		goto out;
	}

	//将ipt_replace中的规则存储到xt_table_info中
	loc_cpu_entry = newinfo->entries;
	memcpy(loc_cpu_entry, repl->entries, repl->size);

	/*初始化newinfo,检测规则的合法性,主要是检测每条规则(ipt_entry)中target_offset、next_offset、合法性等 */
	ret = translate_table(net, newinfo, loc_cpu_entry, repl);
	if (ret != 0)
		goto out_free;

	/*将newinfo 信息注册到table 的private */
	new_table = xt_register_table(net, table, &bootstrap, newinfo);
	if (IS_ERR(new_table)) {
		ret = PTR_ERR(new_table);
		goto out_free;
	}

	return new_table;

out_free:
	xt_free_table_info(newinfo);
out:
	return ERR_PTR(ret);
}

translate_table函数还是有点复杂,我们重点分析下该函数定义如下:

static int
translate_table(struct net *net, struct xt_table_info *newinfo, void *entry0,
		const struct ipt_replace *repl)
{
	struct ipt_entry *iter;
	unsigned int i;
	int ret = 0;

	newinfo->size = repl->size;
	newinfo->number = repl->num_entries;

	/* Init all hooks to impossible value. */
    /*将规则链偏移地址初始化为无效值*/
	for (i = 0; i < NF_INET_NUMHOOKS; i++) {
		newinfo->hook_entry[i] = 0xFFFFFFFF;
		newinfo->underflow[i] = 0xFFFFFFFF;
	}

	duprintf("translate_table: size %u\n", newinfo->size);
	i = 0;
	/* Walk through entries, checking offsets. */
    /*检测表中各个规则的target_offset、next_offset是否正确,比较简单不展开分析了*/
	xt_entry_foreach(iter, entry0, newinfo->size) {
		ret = check_entry_size_and_hooks(iter, newinfo, entry0,
						 entry0 + repl->size,
						 repl->hook_entry,
						 repl->underflow,
						 repl->valid_hooks);
		if (ret != 0)
			return ret;
		++i;
		if (strcmp(ipt_get_target(iter)->u.user.name,
		    XT_ERROR_TARGET) == 0)
			++newinfo->stacksize;
	}

	if (i != repl->num_entries) {
		duprintf("translate_table: %u not %u entries\n",
			 i, repl->num_entries);
		return -EINVAL;
	}

	/* Check hooks all assigned */
	for (i = 0; i < NF_INET_NUMHOOKS; i++) {
		/* Only hooks which are valid */
		if (!(repl->valid_hooks & (1 << i)))
			continue;
		if (newinfo->hook_entry[i] == 0xFFFFFFFF) {
			duprintf("Invalid hook entry %u %u\n",
				 i, repl->hook_entry[i]);
			return -EINVAL;
		}
		if (newinfo->underflow[i] == 0xFFFFFFFF) {
			duprintf("Invalid underflow %u %u\n",
				 i, repl->underflow[i]);
			return -EINVAL;
		}
	}

	/*检测规则链中规则是否回环,这个函数有点复杂,我们稍后重点分析下*/
	if (!mark_source_chains(newinfo, repl->valid_hooks, entry0))
		return -ELOOP;

	/* Finally, each sanity check must pass */
    /*进一步检测match和target是否合法*/
	i = 0;
	xt_entry_foreach(iter, entry0, newinfo->size) {
		ret = find_check_entry(iter, net, repl->name, repl->size);
		if (ret != 0)
			break;
		++i;
	}

	if (ret != 0) {
		xt_entry_foreach(iter, entry0, newinfo->size) {
			if (i-- == 0)
				break;
			cleanup_entry(iter, net);
		}
		return ret;
	}

	return ret;
}

在分析mark_source_chains前为了更加直观我们先列出规则保存的链表结构如下:

规则与各规则链首条规则地址记录成员(hook_entry[])关系如下:


表3中的xt_table_info就是linux 防火墙架构中的“表-table”,hook_entry[]就是所谓的-chain”,ipt_entry就是所谓的“规则-rule

现在我们对表、链、规则有了一定认识后再对mark_source_chains函数继续分析会容易很多,有了地图才不会容易迷路。函数定义如下:

static int

mark_source_chains(const struct xt_table_info *newinfo,

   unsigned int valid_hooks, void *entry0)

{

unsigned int hook;



