ipt_do_table函数

最新推荐文章于 2023-07-13 18:00:55 发布
最新推荐文章于 2023-07-13 18:00:55 发布
阅读量1.6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sidemap/article/details/102969369
版权

一、使用结构体

struct ipt_ip((include/uapi/linux/netfilter_ipv4/ip_tables.h))。

 68 /* Yes, Virginia, you have to zero the padding. */
 69 struct ipt_ip {
 70     /* Source and destination IP addr */
 71     struct in_addr src, dst;
 72     /* Mask for src and dest IP addr */
 73     struct in_addr smsk, dmsk;
 74     char iniface[IFNAMSIZ], outiface[IFNAMSIZ];
 75     unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];
 76 
 77     /* Protocol, 0 = ANY */
 78     __u16 proto;
 79 
 80     /* Flags word */
 81     __u8 flags;     /* 标志字段 */
 82     /* Inverse flags */
 83     __u8 invflags;   /* 取反标志 */
 84 };

struct ipt_entry(include/uapi/linux/netfilter_ipv4/ip_tables.h)。其中,
target_offset: target区的偏移,通常target区位于match区之后,而match区则在ipt_entry的末尾;
初始化为sizeof(struct ipt_entry),即假定没有match;
next_offset:下一条规则相对于本规则的偏移,也即本规则所用空间的总和,
初始化为sizeof(struct ipt_entry)+sizeof(struct ipt_target),即假定没有match;
comefrom:位向量,标记调用本规则的HOOK号,可用于检查规则的有效性;

101 /* This structure defines each of the firewall rules.  Consists of 3
102    parts which are 1) general IP header stuff 2) match specific
103    stuff 3) the target to perform if the rule matches */
104 struct ipt_entry {
105     struct ipt_ip ip;
106 
107     /* Mark with fields that we care about. */
108     unsigned int nfcache;
109 
110     /* Size of ipt_entry + matches */
111     __u16 target_offset;
112     /* Size of ipt_entry + matches + target */
113     __u16 next_offset;
114 
115     /* Back pointer */
116     unsigned int comefrom;
117 
118     /* Packet and byte counters. */
119     struct xt_counters counters;
120 
121     /* The matches (if any), then the target. */
122     unsigned char elems[0];
123 };

struct iphdr()

 85 struct iphdr {
 86 #if defined(__LITTLE_ENDIAN_BITFIELD)
 87     __u8    ihl:4,
 88         version:4;
 89 #elif defined (__BIG_ENDIAN_BITFIELD)
 90     __u8    version:4,
 91         ihl:4;
 92 #else
 93 #error  "Please fix <asm/byteorder.h>"
 94 #endif
 95     __u8    tos;
 96     __be16  tot_len;
 97     __be16  id;
 98     __be16  frag_off;
 99     __u8    ttl;
100     __u8    protocol;
101     __sum16 check;
102     __be32  saddr;
103     __be32  daddr;
104     /*The options start here. */
105 };

struct xt_action_param(include/net/netfilter/x_tables.h)

  9 /**
 10  * struct xt_action_param - parameters for matches/targets
 11  *
 12  * @match:  the match extension
 13  * @target: the target extension
 14  * @matchinfo:  per-match data
 15  * @targetinfo: per-target data
 16  * @net     network namespace through which the action was invoked
 17  * @in:     input netdevice
 18  * @out:    output netdevice
 19  * @fragoff:    packet is a fragment, this is the data offset
 20  * @thoff:  position of transport header relative to skb->data
 21  * @hook:   hook number given packet came from
 22  * @family: Actual NFPROTO_* through which the function is invoked
 23  *      (helpful when match->family == NFPROTO_UNSPEC)
 24  *
 25  * Fields written to by extensions:
 26  *
 27  * @hotdrop:    drop packet if we had inspection problems
 28  */
 29 struct xt_action_param {
 30     union {
 31         const struct xt_match *match;
 32         const struct xt_target *target;
 33     };
 34     union {
 35         const void *matchinfo, *targinfo;
 36     };
 37     struct net *net;
 38     const struct net_device *in, *out;
 39     int fragoff;
 40     unsigned int thoff;
 41     unsigned int hooknum;
 42     u_int8_t family;
 43     bool hotdrop;
 44 };

struct nf_hook_state(include/linux/netfilter.h)

