几个宏的区别

最新推荐文章于 2020-04-01 17:38:26 发布
最新推荐文章于 2020-04-01 17:38:26 发布
阅读量1.7k 收藏
点赞数
分类专栏: linux内核 文章标签: hook struct module linux list null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/macrossdzh/article/details/5362557
版权

最看内核网络相关的资料,有几个宏总是混在一起,NF_IP_PRE_ROUTING(或NF_IP6_PRE_ROUTING)、NF_IP_PRE_ROUTING,另外还有《linux网络体系结构》ipv6那部分中提到的

IP_PRE_ROUTING,这个结构在我的2.6.28内核中没有搜到,估计是这本书编写的较早,名称改换了

在~/include/linux/netfilter_ipv4.h

/* only for userspace compatibility */
#ifndef __KERNEL__

/* IP Hooks */
/* After promisc drops, checksum checks. */
#define NF_IP_PRE_ROUTING    0
/* If the packet is destined for this box. */
#define NF_IP_LOCAL_IN        1
/* If the packet is destined for another interface. */
#define NF_IP_FORWARD        2
/* Packets coming from a local process. */
#define NF_IP_LOCAL_OUT        3
/* Packets about to hit the wire. */
#define NF_IP_POST_ROUTING    4
#define NF_IP_NUMHOOKS        5

#endif /* ! __KERNEL__ */

可见NF_IP_PRE_ROUTING的定义被放在了#ifndef __KERNERL__下,在2.6.22以及以后的内核中, NF_IP_PRE_ROUTING以及NF_IP6_PRE_ROUTING都被放在了用户态, 而在内核态编程

必须统一使用NF_INET_PRE_ROUTING

netfilter实际上是通过在linux的ip协议栈中的5个地方挂载hook函数,来实现对sk_buffer的截取处理。这些hook的类型主要有以下几种
 enum nf_inet_hooks {
    NF_INET_PRE_ROUTING,
    NF_INET_LOCAL_IN,
    NF_INET_FORWARD,
    NF_INET_LOCAL_OUT,
    NF_INET_POST_ROUTING,
    NF_INET_NUMHOOKS
};
hook函数由一个全局二维链表数组nf_hooks保存,在nf_hooks中每个节点都是一个nf_hook_ops结构,它实际上存储了钩子函数的内容。
struct nf_hook_ops
{
    struct list_head list;                                  //一般可以使用{NULL,NULL}

    /* User fills in from here down. */
    nf_hookfn *hook;                                      //hook函数,hook函数的定义在随后介绍
    struct module *owner;                             //如果是本module可以使用 THIS_MODULE
    u_int8_t pf;                                                 //协议族,如果是ipv6则为PF_INET6
    unsigned int hooknum;                           //hooknum  如NF_IP6_PRE_ROUTING
    /* Hooks are ordered in ascending priority. */
    int priority;                                                   //优先级
};

关于优先级priority,目前Netfilter定义了一下几个优先级:
(取值越小优先级越高,我们可以根据需要对各个优先级加减一个常量得到符合我们需要的优先级。)
NF_IP6_PRI_FIRST = INT_MIN
NF_IP6_PRI_CONNTRACK = -200
NF_IP6_PRI_MANGLE = -150
NF_IP6_PRI_NAT_DST = -100
NF_IP6_PRI_FILTER = 0
NF_IP6_PRI_NAT_SRC = 100
NF_IP6_PRI_LAST = INT_MAX

那么接下来便是大家所关心的hook函数,就是这里的nf_hookfn *hook;  我们暂且称之为钩子函数。
钩子函数的返回值是有特殊规定的,它可以是以下几种:
#define NF_DROP 0
#define NF_ACCEPT 1
#define NF_STOLEN 2
#define NF_QUEUE 3
#define NF_REPEAT 4
#define NF_STOP 5
其含义如下:
1. NF_DROP 0:丢弃此数据报,而不进入此后的处理;
2. NF_ACCEPT 1:接受此数据报,进入下一步的处理;
3. NF_STOLEN 2:表示异常分组;
4. NF_QUEUE 3:排队到用户空间,等待用户处理;
5. NF_REPEAT 4:进入此函数再作处理。

