xt_action_param/xt_match/xt_target

最新推荐文章于 2022-06-26 21:08:33 发布
最新推荐文章于 2022-06-26 21:08:33 发布
阅读量945 收藏
点赞数
分类专栏: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sidemap/article/details/103203015
版权

 

/**
 * struct xt_action_param - parameters for matches/targets
 *
 * @match:    the match extension
 * @target:    the target extention
 * @matchinfo:    per-match data
 * @targetinfo:    per-target data
 * @net:    network namespace through which the action was invoked
 * @in:    input netdevice
 * @out:    output netdevice
 * @fragoff:     packet is a fragment, this is the data offset
 * @thoff:    position of transport header relative to skb->data
 * @hook:    hook number given packet came from
 * @family:    Actual NFPROTO_* through which the function is invoked
 *         (helpful when match->family == NFPROTO_UNSPEC)
 * @hotdrop:    drop packet if we had inspection problems
 */

struct xt_action_param {
    union {
        const struct xt_match    *match;
        const struct xt_target    *target;
    };
    union {
        const void *matchinfo, *targetinfo;
    };
    struct net *net;
    const struct net_device    *in, *out;
    int fragoff;
    unsigned int thoff;
    unsigned int hooknum;
    u_int8_t    family;
    bool    hotdrop;
};

 

/**
 * struct xt_mtchk_param - parameters for match extensions' checkentry functions
 *
 * @net:    newwork namespace through which the check was invoked
 * @table:  table the rule is tried to be inserted into
 * @entryinfo: the family-spcific rule data
 *         (struct ipt_ip, ip6t_ip,arpt_ip or (note) ebt_entry)
 * @match: struct xt_match through which this function was invoked
 * @matchinf: per-match data
 * @hook_mask: via which hooks the new rule is reachable
 * Other fields as above.
 */
struct xt_mtchk_param {
    struct net *net;
    const char *table;
    const void *entryinfo;
    const struct xt_match *match;
    void *matchinfo;
    unsigned int hook_mask;
    u_int8_t family;
    bool nft_compat;
};

struct xt_match {
    struct list_head list;
    const char name[XT_EXTENTION_MAXNAMELEN];
    u_int8_t    revision;
    /* Return true or false: return FALSE and set hotdrop = 1 to 
        force immediate packet drop. */
    /* Arguments changed since 2.6.9, as this must now handle
        non-linear skb, using skb_header_pointer and
        skb_ip_make_writable*/
    bool (*match)(const struct sk_buff *skb,
            struct xt_action_param *);
    /* Called when user tries to insert an entry of this type. */
    int (*checkentry)(const struct xt_mkchk_param *);

    /* Called when entry of this type deleted. */
    void (*destroy)(const struct xt_mtdtor_param *);
#ifdef CONFIG_COMPAT
    /* Called when userspace align differs form kernel space one. */
    void (*compat_from_user)(void *dst, const void *src);
    void (*compat_to_user)(void __user *dst, const void *src);
#endif

    /* Set this to THIS_MODULE if you are a module, otherwise NULL */
    struct module *me;

    const char *talbe;
    unsigned int matchsize;
#ifdef CONFIG_COMPAT
    unsigned int compatsize;
#endif
    unsigned int hooks;
    unsigned short proto;

    unsigned short family;
};

 

/**
 * struct xt_mtchk_param - parameters for match extensions' checkentry functions
 *
 * @net:    network namespace through which the check was invoked\
 * @table:     table the rule is tried to be inserted into
 * @entryinfo:    the family-specific rule data
 *     (struct  ipt_ip, ip6t_ip, arpt_arp or (note) ebt_entry)
 * @match:    struct xt_match through which this function was invoked
 * @matchinfo:     per-match data
 * @hook_mask:    via which hooks the new rule is reachalbe
 */
struct xt_mtchk_param {
    struct net *net;
    const char *table;
    const void *entryinfo;
    const struct xt_match  *match;
    void *matchinfo;
    unsigned int hook_mask;
    u_int8_t    family;
    bool     nft_compat
};

 

/*
 * struct xt_mtdtor_param - match destructor parameters
 * 
 */
struct xt_mtdtor {
    struct net *net;
    const struct xt_match *match;
    void *matchinfo;
    u_int8_t family;
};

 

/* Registration hooks for targets.*/
struct xt_target {
    struct list_haed list;
    const char name[XT_EXTENSION_MAXNAMELEN];
    u_int8_t revision;

    /* Retrun verdict.  Arguments changed since 2.6.9, as this must now handle
        non-linear skb, using skb_header_pointer and
        skb_ip_make_writable*/
    unsigned int (*target)(struct sk_buff *skb,
               const struct xt_action_param *);
    /* called when user tries to insert an entry of this type:
        hook_mask is a bitmask of hooks from which it can be called. */
    /* Should return 0 on success, or an error code otherwise (-Exxx).*/
    int (*checkentry)(const struct xt_tgchk_param *);

