table模块各个结构定义 及 iptables filter hook函数注册

最新推荐文章于 2023-01-18 15:29:40 发布
最新推荐文章于 2023-01-18 15:29:40 发布
阅读量289 收藏
点赞数
分类专栏: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sidemap/article/details/103314534
版权

1、iptables filter tables

首先看一下xt_table -> xt_table_info -> xt_entry -> ipt_entry / ipt_entry_match / ipt_standard_target ->ipt_entry_target / verdict之间的关系

涉及到的部分结构体

///< include/linux/netfilter/x_tables.h
struct xt_table {
    struct list_head list;

    /* What hooks you will enter on */
    unsigned int valid_hooks;

    /* Man behind the curtain... */
    struct xt_table_info *private;

    /* Set this to THIS_MODULE if you are a module, otherwise NULL */
    struct mudule *me;

    u_int8_t af;        /* address/protocol family */
    int priority;       /* hook order */

    /* A unique name... */
    const char name[XT_TABLE_MAXNAMLEN];
};

/* The table itself */
struct xt_table_info {
    /* Size per table */
    unsigned int size;
    /* Number of entries */
    unsigned int number;
    /* Initial number of entries. Needed for module usage count */
    unsigned int initial_entries;

    /* Entry points and underflows */
    unsigned int hook_entry[NF_INET_NUMHOOKS];
    unsigned int underflow[NF_INET_NUMHOOKS];

    /*
     * Number of user chains. Since tables cannot have loops, at most
     * @stacksize jumps (number of user chains) can possibly be made.
     */
    unsigned int stacksize;
    void ***jumpstack;

    unsigned char entries[0] __aligned(8);
};

/* The argument to IPT_SO_SET_REPLACE. */
struct ipt_replace {
    /* Which table. */
    char name[XT_TABLE_MAXNAMLEN];

    /* Which hook entry points are valid: bitmask. You can't
        change this. */
    unsigned int valid_hooks;

    /* Number of entries */
    unsigned int num_entries;

    /* Total size of new entries */
    unsigned int size; // 该大小指的是携带数组entries[0]所有的ipt_entry的大小

    /* Hook entry points. */
    unsiged int hook_entry[NF_INET_NUMHOOKS];  // 每条规则链相对于第一条的偏移量

    /* Underflow points */
    unsigned int underlow[NF_INET_NUMHOOKS];

    /* Information about old entries: */
    /* Number of counters (must be equal to current number of entries) */
    unsigned int num_counters;
    /* The old entries' counter*/
    struct xt_counters __user *counters;

    /* The entries (hang off end: not really an array) */
    /* 表中每一条规则的结构为ipt_entry + ipt_entry_match(大于等于0) + ipt_standard_tareget,
       而 ipt_standard_target由xt_entry_target和verdiect组成。
       可变长数组,下面内存里存放的就是替换到表中的新规则。 */
    struct ipt_entry entries[0];
};

/* This structure defines each of the firewall rules.  Consists of 3
   parts which are 1) general IP header stuff 2) match specific
   stuff 3) the target to perform if the rule matches */
struct ipt_entry {
    struct ipt_ip ip; 

    /* Mark with fields that we care about. */
    unsigned int nfcache;

    /* Size of ipt_entry + matches */
    __u16 target_offset;
    /* Size of ipt_entry + matches + target */
    __u16 next_offset;

    /* Back pointer */
    unsigned int comefrom;

    /* Packet and byte counters. */
    struct xt_counters counters;

    /* The matches (if any), then the target. */
    unsigned char elems[0];
};

table中注册hook函数的大致流程

// net/ipv4/netfilter/iptable_filter.c
#define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \
                (1 << NF_INET_FORWARD) | \
                (1 << NF_INET_LOCAL_OUT))

static const struct xt_table packet_filter = {
    .name = "filter",
    .valid_hooks = FILTER_VALID_HOOKS,
    .me = THIS_MODULE,
    .af = NFPROTO_IPV4,
    .priority = NF_IP_PRI_FILTER,
};

static unsigned int
iptable_filter_hook(void *priv, struct sk_buff *skb,
            const struct nf_hook_state *state)
{
    if (state->hook == NF_INET_LOCAL_OUT &&
        (skb->len < sizeof(struct iphdr) ||
        ip_hdrlen(skb) < sizeof(struct iphdr)))
        /* root is playing with raw sockets */
        return NF_ACCEPT;
    return ipt_do_table(skb, state, state->net->ipv4.iptable_filter);
}

static int __init iptable_filter_init(void)
{
    int ret;

    ret = register_pernet_subsys(&iptable_filter_net_ops);
    if (ret < 0)
        return ret;