 50 struct nf_hook_state {
 51     unsigned int hook;  // 当前要被那个hook点处理
 52     int thresh;
 53     u_int8_t pf;
 54     struct net_device *in;
 55     struct net_device *out;
 56     struct sock *sk;
 57     struct net *net;
 58     struct list_head *hook_list;
 59     int (*okfn)(struct net *, struct sock *, struct sk_buff *);
 60 };

二、ipt_do_table()函数(net/ipv4/netfilter/ip_tables.c)

 285 /* Returns one of the generic firewall policies, like NF_ACCEPT. */
 286 unsigned int
 287 ipt_do_table(struct sk_buff *skb,
 288          const struct nf_hook_state *state,
 289          struct xt_table *table)
 290 {
 291     unsigned int hook = state->hook;
 292     static const char nulldevname[IFNAMSIZ] __attribute__((aligned(sizeof(long))));
 293     const struct iphdr *ip;
 294     /* Initializing verdict to NF_DROP keeps gcc happy. */
 295     unsigned int verdict = NF_DROP;
 296     const char *indev, *outdev;
 297     const void *table_base;
 298     struct ipt_entry *e, **jumpstack;
 299     unsigned int stackidx, cpu;
 300     const struct xt_table_info *private;
 301     struct xt_action_param acpar;
 302     unsigned int addend;
 303 
 304     /* Initialization */
 305     stackidx = 0;
 306     ip = ip_hdr(skb); // 获取skb中网络层的相关信息
 307     indev = state->in ? state->in->name : nulldevname;
 308     outdev = state->out ? state->out->name : nulldevname;
 309     /* We handle fragments by dealing with the first fragment as
 310      * if it was a normal packet.  All other fragments are treated
 311      * normally, except that they will NEVER match rules that ask
 312      * things we don't know, ie. tcp syn flag or ports).  If the
 313      * rule is also a fragment-specific rule, non-fragments won't
 314      * match it. */
 315     acpar.fragoff = ntohs(ip->frag_off) & IP_OFFSET;
 316     acpar.thoff   = ip_hdrlen(skb);
 317     acpar.hotdrop = false;
 318     acpar.net     = state->net;
 319     acpar.in      = state->in;
 320     acpar.out     = state->out;
 321     acpar.family  = NFPROTO_IPV4;
 322     acpar.hooknum = hook;
 323 
 324     IP_NF_ASSERT(table->valid_hooks & (1 << hook));  // 判断要处理的hook点是否在表的有效范围之内
 325     local_bh_disable();
 326     addend = xt_write_recseq_begin();
 327     private = table->private;
 328     cpu        = smp_processor_id();
 329     /*
 330      * Ensure we load private-> members after we've fetched the base
 331      * pointer.
 332      */
 333     smp_read_barrier_depends();
 334     table_base = private->entries;
 335     jumpstack  = (struct ipt_entry **)private->jumpstack[cpu];
 336 
 337     /* Switch to alternate jumpstack if we're being invoked via TEE.
 338      * TEE issues XT_CONTINUE verdict on original skb so we must not
 339      * clobber the jumpstack.
 340      *
 341      * For recursion via REJECT or SYNPROXY the stack will be clobbered
 342      * but it is no problem since absolute verdict is issued by these.
 343      */
 344     if (static_key_false(&xt_tee_enabled))
 345         jumpstack += private->stacksize * __this_cpu_read(nf_skb_duplicated);
 346 
 347     e = get_entry(table_base, private->hook_entry[hook]);  // 获取hook点的ipt_entry
 348 
 349     pr_debug("Entering %s(hook %u), UF %p\n",
 350          table->name, hook,
 351          get_entry(table_base, private->underflow[hook]));
 352 
 353     do {
 354         const struct xt_entry_target *t;
 355         const struct xt_entry_match *ematch;
 356         struct xt_counters *counter;
 357 
 358         IP_NF_ASSERT(e);
 359         if (!ip_packet_match(ip, indev, outdev,
