redwingz的博客

TPROXY目标帮助信息如下。如下配置，将目的端口80的报文设置标记1，并且送到本机监听在30080的套接口。配置如下的IP路由策略，将标记为1的报文，送到本机回环设备lo处理，本机接收：应用层程序，需要设置套接口IP层选项IP_TRANSPARENT（SOL_IP, IP_TRANSPARENT），以接收代理报文。函数xt_register_targets注册目标结构tproxy_tg_reg。配置检查函数如下，对于IPv4协议，启用报文重组功能，透明代理仅支持TCP和UDP协议。目标处理函数如

WireGuard简单配置如下拓扑：|----------| |----------|| | 192.168.1.115 | || server |---------------------------| peer || | 192.168.1.117 | ||----------|

内核网络设备结构使用两个成员表示队列数量，num_tx_queues表示最大队列数量，而real_num_tx_queues表示实际可用的队列数量。以intel的ixgbe驱动来看，在分配网卡设备时，队列数量设置为MAX_TX_QUEUES。如下将num_tx_queues和real_num_tx_queues都设置为了MAX_TX_QUEUES的值。宏MAX_TX_QUEUES定义为64，即最大队列数量为64。但是真正可用的队列数量为real_num_tx_queues，之后将更新其值。实际发送队列

对于多队列的网络设备，real_num_tx_queues大于1，如果网络设备定义了自身的队列选择函数，使用此函数；否则，使用netdev_pick_tx选择发送队列。最后，队列选择完成之后，将队列索引保存到skb的成员queue_mapping中。首先，获取套接口中保存的队列索引值（sk_tx_queue_mapping），如果此值合法，范围在[0, skb->real_num_tx_queues]之间，并且ooo_okay不为1，意味着不需要重选队列，此时使用套接口中保存的队列索引值。否则，使用get

TEE目标帮助信息如下。如下测试拓扑：在主机192.168.1.111上配置如下的策略，将与192.168.1.105交互的icmp报文重定向到主机192.168.1.114。在主机192.168.1.105执行ping操作。在主机192.168.1.114执行tcpdump，可以看到主机1.105和1.111的icmp交互报文。TEE目标使用到如下的模块：TEE目标初始化函数tee_tg_init如下，其注册了命名空间结构，以及TEE目标结构tee_tg_reg。命名空间初始化时，初始化空

nfacct匹配帮助信息如下。配置如下策略。以上配置命令新增了如下的内核模块：nfacct匹配函数xt_register_matches注册匹配结构nfacct_mt_reg。配置检查函数如下，根据配置的nfacct-name查找，如果不存在返回错误，所以需要使用nfacct命令先创建nfacct。匹配判断函数如下，首先根据报文信息更新nfacct的统计值；其次检测是否超限。函数nfnl_acct_update递增报文数量，并且增加报文字节统计。如下命令，指定nfacct的字节或者报文数量限

网络设备注册函数register_netdevice中，调用dev_init_scheduler初始化Qdisc。将设备的每个队列的Qdisc都初始化为noop_qdisc。绑定Qdisc在网络设备启用（dev_open）处理中，由函数dev_activate处理Qdisc。如果设备队列qdisc是初始的noop_qdisc，由函数attach_default_qdisc绑定默认qdisc。如果此时链路状态处于断开，不进行后续处理。如果设备只有一个队列，或者设置了IFF_NO_QUEUE标志，为此队

string匹配帮助信息如下。其中模式匹配算法可指定bm（Boyer-Moore）或者kmp（Knuth-Pratt-Morris）。选项icase表示在匹配时忽略大小写。# iptables -m string -hstring match options:--from Offset to start searching from--to Offset to stop searching--algo

state匹配帮助信息如下。# iptables -m state -hstate match options: [!] --state [INVALID|ESTABLISHED|NEW|RELATED|UNTRACKED][,...] State(s) to match如下配置，允许连接跟踪状态为建立或者相关的流量，以及目的端口为23的新建连接。# iptables -A INPUT -m state --state ESTAB

速率估算器的使用参见：iptables匹配rateest。函数gen_new_estimator创建新的速率估算器，其时间间隔必须为：[-2, 3]之间的整数。int gen_new_estimator(struct gnet_stats_basic_packed *bstats, struct gnet_stats_basic_cpu __percpu *cpu_bstats, struct net_rate_estimator __rcu **

statistic匹配帮助信息如下。# iptables -m statistic -hstatistic match options: --mode mode Match mode (random, nth) random mode:[!] --probability p Probability nth mode:[!] --every n Match every nth packet

iptables策略配置NFQUEUE参见: iptables目标NFQUEUE 。如果函数__nf_queue返回值为-RSRCH，表明应用层没有接收报文的进程存在，如果NF_QUEUE目标在配置时，指定了queue-bypass参数，放行此报文，否则释放报文。verdict的高16位存储的为队列号（NF_VERDICT_QBITS = 16）。int nf_queue(struct sk_buff *skb, struct nf_hook_state *state, unsigne

NFQUEUE目标帮助信息如下。# iptables -j NFQUEUE -hNFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between

rateest匹配帮助信息如下。# iptables -m rateest -hrateest match options: --rateest1 name Rate estimator name --rateest2 name Rate estimator name --rateest-delta Compare difference(s) to given rate(s) --rateest-bps1

RATEEST目标帮助信息如下。# iptables -j RATEEST -hRATEEST target options: --rateest-name name Rate estimator name --rateest-interval sec Rate measurement interval in seconds --rateest-ewmalog value Rate measurement averaging time cons

CHECKSUM目标帮助信息如下。# iptables -j CHECKSUM -hCHECKSUM target options --checksum-fill Fill in packet checksum.如下配置策略，对目标端口68的UDP报文，计算其校验和。# iptables -A OUTPUT -t mangle -p udp --dport 68 -j CHECKSUM --checksum-fill## sudo iptabl

physdev匹配帮助信息如下。# iptables -m physdev -hphysdev match options: [!] --physdev-in inputname[+] bridge port name ([+] for wildcard) [!] --physdev-out outputname[+] bridge port name ([+] for wildcard) [!] --physdev-is-in

devgroup匹配帮助信息如下。# iptables -m devgroup -hdevgroup match options:[!] --src-group value[/mask] Match device group of incoming device[!] --dst-group value[/mask] Match device group of outgoing device首先，将接口ens39设置到组mygroup中。# cat /etc/iproute2/gr

multiport匹配帮助信息如下。multiport有三个选项。其中，–source-port（简写–sports）用于指定源端口，多个源端口使用逗号分隔，当指定源端口范围时，使用分号表示区间（port:port）。选项–destination-ports（简写为–dports）用于指定目的端口。选项–ports可匹配源或者目的端口。multiport仅支持带有端口号的协议，如tcp，udp，udplite，dccp和sctp。# iptables -m multiport -hmultipor

iprange匹配帮助信息如下。iprange match options:[!] --src-range ip[-ip] Match source IP in the specified range[!] --dst-range ip[-ip] Match destination IP in the specified range配置如下策略，丢弃源地址在区间：[192.168.1.90 - 192.168.1.110]中的报文。# iptables -A INPUT -m ipr