    /* Called when entry of this type deleted. */
    void (*destroy)(const struct xt_tgdtor_param *);
#ifdef CONFIG_COMPAT
    /* Called when userspace align differs form kernel space one. */
    void (*compat_from_user)(void *dst, const void *src);
    void (*compat_to_user)(void __user *dst, const void *src);
#endif

    /* Set this to THIS_MODULE if you are a module, otherwise NULL */
    struct module *me;

    const char *talbe;
    unsigned int targetsize;
#ifdef CONFIG_COMPAT
    unsigned int compatsize;
#endif
    unsigned int hooks;
    unsigned short proto;

    unsigned short family;
};

 

/**
 * struct xt_tgchk_param - parameters for target extensions' checkentry functions
 *
 * @net:    network namespace through which the check was invoked\
 * @table:     table the rule is tried to be inserted into
 * @entryinfo:    the family-specific rule data
 *     (struct  ipt_ip, ip6t_ip, arpt_arp or (note) ebt_entry)
 * @match:    struct xt_match through which this function was invoked
 * @matchinfo:     per-match data
 * @hook_mask:    via which hooks the new rule is reachalbe
 */
struct xt_mtchk_param {
    struct net *net;
    const char *table;
    const void *entryinfo;
    const struct xt_target  *target;
    void *targetinfo;
    unsigned int hook_mask;
    u_int8_t    family;
    bool     nft_compat
};
/*
 * struct xt_tgdtor_param - match destructor parameters
 * 
 */
struct xt_tgdtor {
    struct net *net;
    const struct xt_target *target;
    void *targetinfo;
    u_int8_t family;
};

 