 360             &e->ip, acpar.fragoff)) {    // 对标准match,从sk_buff和ipt_entry及从nf_hook_state中获取的IP/设备等相关信息进行匹配
 361  no_match:
 362             e = ipt_next_entry(e); // 利用ipt_entry的next_offset获取下一个ipt_entry
 363             continue;
 364         }
 365         // 对存在的扩展extend match进行匹配
 366         xt_ematch_foreach(ematch, e) {
 367             acpar.match     = ematch->u.kernel.match;
 368             acpar.matchinfo = ematch->data;
 369             if (!acpar.match->match(skb, &acpar))
 370                 goto no_match;
 371         }
 372 
 373         counter = xt_get_this_cpu_counter(&e->counters);
 374         ADD_COUNTER(*counter, skb->len, 1);
 375 
 376         t = ipt_get_target(e);  // 根据ipt_entry中的target_offset获取该ipt_entry对应的target
 377         IP_NF_ASSERT(t->u.kernel.target);
 378 
 379 #if IS_ENABLED(CONFIG_NETFILTER_XT_TARGET_TRACE)
 380         /* The packet is traced: log it */
 381         if (unlikely(skb->nf_trace))
 382             trace_packet(state->net, skb, hook, state->in,
 383                      state->out, table->name, private, e);
 384 #endif
 385         /* Standard target? */
 386         if (!t->u.kernel.target->target) { // 如果xt_entry_target->u.kernel.target->target == NULL 说明了是标准target
 387             int v;
 388 
 389             v = ((struct xt_standard_target *)t)->verdict;
 390             if (v < 0) {
 391                 /* Pop from stack? */
 392                 if (v != XT_RETURN) {    // 不是XT_RETURN时,则无需重新执行该hook函数,程序返回
 393                     verdict = (unsigned int)(-v) - 1;
 394                     break;
 395                 }
 396                 if (stackidx == 0) {
 397                     e = get_entry(table_base,
 398                         private->underflow[hook]);
 399                     pr_debug("Underflow (this is normal) "
 400                          "to %p\n", e);
 401                 } else {
 402                     e = jumpstack[--stackidx];
 403                     pr_debug("Pulled %p out from pos %u\n",
 404                          e, stackidx);
 405                     e = ipt_next_entry(e);
 406                 }
 407                 continue;
 408             }
 409             if (table_base + v != ipt_next_entry(e) &&
 410                 !(e->ip.flags & IPT_F_GOTO)) {
 411                 if (unlikely(stackidx >= private->stacksize)) {
 412                     verdict = NF_DROP;
 413                     break;
 414                 }
 415                 jumpstack[stackidx++] = e;
 416                 pr_debug("Pushed %p into pos %u\n",
 417                      e, stackidx - 1);
 418             }
 419 
 420             e = get_entry(table_base, v);
 421             continue;
 422         }
 423 
 424         acpar.target   = t->u.kernel.target;
 425         acpar.targinfo = t->data;
 426 // 当是扩展target时,需要调用t->u.kernel.target->target,执行扩展的target操作,并返回结果。
 427         verdict = t->u.kernel.target->target(skb, &acpar);
 428         /* Target might have changed stuff. */
 429         ip = ip_hdr(skb);
            // 当扩展target的执行结果为XT_CONTINUE时,需要取下一条规则继续执行
 430         if (verdict == XT_CONTINUE)
 431             e = ipt_next_entry(e);
 432         else
 433             /* Verdict */
 434             break;
 435     } while (!acpar.hotdrop);
 436     pr_debug("Exiting %s; sp at %u\n", __func__, stackidx);
 437 
 438     xt_write_recseq_end(addend);
 439     local_bh_enable();
 440 
 441 #ifdef DEBUG_ALLOW_ALL
 442     return NF_ACCEPT;
 443 #else
 444     if (acpar.hotdrop)
 445         return NF_DROP;
 446     else return verdict;
 447 #endif
 448 }

ip_packet_match(net/ipv4/netfilter/ip_tables.c)