/* No recursion; use packet counter to save back ptrs (reset

   to 0 as we leave), and comefrom to save source hook bitmask */

/*遍历表中的各个规则链*/

for (hook = 0; hook < NF_INET_NUMHOOKS; hook++) {

/*通过规则链首条规则相对于规则基地址(entry0)偏移找到规则链的首地址,也就是规则链中第一条规则的地址*/

unsigned int pos = newinfo->hook_entry[hook];

struct ipt_entry *e = (struct ipt_entry *)(entry0 + pos);



/*如果当前规则链在表中无效则遍历下一条规则链*/

if (!(valid_hooks & (1 << hook)))

continue;



/* Set initial back pointer. */

/*用规则的 counters.pcnt 成员存储上一条规则相对于规则基地址的偏移量,我们知道通过当前规则的next_offset可以找到下一条规则,这里通过counters.pcnt来找到前一条规则,由于这是规则链的第一条规则,因此 counters.pcnt 记录的是规则链中第一条规则本身的偏移,后面也是通过比较当前规则的counters.pcnt 是否等于当前规则本身的偏移来判断是否遍历到规则链中的第一条规则通过counters.pcnt来记录前一个规则的偏移后,实际每条规则链就形成了一个双向链表*/
e->counters.pcnt = pos;



/*通过for循环来遍历规则链中的每条规则*/

for (;;) {

  /*获取规则中的target地址*/

const struct xt_standard_target *t

= (void *)ipt_get_target_c(e);

/*通过visited 记录规则是否已经遍历,通过判断e->comefrom 中的hook位是否置1 来判断 该规则是否已经遍历*/

int visited = e->comefrom & (1 << hook);



/*通过判断e->comefrom 的NF_INET_NUMHOOKS 位是否置1来判断规则链是否有环*/

if (e->comefrom & (1 << NF_INET_NUMHOOKS)) {

pr_err("iptables: loop hook %u pos %u %08X.\n",

       hook, pos, e->comefrom);

return 0;

}

/*将e->comefrom 的NF_INET_NUMHOOKS位和hook位都置1*/

e->comefrom |= ((1 << hook) | (1 << NF_INET_NUMHOOKS));



/* Unconditional return/END. */

/*判断是否已经遍历到最后一条规则,如果当前规则是标准的默认内部规则,则认为这是当前规则链的最后一条规则*/

if ((unconditional(e) &&

     (strcmp(t->target.u.user.name,

     XT_STANDARD_TARGET) == 0) &&

     t->verdict < 0) || visited) {

unsigned int oldpos, size;



/*判断标准默认规则中的target的verdict成员是否合法 */

if ((strcmp(t->target.u.user.name,

    XT_STANDARD_TARGET) == 0) &&

    t->verdict < -NF_MAX_VERDICT - 1) {

duprintf("mark_source_chains: bad "

"negative verdict (%i)\n",

t->verdict);

return 0;

}



/* Return: backtrack through the last

   big jump. */

/*对规则链反向遍历 */

do {

/*清除规则链中每条规则的e->comefrom 的NF_INET_NUMHOOKS 位*/

e->comefrom ^= (1<<NF_INET_NUMHOOKS);

#ifdef DEBUG_IP_FIREWALL_USER

if (e->comefrom

    & (1 << NF_INET_NUMHOOKS)) {

duprintf("Back unset "

 "on hook %u "

 "rule %u\n",

 hook, pos);

}

#endif

/*当前规则的偏移*/

oldpos = pos;

/*上一条规则的偏移*/

pos = e->counters.pcnt;

/*清除规则中的e->counters.pcnt */

e->counters.pcnt = 0;



/* We're at the start. */

/*判断是否反向遍历到规则链中的第一条规则,这里用之前说的方法判断:如果counters.pcnt等于当前规则偏移则是第一条规则,如果当前规则是第一规则则退出,然后遍历下一个规则链*/

if (pos == oldpos)

goto next;



e = (struct ipt_entry *)

(entry0 + pos);

} while (oldpos == pos + e->next_offset);



/* Move along one */

/*如果当前规则偏移不等于前一个规则偏移加规则的next_offset,则向后移一个规则后再遍历*/

size = e->next_offset;

e = (struct ipt_entry *)

(entry0 + pos + size);

if (pos + size >= newinfo->size)

return 0;

e->counters.pcnt = pos;

pos += size;

} else {/*依次遍历规则链中的规则*/



int newpos = t->verdict;