钩子函数的函数指针的类型为nf_hookfn。
它的定义为:
typedef unsigned int nf_hookfn (unsigned int hooknum, struct sk_buff *skb,
                        const struct net_device *in, const struct net_device *out,
                        int (*okfn)(struct sk_buff *) ),所有的这些参数都是由Netfilter传递给我们的处理函数的。
其中okfn是当对应的钩子的注册函数为空时,Netfilter调用的处理函数,它就是如果我们的处理函数返回Accept时Netfilter调用的处理函数。



参考:
http://student.csdn.net/space.php?uid=44052&do=blog&id=6708
http://topic.csdn.net/u/20090331/12/d14326a3-6be3-4e78-b5bd-a5dce7a94180.html

macrossdzh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
和函数的区别
zn_wuxunian的博客
04-23 652
一、在程序中扩展#define定义符号和时,需要涉及几个步骤1、 调用时,首先对参数进行检查,看看是否包含任何由#define定义的符号。如果是,它们首先被替换。2、 替换文本随后被插入到程序中原来文本的位置,对于,参数名被它们的值替换。3、 最后再次对结果文件进行扫描,看看他是否包含由#define定义的符号,如果是,就重复上述的处理过程。二、在定义时也有几点注意事项:1、 参数和#d...
和函数的区别以及的一些简单用法介绍
NICOC_的博客
04-11 1290
和函数的区别 的定义:#define 机制包括了一个规定,允许把参数替换到文本中,这种实现通常称为(macro),或者定义( define macro)。 函数:它负责完成某项特定任务,而且相较于其他代码,具备相对的独立性。每次使用时只需要调用即可 ———————————————————————————————————————————————————————————
HOOK的理解(一):观理解
weitaming1的博客
05-16 454
原文链接:https://blog.csdn.net/g200407331/article/details/50982025转载:一、什么是钩子:Windows的钩子Hook也是用来钩东西的,比较抽象的是他是用来钩Windows事件或者消息的。最常见的就是鼠标和键盘钩子,用Hook钩子钩住鼠标、键盘,当你的鼠标、键盘有任何操作时,通过Hook就能知道他们都做了什么了。技术上讲,钩子(Hook)是W...
linux 连接跟踪nf_conntrack 与 NAT和状态防火墙
whatday的专栏
04-01 8945
本文主要记录对于连接跟踪以及其主要应用的NAT和状态iptables的学习内容 连接跟踪 什么是连接跟踪? 连接跟踪是Linux内核中引入的nf_conntrack 模块所实现的功能,同时支持IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用。顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包都会记录其状态...
被误解的C++——模板和
我的程序世界
04-02 2043
模板和前些日子,论坛里大打口水仗的时候,有人提出这样一个论断:模板本质上是。于是,诸位高手为此好好辩论了一番。我原本也想加入论战,但是觉得众人的言论已经覆盖了我的想法,所以也就作罢了。尽管没有参与讨论,但“模板究竟和有什么关系”这个问题,始终在我的脑海中上下翻飞。每当我能够放松下来的时候,这个问题便悄悄地浮现。(通常都是哄儿子睡下,然后舒舒服服地冲个热水澡的时候:))。我思索了半天,决定
预处理和内联函数的区别
09-09
《预处理与内联函数:理解它们的区别与应用》 预处理和内联函数在C/C++编程中都是为了提升程序效率而设计的工具,但它们在使用上有着本质的区别。本文将深入探讨这两种技术,帮助开发者更好地理解和利用它们。 ...
内联函数inline与定义深入解析
09-05
对比内联函数和定义,我们可以总结以下几点差异: 1. **展开时机**:内联函数在编译时展开,而在预编译时展开。 2. **代码嵌入**:内联函数的代码直接嵌入到目标函数中,而仅进行文本替换。 3. **编译功能**...
单片机与DSP中的DSP编程的几个关键问题
12-10
在单片机与DSP编程中,特别是在TI公司的320C54X系列DSP中,有几个关键问题需要注意,这些问题涉及到串口的DMA传输、Bootload编程、汇编指令的使用以及DSP芯片的特殊功能。 1. **McBSP (Multichannel Buffered ...
DSP编程的几个关键问题
08-04