72 /* Returns whether matches rule or not. */
  73 /* Performance critical - called for every packet */
  74 static inline bool
  75 ip_packet_match(const struct iphdr *ip,
  76         const char *indev,
  77         const char *outdev,
  78         const struct ipt_ip *ipinfo,
  79         int isfrag)
  80 {
  81     unsigned long ret;
  82 
  83 #define FWINV(bool, invflg) ((bool) ^ !!(ipinfo->invflags & (invflg)))
  84 
  85     if (FWINV((ip->saddr&ipinfo->smsk.s_addr) != ipinfo->src.s_addr,
  86           IPT_INV_SRCIP) ||
  87         FWINV((ip->daddr&ipinfo->dmsk.s_addr) != ipinfo->dst.s_addr,
  88           IPT_INV_DSTIP)) {
  89         dprintf("Source or dest mismatch.\n");
  90 
  91         dprintf("SRC: %pI4. Mask: %pI4. Target: %pI4.%s\n",
  92             &ip->saddr, &ipinfo->smsk.s_addr, &ipinfo->src.s_addr,
  93             ipinfo->invflags & IPT_INV_SRCIP ? " (INV)" : "");
  94         dprintf("DST: %pI4 Mask: %pI4 Target: %pI4.%s\n",
  95             &ip->daddr, &ipinfo->dmsk.s_addr, &ipinfo->dst.s_addr,
  96             ipinfo->invflags & IPT_INV_DSTIP ? " (INV)" : "");
  97         return false;
  98     }
  99 
 100     ret = ifname_compare_aligned(indev, ipinfo->iniface, ipinfo->iniface_mask);
 101 
 102     if (FWINV(ret != 0, IPT_INV_VIA_IN)) {
 103         dprintf("VIA in mismatch (%s vs %s).%s\n",
 104             indev, ipinfo->iniface,
 105             ipinfo->invflags & IPT_INV_VIA_IN ? " (INV)" : "");
 106         return false;
 107     }
 108 
 109     ret = ifname_compare_aligned(outdev, ipinfo->outiface, ipinfo->outiface_mask);
 110 
 111     if (FWINV(ret != 0, IPT_INV_VIA_OUT)) {
 112         dprintf("VIA out mismatch (%s vs %s).%s\n",
 113             outdev, ipinfo->outiface,
 114             ipinfo->invflags & IPT_INV_VIA_OUT ? " (INV)" : "");
 115         return false;
 116     }
 117 
 118     /* Check specific protocol */
 119     if (ipinfo->proto &&
 120         FWINV(ip->protocol != ipinfo->proto, IPT_INV_PROTO)) {
 121         dprintf("Packet protocol %hi does not match %hi.%s\n",
 122             ip->protocol, ipinfo->proto,
 123             ipinfo->invflags & IPT_INV_PROTO ? " (INV)" : "");
 124         return false;
 125     }
 126 
 127     /* If we have a fragment rule but the packet is not a fragment
 128      * then we return zero */
 129     if (FWINV((ipinfo->flags&IPT_F_FRAG) && !isfrag, IPT_INV_FRAG)) {
 130         dprintf("Fragment rule but not fragment.%s\n",
 131             ipinfo->invflags & IPT_INV_FRAG ? " (INV)" : "");
 132         return false;
 133     }
 134 
 135     return true;
 136 }

 

 

