linux netfilter--broute流程

最新推荐文章于 2023-08-09 09:57:48 发布
最新推荐文章于 2023-08-09 09:57:48 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: TCP/IP 文章标签: ebtables broute
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45683435/article/details/107727707
版权

linux netfilter包括层2 bridge的netfilter和层3 ip netfilter
先看bridge的netfilter的brouting流程
brouting用于控制进来的数据包是需要进行bridge转发还是进行route转发,即2层转发和3层转发。
BROUTING 过滤配置为ACCEPT表示走bridge流程,DROP表示走route 流程。
在这里插入图片描述

br_handle_frame

\net\bridge
br_input.c
br_handle_frame 是底层网卡驱动收到数据后开始传递给br的入口,处理以太网链路层数据帧。

/*
 * Return NULL if skb is handled
 * note: already called with rcu_read_lock
 */
rx_handler_result_t br_handle_frame(struct sk_buff **pskb)
{

	switch (p->state) {
	case BR_STATE_FORWARDING:
	    #def 如果注册了br_should_route_hook 调用hook,br_should_route_hook 在ebtable_broute.c中ebtable_broute_init函数设置为ebt_broute
		rhook = rcu_dereference(br_should_route_hook);
		if (rhook) {
			#def 如果返回0,函数继续走BR_STATE_LEARNING阶段,也就是继续bridge的流程
			#def 如果返回非0,函数直接返回RX_HANDLER_PASS,不再走bridge,而是返回走ip 层路由
			if ((*rhook)(skb)) {
				*pskb = skb;
				return RX_HANDLER_PASS;
			}
			dest = eth_hdr(skb)->h_dest;
		}
		/* fall through */
	case BR_STATE_LEARNING:
		if (ether_addr_equal(p->br->dev->dev_addr, dest))
			skb->pkt_type = PACKET_HOST;

		NF_HOOK(NFPROTO_BRIDGE, NF_BR_PRE_ROUTING, skb, skb->dev, NULL,
			br_handle_frame_finish);
		break;
	default:
	
}

enum rx_handler_result {
	RX_HANDLER_CONSUMED,
	RX_HANDLER_ANOTHER,
	RX_HANDLER_EXACT,
	RX_HANDLER_PASS,
};

先看看返回RX_HANDLER_PASS时处理,

static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc)
{
.....
	rx_handler = rcu_dereference(skb->dev->rx_handler);
	if (rx_handler) {
		if (pt_prev) {
			ret = deliver_skb(skb, pt_prev, orig_dev);
			pt_prev = NULL;
		}
		switch (rx_handler(&skb)) {
		#def RX_HANDLER_CONSUMED表示bridge处理完成,继续释放返回
		case RX_HANDLER_CONSUMED:
			ret = NET_RX_SUCCESS;
			goto unlock;
		case RX_HANDLER_ANOTHER:
			goto another_round;
		case RX_HANDLER_EXACT:
			deliver_exact = true;
		#def RX_HANDLER_PASS表示bridge 不再处理,继续走ip流程
		case RX_HANDLER_PASS:
			break;
		default:
			BUG();
		}
	}

	if (unlikely(vlan_tx_tag_present(skb))) {
		if (vlan_tx_tag_get_id(skb))
			skb->pkt_type = PACKET_OTHERHOST;
		/* Note: we might in the future use prio bits
		 * and set skb->priority like in vlan_do_receive()
		 * For the time being, just ignore Priority Code Point
		 */
		skb->vlan_tci = 0;
	}

	/* deliver only exact match when indicated */
	null_or_dev = deliver_exact ? skb->dev : NULL;

	type = skb->protocol;
	#def 找ip协议处理函数
	list_for_each_entry_rcu(ptype,
			&ptype_base[ntohs(type) & PTYPE_HASH_MASK], list) {
		if (ptype->type == type &&
		    (ptype->dev == null_or_dev || ptype->dev == skb->dev ||
		     ptype->dev == orig_dev)) {
			if (pt_prev)
				ret = deliver_skb(skb, pt_prev, orig_dev);
			pt_prev = ptype;
		}
	}
    #def 走ip处理流程
	if (pt_prev) {
		if (unlikely(skb_orphan_frags(skb, GFP_ATOMIC)))
			goto drop;
		else
			ret = pt_prev->func(skb, skb->dev, pt_prev, orig_dev);
	}
....
}

ebt_broute

回来继续看br_should_route_hook流程

static int ebt_broute(struct sk_buff *skb)
{
	int ret;