    /* Register hooks */
    filter_ops = xt_hook_link(&packet_filter, iptable_filter_hook);
    if (IS_ERR(filter_ops)) {
        ret = PTR_ERR(filter_ops);
        unregister_pernet_subsys(&iptable_filter_net_ops);
    }

    return ret;
}

// include/linux/netfilter/x_tables.h
/**
 * xt_hook_link - set up hooks for a new table
 * @table: table with metadata need to set up hooks
 * @fn: Hook function
 *
 * This function will take care of creating and registering the necessary
 * Netfilter hooks for XT tables.
 */
struct nf_hook_ops *xt_hook_link(const struct xt_table *table, nf_hookfn *fn)
{
    unsigned int hook_mask = table->valid_hooks;
    uint8_t i, num_hooks = hweight32(hook_mask);
    uint8_t hooknum;
    struct nf_hook_ops *ops;
    int ret;

    ops = kmalloc(sizeof(*ops)*num_hooks, GFP_KERNEL);
    if (ops == NULL)
        return ERR_PRT(-ENOMEM);

    for (i = 0, hooknum = 0; i < num_hooks && hook_mask != 0;
         hook_mask >>= 1, ++hooknum) {
        if (!(hook_mask & 1))
            continue;
        ops[i].hook = fn;
        ops[i].pf = table->af;
        ops[i].hooknum = hooknum;
        ops[i].priority = table->priority;
        ++i;
    }

    ret = nf_register_hooks(ops, num_hooks);
    if (ret < 0){
        kfree(ops);
        return ERR_PTR(ret);
    }

    return ops;
}

 