sidemap
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4862
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门.txt
04-30
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门
Linux netfilter源码分析(5)
venoy4806的专栏
01-06 802
五、 ipt_do_table()函数,数据包的过滤 5.1          ipt_entry 相关结构  ip_tables.hipt_entry结构前面有过了,再看一遍struct ipt_entry{struct ipt_ip ip;/* 所要匹配的报文的IP头信息 */unsigned int nfcache;/* 位向量,标示本规则关心报文的什么部分,暂未使用 *
iptbale 常用的iptables命令
07-29
常用的iptables命令 一看就懂。常用的iptables命令常用的iptables命令常用的iptables命令
深入理解netfilter和iptables
wq897387的专栏
07-13 656
深入理解netfilter和iptables
Linux内核配置选项
路漫漫其修远兮
04-25 6619
http://blog.csdn.net/wdsfup/article/details/52302142http://www.manew.com/blog-166674-12962.htmlGentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境...
Linux netfilter 学习笔记 之五 ip层netfilter的table中规则的匹配检查
lickylin的专栏
06-23 6522
通过上面一节的分析我们知道,我们通过iptables -A操作添加的规则,都会保存在一个xt_table->private->entries[]中,所以当数据到来后,协议栈执行NF_HOOK操作时,肯定需要遍历xt_table->private->entries中的规则,找到一个匹配的规则,然后对进来的数据包执行该规则的target操作。从xt_table的通用性,我们可以猜到,肯定会有一个通用的
linux ip 过滤器,Linux表驱动IP过滤器的基本工作过程
weixin_29337309的博客
05-07 263
表驱动IP过滤器的基本工作过程表驱动IP过滤器的基本工作过程(1) Linux的IP过滤器主要采用了表驱动方法, 表驱动入口函数ipt_do_table(), 驱动表称为IP表, 用ip_table结构描述. IP表是位置无关的数据块, 它由表头(ipt_table_info)和变长的规则链组成. 表头包含了IP表的尺寸,规则数量和不同的过滤编号对应的规则项的起始位置. 规则链是由多个变长的规则...
netfilter&iptables探讨(4)——nat的实现与使用
dillanzhou的博客
12-11 1161
在之前的几篇文章中,我们讨论了netfilter与iptables的实现原理与基本用法。在netfilter&iptables的各种使用场景中,nat是最常用也是最复杂的用法之一。许多常用的网络使用模式都是通过nat iptables规则实现的,例如docker默认的bridge网络模式。本文将具体分析iptables中nat规则的实现方式,介绍报文经过nat规则实现地址转换的过程。并以docker bridge模式使用的nat规则为例,具体了解nat规则的实际用法。
Sparse_Table_algorithm.rar_RMQ_Sparse table_Table
09-19
RMQ的sparse table算法的实现,对ACM竞赛队员非常有研究价值:)
glsl_symbol_table.rar_Table_symbol table
09-23
Wraps the existing \c _mesa_symbol_table data structure to enforce some type safe and some symbol table invariants.
filltable.zip_Table_cvi table
07-14
how to fill a table in maysql via cvi
st表.zip_St table_Table
09-21
用st table实现区间最值RMQ的查询
BIG5.zip_Table_unicode table
09-20
BIG5 to Unicode table
基于matlab实现DOA 估计和自适应波束形成.rar
最新发布
04-30
基于matlab实现DOA 估计和自适应波束形成.rar
基于C++的线程安全容器。.zip
04-30
基于C++的线程安全容器。.zip
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
本周-综合案例.zip
04-30
本周-综合案例.zip
MODULE_DEVICE_TABLE 函数定义
06-09
`MODULE_DEVICE_TABLE` 是一个宏,其定义如下: ```c #define MODULE_DEVICE_TABLE(type, name) \ static const struct type##_device_id __maybe_unused name##_id[] = { \ { .compatible = #name }, \ { } \ }; \ MODULE_DEVICE_TABLE_GPL(type, name##_id) ``` `MODULE_DEVICE_TABLE` 宏接受两个参数:`type` 和 `name`。其中,`type` 表示设备类型,比如 `platform`、`i2c` 等;`name` 表示设备名称,可以是任何字符串。 宏展开后,会生成一个 `static` 的、仅在当前模块中可见的 `const struct type##_device_id` 数组,并命名为 `name##_id`。`type##_device_id` 是一个结构体,表示设备 ID。该结构体中包含一个 `compatible` 字段,表示设备的兼容性字符串,用于匹配设备和驱动程序。 `MODULE_DEVICE_TABLE_GPL` 是另一个宏,用于将设备 ID 数组注册到内核中。它接受两个参数:`type` 和 `id`。其中,`type` 表示设备类型;`id` 表示设备 ID 数组。宏展开后,会调用内核中的 `__mod_register_device_table` 函数,将设备 ID 数组注册到内核中。 总之,`MODULE_DEVICE_TABLE` 宏用于定义设备 ID 数组,并将其注册到内核中,以便内核可以根据设备的兼容性字符串自动匹配设备和驱动程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值