/*判断是否为自定义跳转规则*/

if (strcmp(t->target.u.user.name,

   XT_STANDARD_TARGET) == 0 &&

    newpos >= 0) {

/*自定义规则target的verdict 大于0*/

if (newpos > newinfo->size -

sizeof(struct ipt_entry)) {

duprintf("mark_source_chains: "

"bad verdict (%i)\n",

newpos);

return 0;

}

/* This a jump; chase it. */

duprintf("Jump rule %u -> %u\n",

 pos, newpos);

e = (struct ipt_entry *)

(entry0 + newpos);

/*判断自定义跳转规则是否合法*/

if (!find_jump_target(newinfo, e))

return 0;

} else {

/* ... this is a fallthru */

/*标准规则*/

newpos = pos + e->next_offset;

if (newpos >= newinfo->size)

return 0;

}

/*获取下一条规则*/

e = (struct ipt_entry *)

(entry0 + newpos);

/*e->counters.pcn存储上一条规则的偏移,用于反向遍历*/

e->counters.pcnt = pos;

/* pos记录当前规则的偏移*/

pos = newpos;

}

}

next:

duprintf("Finished chain %u\n", hook);

}

return 1;

}

规则通过next_offset和counters.pcnt分别记录下一条规则和上一条规则的偏移形成双向链表如下所示:

 到此mark_source_chains函数就分析完了。这个函数实现虽然有些复杂,但是其主要功能其实很简单,就是通过遍历表中的各个规则链来判断是否形成环。

xt_table_info 对象准备好后通过调用xt_register_table将表最终注册到net对应表的链表中,这个函数除了xt_replace_table函数不是很好理解,其他部分都很简单。

该函数定义在文件

net/ netfilter/x_tables.c中,定义如下:

struct xt_table *xt_register_table(struct net *net,
				   const struct xt_table *input_table,
				   struct xt_table_info *bootstrap,
				   struct xt_table_info *newinfo)
{
	int ret;
	struct xt_table_info *private;
	struct xt_table *t, *table;

	/* Don't add one object to multiple lists. */
	/*申请xt_table表空间,并将input_table内容拷贝到新空间 */
	table = kmemdup(input_table, sizeof(struct xt_table), GFP_KERNEL);
	if (!table) {
		ret = -ENOMEM;
		goto out;
	}
 
	/*注册前上锁*/
	mutex_lock(&xt[table->af].mutex);
	/* Don't autoload: we'd eat our tail... */
	/*判断表是否已经注册过,如果注册过则返回对应错误*/
	list_for_each_entry(t, &net->xt.tables[table->af], list) {
		if (strcmp(t->name, table->name) == 0) {
			ret = -EEXIST;
			goto unlock;
		}
	}

	/* Simplifies replace_table code. */
	/*将table->private指向一个初始值都为0的xt_table_info变量,这个变量的意义是为了实现xt_replace_table在多核CPU中的复用,为了描述方便后面就叫初始化参考量 */
	table->private = bootstrap;
	/*这个函数功能是将 table ->private指针指向newinfo ,功能非常简单,但函数实现不是很好理解,下面我们再展开分析下*/
	if (!xt_replace_table(table, 0, newinfo, &ret))
		goto unlock;

	/*打印规则数*/
	private = table->private;
	pr_debug("table->private->number = %u\n", private->number);

	/* save number of initial entries */
	/*记录表中初始化的规则数*/
	private->initial_entries = private->number;
	/*将包注册到net->xt.tables */
	list_add(&table->list, &net->xt.tables[table->af]);
	/*注册完后需解锁*/
	mutex_unlock(&xt[table->af].mutex);
	return table;

unlock:
	mutex_unlock(&xt[table->af].mutex);
	kfree(table);
out:
	return ERR_PTR(ret);
}

上面说了xt_replace_table函数可能会在多核CPU中同时被调用,现在我们来看下具体实现,该函数也是在net/ netfilter/x_tables.c中定义的,函数定义如下:

struct xt_table_info *
xt_replace_table(struct xt_table *table,
	      unsigned int num_counters,
	      struct xt_table_info *newinfo,
	      int *error)
{
	struct xt_table_info *private;
	int ret;

	/*申请jumpstack 空间,这里暂时不分析该空间的作用*/
	ret = xt_jumpstack_alloc(newinfo);
	if (ret < 0) {
		*error = ret;
		return NULL;
	}

	/* Do the substitution. */
	/*关闭下半部中断处理*/
	local_bh_disable();
	/*获取初始化参考量bootstrap */
	private = table->private;