	#def 过滤配置在NF_BR_BROUTING 阶段,使用broute_table 表
	ret = ebt_do_table(NF_BR_BROUTING, skb, skb->dev, NULL,
			   dev_net(skb->dev)->xt.broute_table);
	#def 过滤配置返回NF_DROP 不需要后续bridge流程,去ip层走route流程
	if (ret == NF_DROP)
		return 1; /* route it */
	#def 过滤配置accept,继续bridge流程
	return 0; /* bridge it */
}

/* Do some firewalling */
unsigned int ebt_do_table (unsigned int hook, struct sk_buff *skb,
   const struct net_device *in, const struct net_device *out,
   struct ebt_table *table)
{
	int i, nentries;
	struct ebt_entry *point;
	struct ebt_counter *counter_base, *cb_base;
	const struct ebt_entry_target *t;
	int verdict, sp = 0;
	struct ebt_chainstack *cs;
	struct ebt_entries *chaininfo;
	const char *base;
	const struct ebt_table_info *private;
	struct xt_action_param acpar;

	#def 把匹配的选项存储在acpar中,包括hook点NF_BR_BROUTING,skb的输入网卡dev
	acpar.family  = NFPROTO_BRIDGE;
	acpar.in      = in;
	acpar.out     = out;
	acpar.hotdrop = false;
	acpar.hooknum = hook;

	read_lock_bh(&table->lock);
	#def private中存储了过滤配置ebt_table_info ,各种规则,动作
	private = table->private;
	cb_base = COUNTER_BASE(private->counters, private->nentries,
	   smp_processor_id());
	if (private->chainstack)
		cs = private->chainstack[smp_processor_id()];
	else
		cs = NULL;
	#def 过滤配置 hook_entry[hook]->data执行了hook点匹配规则链表的头指针
	chaininfo = private->hook_entry[hook];
	nentries = private->hook_entry[hook]->nentries;
	point = (struct ebt_entry *)(private->hook_entry[hook]->data);
	counter_base = cb_base + private->hook_entry[hook]->counter_offset;
	/* base for chain jumps */
	base = private->entries;
	i = 0;
	#def 过滤配置检查
	while (i < nentries) {
		#def 基本规则匹配
		if (ebt_basic_match(point, skb, in, out))
			goto letscontinue;

		if (EBT_MATCH_ITERATE(point, ebt_do_match, skb, &acpar) != 0)
			goto letscontinue;
		if (acpar.hotdrop) {
			read_unlock_bh(&table->lock);
			return NF_DROP;
		}

		/* increase counter */
		(*(counter_base + i)).pcnt++;
		(*(counter_base + i)).bcnt += skb->len;

		/* these should only watch: not modify, nor tell us
		   what to do with the packet */
		EBT_WATCHER_ITERATE(point, ebt_do_watcher, skb, &acpar);