在DSP编程中,有几个关键问题需要注意,特别是在使用TI公司的320C54X系列芯片时。本文将探讨这些问题,并提供解决策略。 1. **McBSP串口利用DMA通信中断处理**: 在利用McBSP(Multichannel Buffered Serial Port...
协议操作手册
12-17
- **标准系统协议示例**:提供了几个实际的例子来演示标准系统协议的具体实现。 - **通信序列示例**:通过实例演示了如何构建完整的通信序列。 - **执行一个已创建的通信序列**:针对不同的PLC平台(CS/CJ、C200HX...
一个
lanseshenhua的专栏
04-06 664
先看程序:#include #define DEBUG(format, ...) printf(format, __VA_ARGS__)int main(int argc, char *argv[]){ DEBUG("info %d %d/n", 2, 3); return 0;}  如果写成这样:#include #define
netfilter框架
隔壁-老阳
01-18 2032
netfilter框架Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 (点击查看大图)图9-1  netfilter在内核中的位置虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火
和函数的区别
HanSion.Z
07-01 778
1.#define定义的定义方式 #define name(参数列表) stuff 在预处理阶段把参数替换到文本当中 例如: #define MAX 100 注意: 参数列表和名中间不能加空格 ②在运算中的一些陷阱 //下面这段代码输出的结果什么呢? #include<stdio.h> ...
【协议森林】详解Netfilter(二)
平凡的世界
01-11 1410
1、何为连接跟踪 顾名思义,连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。Linux为每一个经过网络协议栈的数据包,根据5元组信息(源IP、目的IP、源端口、目的端口和协议号)来生成一个新的连接记录项(Connectionentry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实现SNAT和DNAT的前...
谈EXPORT_SYMBOL使用
热门推荐
Macross的专栏
09-27 5万+
EXPORT_SYMBOL只出现在2.6内核中,在2.4内核默认的非static 函数和变量都会自动导入到kernel 空间的, 都不用EXPORT_SYMBOL() 做标记的。2.6就必须用EXPORT_SYMBOL() 来导出来(因为2.6默认不到处所有的符号)。 1、EXPORT_SYMBOL的作用是什么?EXPORT_SYMBOL标签内定义的函数或者符号对全部内核代码公开,
内核中的kmalloc函数详解
Macross的专栏
05-27 3万+
一、kmalloc函数详解#include void *kmalloc(size_t size, int flags);给 kmalloc 的第一个参数是要分配的块的大小. 第 2 个参数, 分配标志, 非常有趣, 因为它以几个方式控制 kmalloc 的行为.最一般使用的标志, GFP_KERNEL, 意思是这个分配((内部最终通过调用 __get_free_pages
spin_lock_bh()与spin_unlock_bh()
Macross的专栏
10-26 3万+
<br />spin_lock_bh通常用在进程中,用来禁止抢断和禁止软中断。<br /> <br />spin_lock_bh()中首先会调用local_bh_disable()禁止当前CPU的软件中断。而函数spin_unlock_bh()则调用local_bh_enable()来势能本地CPU的软件中断。在软件中断被禁止的时候,本地CPU的所有软中断都不会被执行。<br /> <br />如果一个softirq 与 用户上下文共享数据,就有两个问题:首先,当前的用户上下文可能被softirq中断;其次
IPv6实现--转发包的处理流程(2)
Macross的专栏
03-09 5314
进入第一个钩子NF_HOOK(PF_INET6, NF_INET_PRE_ROUTING, skb, dev, NULL,ip6_rcv_finish)后,ip6_rcv_finish()将调用下列3个函数之一:ip6_input()、ip6_mc_input()、ip6_forward()。当IPv6包必须要转发的时候,ip6_rcv_finish()函数调用ipv6_forward()
数控加工程序编程指南
程序的基本概念包括以下几个方面: 1. 定义:程序是一种特殊的编程方法,用于生成零件的加工代码。它不是一种独立的语言,而是CNC系统内置的一种功能,类似于结构化的子程序,用于处理特定的机床任务。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值