sidemap
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1827
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filterhook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
linux内核协议栈 netfilter 之 ip 层的table、rule、match、target结构分析
10-30 2065
在使用iptables过程中,经常会提到table、rule、match和target,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、match、target 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
Hook函数(钩子函数
qq_40409117的博客
05-06 1093
Hook 举例:onclicklistener就是一个hook函数 钩子函数其实就是事件,就是配置执行完成的回调函数 Android的执行流程中,把按钮按下去后执行的逻辑写在onclicklistener(它就是一个hook函数)中,并且暴露给用户,让用户可以重写onclicklistener(可理解为注册hook函数),这就是hook函数Hook是一种编程模式,并不是和语言有关的。 ...
linux netfilter ----iptable_filter
weixin_30472035的博客
05-11 248
内核中将filter模块被组织成了一个独立的模块,每个这样独立的模块中都有个类似的init()初始化函数;首先来看一下filter模块是如何将自己的钩子函数注册到netfilter所管辖的几个hook点。 filter 模块钩子点: /* 在LOCAL_IN,FORWARD, LOCAL_OUT钩子点工作 */ #define FILTER_VALID_HOOKS ((1 &...
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1724
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
Docker与iptables及实现bridge方式网络隔离与通信操作
01-08
iptablesfilter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时...
Docker中iptables规则在iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_...
Shell监控iptables运行状态
01-20
最近在调试服务器的iptables,自己做了个定时关iptables,但晚上回家很少开电脑,所以就没法去启动iptables,当然你可能会说,为什么不取消定时关闭iptables,我只能说个人的环境不一样,需求也就不一样. 脚本内容: 代码...
iptables-save命令 保存iptables的表配置
01-20
iptables-save命令用于保存iptables的表配置。 语法格式:iptables-save [参数] 常用参数: -c 指定要保存的iptables表时,保存...[root@linuxcool ~]# iptables-save -t filter > filter.bak 与该功能相关的Linu
【博客597】iptables如何借助连续内存块通过xt_table结构管理流量规则
qq_43684922的博客
01-18 661
xt_table 的初始化:不同的规则表有以下特征:基于规则的最终目的,iptables 默认初始化了 4 个不同的规则表,分别是 raw、 filter、nat 和 mangle。以 filter 为例介绍 xt_table的初始化和调用过程:filter table定义如下: 在 iptable_filter.c 模块的初始化函数 iptable_filter_init中,调用xt_hook_link 对 xt_table 结构 packet_filter 执行如下初始化过程:不同 table
Linux netfilter 学习笔记 之三 ip层netfiltertable、rule、match、target结构分析
热门推荐
lickylin的专栏
06-22 1万+
上一节分析了ip层hook回调函数注册以及调用流程,本节我们就开始分析每一个模块的具体实现。 工欲善其事必先利其器,一个功能模块的代码实现与其数据结构的设计有很大的关系,所以我们本节主要是分析table、rule、match、target相关的数据结构,争取本节能把数据结构定义以及数据结构之间的关系分析明了。   在分析table、rule、match、target之前,先把它们之间的联系
linux Netfilter在网络层的实现详细分析(iptables
weixin_42915431的博客
12-31 1万+
本文来详细分析linux netfilter在网络层的实现细节,本文代码分析是基于Linux内核版本4.18.0-80(也即centos8.0系统上)。我画了一张linux内核协议栈网络层netfilteriptables)的全景图,里面涉及内容比较多,本文会详细讲解。
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4921
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
Linux netfilter 学习笔记 之五 ip层netfiltertable中规则的匹配检查
lickylin的专栏
06-23 6552
通过上面一节的分析我们知道,我们通过iptables -A操作添加的规则,都会保存在一个xt_table->private->entries[]中,所以当数据到来后,协议栈执行NF_HOOK操作时,肯定需要遍历xt_table->private->entries中的规则,找到一个匹配的规则,然后对进来的数据包执行该规则的target操作。从xt_table的通用性,我们可以猜到,肯定会有一个通用的
linux iptables实现
godleading的专栏
02-26 5648
Xtables提供的资源   struct  xt_af  xt[]结构数组 该数组用于挂载各个协议的match和target资源。由于写者(添加、删除)和读者(查找)都是在内核空间进程上下文执行,所以它们只需要用xt[n].mutex信号量进行互斥。读者(查找)在将规则关联上一个match或target时会增加它们所在模块的引用计数,在它释放这个引用计数之前该模块是不会被卸载的,所
Netfilter中规则(rule)的组织框架
carltraveler的专栏
03-16 1642
1、大蓝图 table->chain->rule(match:target) 从上图所示,在内核空间,每个CPU上维护了一份rule的拷贝。这样做是为了减少锁的使用及增加硬件L1 cache的命中次数,以空间换时间 2、table(表) include/linux/netfilter/x_table.h struct xt_table {     struct list_
Netfiltertable、rule、match、target的组织管理
九天小哥的专栏
05-26 990
在上一篇笔记Netfiltertable、rule、match、target数据结构中,看到了内核对这些对象的定义,这篇笔记记录了内核对这些数据结构的组织,以及一些相关的核心函数分析。设计的代码文件主要有: 代码路径 说明 /net/netfilter/x_tables.c netfilter框架对table、match、target的核心实现 1. table的管理 如下,...
Netfilter是如何工作的(二) 表(table)与规则(rule)
品学楼A107
09-22 1079
在(一)中说到,报文在内核协议栈中会途经5个HOOK点,在每个HOOK点上会依次执行链表上的钩子函数,那么这些钩子函数是如何与用户使用iptables下发的各个rule联系起来的呢?这些rule又是如何存储的呢? 本文详细描述这个问题。 table 内核使用struct xt_table这个结构来表示一个表(table)。结构中记录了这个表在哪些HOOK点有效,它的private指针保存了这个表包...
iptables filter
最新发布
07-04
iptables Filter 是 Linux 内核中的防火墙工具,用于控制网络数据包的流入和流出。它基于 Netfilter 模块,为系统提供了一种灵活的方式来管理网络安全策略。 **基本概念:** - **链(Chains)**: iptables 将数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值