		t = (struct ebt_entry_target *)
		   (((char *)point) + point->target_offset);
		/* standard target */
		if (!t->u.target->target)
			verdict = ((struct ebt_standard_target *)t)->verdict;
		else {
			acpar.target   = t->u.target;
			acpar.targinfo = t->data;
			verdict = t->u.target->target(skb, &acpar);
		}
		if (verdict == EBT_ACCEPT) {
			read_unlock_bh(&table->lock);
			return NF_ACCEPT;
		}
		if (verdict == EBT_DROP) {
			read_unlock_bh(&table->lock);
			return NF_DROP;
		}
		if (verdict == EBT_RETURN) {
letsreturn:
#ifdef CONFIG_NETFILTER_DEBUG
			if (sp == 0) {
				BUGPRINT("RETURN on base chain");
				/* act like this is EBT_CONTINUE */
				goto letscontinue;
			}
#endif
			sp--;
			/* put all the local variables right */
			i = cs[sp].n;
			chaininfo = cs[sp].chaininfo;
			nentries = chaininfo->nentries;
			point = cs[sp].e;
			counter_base = cb_base +
			   chaininfo->counter_offset;
			continue;
		}
		if (verdict == EBT_CONTINUE)
			goto letscontinue;
#ifdef CONFIG_NETFILTER_DEBUG
		if (verdict < 0) {
			BUGPRINT("bogus standard verdict\n");
			read_unlock_bh(&table->lock);
			return NF_DROP;
		}
#endif
		/* jump to a udc */
		cs[sp].n = i + 1;
		cs[sp].chaininfo = chaininfo;
		cs[sp].e = ebt_next_entry(point);
		i = 0;
		chaininfo = (struct ebt_entries *) (base + verdict);
#ifdef CONFIG_NETFILTER_DEBUG
		if (chaininfo->distinguisher) {
			BUGPRINT("jump to non-chain\n");
			read_unlock_bh(&table->lock);
			return NF_DROP;
		}
#endif
		nentries = chaininfo->nentries;
		point = (struct ebt_entry *)chaininfo->data;
		counter_base = cb_base + chaininfo->counter_offset;
		sp++;
		continue;
letscontinue:
		point = ebt_next_entry(point);
		i++;
	}