	/* Check inside lock: is the old number correct? */
	/*检测private->number 是否等于初始化参考量bootstrap 的number值,如果不等则退出*/
	if (num_counters != private->number) {
		pr_debug("num_counters != table->private->number (%u/%u)\n",
			 num_counters, private->number);
		local_bh_enable();
		*error = -EAGAIN;
		return NULL;
	}

	/*初始化规则数设置成bootstrap 的值,这条代码个人感觉没什么作用,因为后面通过private->initial_entries = private->number会对表的initial_entries 再次赋值,不对之处望高手不吝赐教*/
newinfo->initial_entries = private->initial_entries;
	/*
	 * Ensure contents of newinfo are visible before assigning to
	 * private.
	 */
	/*打开内存屏障,确保变量不被优化*/
	smp_wmb();
	/* table->private 指向newinfo */
	table->private = newinfo;

	/*
	 * Even though table entries have now been swapped, other CPU's
	 * may still be using the old entries. This is okay, because
	 * resynchronization happens because of the locking done
	 * during the get_counters() routine.
	 */
	/*重新使能中断下部处理*/
	local_bh_enable();

#ifdef CONFIG_AUDIT
	if (audit_enabled) {
		struct audit_buffer *ab;

		ab = audit_log_start(current->audit_context, GFP_KERNEL,
				     AUDIT_NETFILTER_CFG);
		if (ab) {
			audit_log_format(ab, "table=%s family=%u entries=%u",
					 table->name, table->af,
					 private->number);
			audit_log_end(ab);
		}
	}
#endif

	return private;
}

到这里filter表的初始化流程就结束了。

最后说明下分析内核复杂代码最重要的是心态,先了解代码要实现的功能、然后了解架构、最后用一种平和的心态分析细节,分析代码细节时不要图快,力图把每一处读懂。当复杂代码看得多了才能快。