sidemap
关注
专栏目录
linux内核协议栈 netfilter 之 ip 层的table、rule、matchtarget结构分析
10-30 2270
在使用iptables过程中,经常会提到table、rule、matchtarget,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、matchtarget 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
linux内核协议栈 netfilter 之 ip 层的 filter 表注册及规则的添加以及钩子函数
10-31 1578
目录 1filter 表初始化iptable_filter_init() 2filter表的注册iptable_filter_net_init() 2.1ipt_register_table() 入参 2.1.1static struct xt_table packet_filter 2.1.2 struct ipt_replace repl 2.1.3struct ipt_replace repl 初始化ipt_alloc_initial_table() 2.2ipt_re...
Linux netfilter 学习笔记 之三 ip层netfilter的table、rule、matchtarget结构分析
热门推荐
lickylin的专栏
06-22 1万+
上一节分析了ip层hook回调函数的注册以及调用流程,本节我们就开始分析每一个模块的具体实现。 工欲善其事必先利其器,一个功能模块的代码实现与其数据结构的设计有很大的关系,所以我们本节主要是分析table、rule、matchtarget相关的数据结构,争取本节能把数据结构的定义以及数据结构之间的关系分析明了。   在分析table、rule、matchtarget之前,先把它们之间的联系
Linux netfilter 学习笔记 之十五 netfilter模块添加一个match
lickylin的专栏
07-24 7316
通过这段时间的学习,基本上熟悉了netfilter模块,为了进一步加深对netfilter的认识以及理解iptables与netfilter的联系,准备添加一个match模块。   在看到网关产品会有一个公网限制的功能,就想着添加一个公网数目限制的功能。   该模块实现的功能, 通过该match我们可以设置能够通过网关上网的数目,要想进行公网限制,就需要根据mac地址进行限制操作,这个模块
netfilter:开发一个match模块
倚楼听风雨的博客
09-20 1647
一、说明     下图说明了Netfilter模块是如何运行的,它指出我们需要开发两个东西,一个是用户态的共享库so,一个是内核态的内核库ko。命名规则有讲究,如果模块叫Mymodules,那么内核态源代码一般命名为ipt_Mymodules.c,头文件为ipt_Mymodules.h,用户态源代码为libipt_Mymodules.c。     用户态和内核态的模块各有什么作用?用户态的
xt_register_match将某个xt_match注册的过程
sidemap的博客
11-28 1352
=========================以下内核tcp match module================================= static struct xt_match tcpudp_mt_reg[] __read_mostly = { { .name = "tcp", .family = NFPROTO_IP...
netfilter之nat初始化
City_of_skey的博客
12-11 653
nat功能是我们使用非常广泛,包括SNAT、DNAT,很多功能是基于NAT实现。 (1)SNAT SNAT简称源地址转换,比如一个公司只有一个共有IP,公司下面有许多私有设备,私有设备都分配了私有地址,私有地址不能在互联网中传递,那么就要做源地址转换,私有设备要访问互联网就会把源地址转换为公司的共有IP,通过这个共有IP访问互联网。 (2)DNAT DNAT简称目的地址转换,也就是把目的地...
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 797
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
大疆无人机(DJI)SDK
m0_46215367的博客
11-17 7172
class DJISDKManager sealed class DJISDKManager Declaration: DJI.WindowsSDK Description: This class is the entry point for using the SDK with a DJI product. Most importantly, this class is used to register the SDK, and to connect to and access
linux 下的 iptables/ netfilter 防火墙 深度理解 后篇
bie_niu1992的专栏
07-01 552
一 概述 中篇已经提到了钩子函数的注册,也知道最终数据进来是通过钩子函数处理,来实现防火墙的功能的。那么netfilter 内核是在什么时候调用钩子函数?钩子函数又是怎么实现防火墙对应的功能的?(本章主要讲钩子函数实现的过滤功能)
Ethernet Bridge Netfilter框架及Data Path分析
weixin_45254661的博客
03-17 3340
1. Netfilter简介 ​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地...
iptables目标TPROXY
redwingz的博客
06-26 2050
TPROXY目标帮助信息如下。 如下配置,将目的端口80的报文设置标记1,并且送到本机监听在30080的套接口。 配置如下的IP路由策略,将标记为1的报文,送到本机回环设备lo处理,本机接收: 应用层程序,需要设置套接口IP层选项IP_TRANSPARENT(SOL_IP, IP_TRANSPARENT),以接收代理报文。函数xt_register_targets注册目标结构tproxy_tg_reg。 配置检查函数如下,对于IPv4协议,启用报文重组功能,透明代理仅支持TCP和UDP协议。 目标处理函数如
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3465
1、库libiptc 什么是libiptc libiptc是用于与netfilter通信的库,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
Linux防火墙iptables中mark模块分析及编
weixin_33912453的博客
09-15 648
在linux系统中为了更好的实现网络流量的管理,使用了内核的mark来标识网络流量。这样造成了用户层再使用mark来标记多线负载,两种mark会互相覆盖,达不到想要的结果。在此种情况下,通过研究发现可以扩展mark模块来解决这种冲突。   1 Iptables的结构和命令格式分析   1.1 Iptables的结构分析   Iptables是linux系统为用户提供的一个配置防火墙的工具。它提供一...
iptables和netfilter的通信流程
脚踏实地,不断突破自我,每天有收获就OK
12-14 2888
iptables和netfilter通信采用的是setsockopt和getsockopt函数 一、用户态iptables代码 前面博客文章 https://blog.csdn.net/haolipengzhanshen/article/details/84888489 我们分析了iptables的主流程,相信大家会熟悉下面的代码 ret = do_command4(argc, argv,...
于Linux-2.6.32内核上编译ipset-6.23的坎坷经历
Netfilter
11-14 9606
新版本的ipset上周在儿童医院给小小看病等待叫号的间隙,收到了Netfilter邮件列表的推送消息,一览了ipset最新的6.23版本的新特性,很多正是我目前所需要的,特别是timeout和skbinfo参数的支持,具体的详情请自行查看manual,如果不想看那么多,我这里简单的贴一下:   timeout       All  set  types  supports the optional
自己 Netfilter 匹配器
XscKernel的专栏 记录工作中做的点滴
11-12 2967
看了Nicolas的netfilter匹配器,自己尝试编译测试,发现iptables 以及内核版本升级很多数据结构和函数接口都改变了,需要做大量的修改才能运行。 运行 iptables/netfilter 1)iptables 从 ftp://ftp.netfilter.org/pub/iptables/ 下载iptables 的源码然后拷贝libipt_ipaddr.c 到
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1926
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
#define DOWN_CMD_HEAD (0xC5) // down cmd head flag 向下命令头标志 #define DOWN_EVENT_HEAD (0xC6) // down event head flag #define UP_CMD_HEAD (0xC7) // up cmd head flag #define UP_EVENT_HEAD (0xC8) // up event head flag /** * @brief event pack error define */ #define EVENT_SUCCESS (0x10) // event data is correct #define EVENT_PARAM_ERROR (0x11) // event param error #define EVENT_EXECUTION_ERROR (0x12) // event excute error #define EVENT_CHECKSUM_ERROR (0x13) // event crc error
最新发布
06-09
这段代码定义了一些常量,包括向下命令头标志DOWN_CMD_HEAD、向下事件头标志DOWN_EVENT_HEAD、向上命令头标志UP_CMD_HEAD、向上事件头标志UP_EVENT_HEAD以及事件打包错误定义,如EVENT_SUCCESS表示事件数据正确,EVENT_PARAM_ERROR表示事件参数错误,EVENT_EXECUTION_ERROR表示事件执行错误,EVENT_CHECKSUM_ERROR表示事件CRC校验错误。这些常量通常用于在代码中对不同类型的数据进行标识和区分,方便在程序运行过程中进行处理和调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值