	/* I actually like this :) */
	if (chaininfo->policy == EBT_RETURN)
		goto letsreturn;
	if (chaininfo->policy == EBT_ACCEPT) {
		read_unlock_bh(&table->lock);
		return NF_ACCEPT;
	}
	read_unlock_bh(&table->lock);
	return NF_DROP;
}
osnet
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1709
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回值各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
Ethernet Bridge Netfilter框架及Data Path分析
weixin_45254661的博客
03-17 3221
1. Netfilter简介 ​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地...
Linux Bridge的IP NAT细节探析-填补又一坑的过程
Netfilter
03-23 1万+
前序近日温州皮鞋厂老板正在忙着学习Linux Bridge以及诸多虚拟网卡相关的东西,老湿给了一些指导,但最根本的还要靠温州老板自己。就好像有仙灵在聆听心声,我正因为温州老板的缘故一而再再而三地怀念曾经玩转Linux Bridge,Linux Netfilter的那段痛并快乐着的时光,另外一个好玩的东西恰在此时切入。        大概有三年多没有玩Linux Bridge了,甚是想念。感谢同事给
ebtables中的broute表介绍
zxygww的专栏
08-28 1万+
ebtables中的broute表功能: 用于控制进来的数据包是需要进行bridge转发还是进行route转发,及2层转发和3层转发。 BROUTING的ACCEPT/DROP和FORWARD中的区别:   ACCEPT DROP BROUTING bridge it route it FORWARD 接收该包,当前主Chain后面的ru
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
ja-netfilter-all
06-29
ja-netfilter-all是一个针对Java应用程序的网络过滤框架,它提供了对网络数据包的全面控制和解码能力。在深入探讨ja-netfilter-all之前,我们首先需要理解什么是网络过滤和解码器。 网络过滤通常指的是在网络通信中...
Intellij 插件 ja-netfilter-all
04-14
【IntelliJ IDEA 插件 ja-netfilter-all】 IntelliJ IDEA 是一款广泛使用的Java集成开发环境(IDE),由JetBrains公司开发。它以其高效、智能的代码编辑、强大的调试工具以及丰富的插件生态系统而备受开发者喜爱。...
linux下的网桥(bridge)包过滤和地址转发】
最新发布
zhaoyi40233的博客
08-09 2259
linux中,网桥的包过滤和地址转发是两个网络功能,往往用于网络数据包的处理和转发。
Ethernet Bridge + netfilter Howto
翟海飞
08-15 3285
 Ethernet Bridge +netfilter Howto 1.Introduction Ethernet bridges connect twoor more distinct ethernet segments transparently. An ethernetbridge distributes ethernet frames coming in on on
Netfilter的使用和实现
热门推荐
zhangskd的专栏
04-02 3万+
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog   概述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函
linux netfilter框架,Netfilter---框架的设计
weixin_42356892的博客
05-16 282
利用包处理可以设置或改变数据包的服务类型(TypeofService,TOS)字段;改变包的生存期(TimetoLive,TTL)字段;在包中设置标志值,利用该标志值可以进行带宽限制和分类查询.通过上面的概述我们已经对netfilter已经有了个大致的概念和模块的划分.那面我们还是看一下它的框架图吧:这个图包括了应该所以的hook的地方,具体有IP层的5个,bridge的5个,还有ar...
实现透明防火墙的必备知识-Bridge Filter半景
系统运维
03-03 422
Netfilter是一个可以高度定制协议栈的优良框架,早就已经被包含于Linux内核了,关于它的设计,可以在其官方网站上找到N多可以一看的东西。被讨论最多的就是HOOK点的位置的设计(人家老外关注的核心的设计,而不是如何去实现它,以及实现了之后的源码分析),最好还是看一下这些讨论。 若想实现一个透明的防火墙,那么对Netfilter几本框架的理解是少不了的,除此之外还会有一些问题,比如下面的几个问...
【博客515】k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1
qq_43684922的博客
10-15 7465
br_netfiler作用:br_netfilter模块可以使 iptables 规则可以在 Linux Bridges 上面工作,用于将桥接的流量转发至iptables链。
云计算底层技术-虚拟网络设备(Bridge,VLAN,VxLan)
木牛的博客
03-07 3816
转自:云计算底层技术-虚拟网络设备(Bridge,VLAN) | opengers openstack底层技术-各种虚拟网络设备一(Bridge,VLAN)openstack底层技术-各种虚拟网络设备二(tun/tap,veth) Linux Bridge Bridge与netfilter VLAN VLAN设备原理及配置 VLAN在openstack中的应用 IBM网站上有一篇高质量文章Linux 上的基础网络设备详解。本文会参考文章部分内容,本系列介绍OpenStack使用的这些网.
[linux] ebtables技术
l00102795的博客
07-12 646
Linux系统中使用ebtables技术ebtables就是以太网桥防火墙,以太网桥工作在数据链路层(MAC层),ebtables主要过滤数据链路层数据包,ebtables能过滤桥接流量。ebtables每个阶段的过滤时机都比iptables早。ebtables的配置分为表、链和规则三级。表:内置固定的,共三种:filter,nat,broute,用-t选项指定。filter最常用,不设置-t默认就是这个表。
Linux虚拟网络设备之bridge(桥)
boyemachao的专栏
06-17 5109
什么是bridge? 首先,bridge是一个虚拟网络设备,所以具有网络设备的特征,可以配置IP、MAC地址等;其次,bridge是一个虚拟交换机,和物理交换机有类似的功能。 对于普通的网络设备来说,只有两端,从一端进来的数据会从另一端出去,如物理网卡从外面网络中收到的数据会转发给内核协议栈,而从协议栈过来的数据会转发到外面的物理网络中。 而bridge不同,bridge有多个端口,数据可以从任何端口进来,进来之后从哪个口出去和物理交换机的原理差不多,要看mac地址。 创建bridge 我们先用i
Linux网桥实现分析
mabin2005的专栏
11-17 2467
1.前言 本文结合网络上关于Linux网桥的说明、Linux平台的代码阅读记录,整理的一篇总结性文档。由于时间仓促,分析可能存在不足之外,望大家见谅和指正。 对于接触过Linux网络的童鞋,对网桥功能应该不陌生。概括来说,网桥实现最重要的两点: 1.MAC学习:学习MAC地址,起初,网桥是没有任何地址与端口的对应关系的,它发送数据,还是得想HUB一样,但是每发送一个数据,它都会关心数据包的来源MAC是从自己的哪个端口来的,由于学习,建立地址-端口的对照表(CAM表)。 2.报文转发:...
netfilter内核实现概述
qq_17045267的博客
01-23 2121
netfilter内核实现概述 一、前言 netfilterLinux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值