缥缈孤鸿_jason
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ProtocolFilters--NetFilter SDK- Full Sources.rar
08-17
超过98%的资源
netfilter:Linux 防火墙在内核中的实现ZT
08-27 1287
赵蔚zhaoway@public1.ptt.js.cn) Linux/Free Software 独立技术顾问2002年11月15日本文介绍 Linux 的防火墙技术 netfilter/iptables 在 Linux 内核中的具体实现。netfilter 和 Linux 防火墙介绍Linux 的防火墙技术经历了若干代的沿革,一步步的发展而来。最开始的 ipfwadm 是 Alan
iptables和netfilter的通信流程
脚踏实地,不断突破自我,每天有收获就OK
12-14 2812
iptables和netfilter通信采用的是setsockopt和getsockopt函数 一、用户态iptables代码 前面博客文章 https://blog.csdn.net/haolipengzhanshen/article/details/84888489 我们分析了iptables的主流程,相信大家会熟悉下面的代码 ret = do_command4(argc, argv,...
IPTables工具及其与netfilter关系介绍
瑞风轻拂
09-08 4977
IPTables概述         IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函
iptable 简析
Never give up ,Hearts dream!
12-05 698
filter表的实现         filter表的实现函数实际上就是模块iptable_filter.o的init函数,位于net/ipv4/netfilter/iptable_filter.c,Line128。其主要工作是首先通过ipt_register_table()函数进行表的注册,然后用nf_register_hook()函数注册表所监听的各个HOOK。     其中,对H
linux内核协议栈 netfilter 之 ip 层的table、rule、match、target结构分析
10-30 2086
在使用iptables过程中,经常会提到table、rule、match和target,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、match、target 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
Netfilter源码分析(1)(ZT)
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
12-22 2858
一、主函数init为初始化函数,主要完成表的注册,然后再注册与表相对应的HOOK//初始化函数为init:module_init(init);//init 函数负责注册filter表和默认的三个chainstatic int __init init(void){        int ret;        if (forward NF_MAX_VERDICT) {               
linux+应用程序运行日志,Linux 系统运行着许多子系统和应用程序。您可以使用系统日志记录从启动时就收集有关运行中系统的数据。有时...
weixin_35705874的博客
05-01 1153
概述在本教程中,您将学习以下内容:配置 syslog 守护程序了解标准设施、优先级和操作配置日志轮换了解 rsyslog 和 syslog-ng系统内部发生了什么Linux 系统运行着许多子系统和应用程序。您可以使用系统日志记录从启动时就收集有关运行中系统的数据。有时,您只需要知道一切正常就好;而有时,您会使用此数据进行审计和调试,认识到磁盘或其他资源已耗尽以及用于许多其他目的。您可以在一个系统上...
Linux netfilter 学习笔记 之六 ip层netfilterfilter表的创建及其hook函数分析
lickylin的专栏
06-24 3716
Linux netfilter 学习笔记 之五 ip层netfilterfilter表的创建及hook函数分析       今天主要在前两节的基础上,分析filter表的创建,以及filter表的hook回调函数的分析。 1. Filter模块初始化 在前面分析表的注册时,我们知道要注册一个新的xt_table,需要实例化xt_table与ipt_replace这两个结构体。创建fi
Linux netfilter 学习笔记 之四 ip层netfilter的table注册及规则的添加
lickylin的专栏
06-22 6009
既然我们都已经将xt_table、rule、match、target的结构体之间的联系都已经分析清楚了,那我们接下来分析表的注册、表中规则的添加、表中规则的删除、表中规则的替换也应该比较容易了。   在上节分析时,我们应该有注意到一个细节,即xt_table_info->entries[]是指向每一个CPU对应于该xt_table的所有规则的首地址,而一个表里面所有的规则是按照连续内存存取的。
python translate方法_Python——string之maketrans,translate函数 | 学步园
weixin_31741271的博客
02-09 269
先来看下关于这两个函数的官方定义:string.maketrans(from, to):Return a translation table suitable for passing to translate(), that will map each character in from into the character at the same position in to; from and...
网络命令空间inet_net
zhangwenxinzck的博客
07-17 761
在__register_pernet_operations中把注册的ops挂载到全局链表,并遍历系统中现有的网络命名空间进行子系统初始化操作,之所有要遍历所有的子系统,是因为操作系统中很多都是模块化的,在系统运行一段时候后才加载,这样有些命名空间在子系统加载前就创建好了,因此要对现存的所有网络命名空间进行初始化操作(init_net的子系统的初始化也在这进行)。1)创建网络命名空间的内存池(以后创建新的网络命名空间时,申请新的structnet结构的内存就是用这个内存池中的内存)...
[网络子系统] Netfilter机制分析
gx19862005的专栏
08-12 2168
最近研究了一下Netfilter,也做个总结,总结中参考了几位大侠前面发表的文章:独孤九贱,Minit,godbach等,在此先谢谢大家! 文中有些内容是直接对上面几位的Copy,内中注明了出处,希望小小心得能对大家有所帮助! 目 录 1        前言        4 2        学习框架划分        5 3        钩子函数的注册管理        6
Netfilter之协议族与用户空间接口--AF_INET
九天小哥的专栏
05-26 509
在笔记Netfilter之协议族初始化–AF_INET中,有看到在AF_INET的初始化过程中,有向Netfilter框架注册setsockopt()/getsockopt()接口,这是AF_INET协议族和用户空间相关程序(如iptables)沟通的接口,这篇笔记就来看看这组接口的实现。涉及的代码文件主要是: 代码路径 说明 net/ipv4/netfilter/ip_table...
【协议森林】详解Netfilter(二)
平凡的世界
01-11 1406
1、何为连接跟踪 顾名思义,连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。Linux为每一个经过网络协议栈的数据包,根据5元组信息(源IP、目的IP、源端口、目的端口和协议号)来生成一个新的连接记录项(Connectionentry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实现SNAT和DNAT的前...
Linux内核--基于Netfilter内核级包过滤防火墙实现
星.云计算
05-16 903
测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1 原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7572382 更多请查看专栏http://blog.csdn.net/column/details/linux-kernel-net.html 作者:闫明 知识基础:本防火墙的开发基于...
netfilter&iptables探讨(2)——netfilter原理与实现
dillanzhou的博客
08-09 1172
​在上一篇文章《netfilter&iptables探讨(1)——基本原理》中,我们分析了netfilter和iptables机制的基本原理以及相关的模块和接口。本文将进一步探讨这套机制的基石——netfilter的原理和实现。
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1681
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回值各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
make menuconfig配置项中的 [ ] Network packet filtering framework (Netfilter) ---- 介绍
最新发布
05-17
Netfilter 通过在 Linux 内核中注册钩子函数来实现网络过滤和转发,可以在数据包进入和离开网络接口的时候进行处理,可以实现各种网络安全策略和功能,如实现网络地址转换(NAT)、防火墙、流量控制等。 在 make ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

缥缈孤鸿_jason

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值