iptables匹配physdev

最新推荐文章于 2024-05-12 06:30:00 发布
最新推荐文章于 2024-05-12 06:30:00 发布
阅读量1.9k 收藏 7
点赞数
分类专栏: netfilter防火墙 文章标签: iptables bridge
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/124392500
版权
本文详细解读iptables的physdevmatch模块,涉及输入输出接口匹配、网桥流量控制规则,以及在不同链路的使用限制。重点讲解了如何配置匹配由网桥发出和子接口发送的报文,以及注意事项和br_netfilter模块的依赖。
摘要由CSDN通过智能技术生成

physdev匹配帮助信息如下。

# iptables -m physdev -h

physdev match options:
 [!] --physdev-in inputname[+]          bridge port name ([+] for wildcard)
 [!] --physdev-out outputname[+]        bridge port name ([+] for wildcard)
 [!] --physdev-is-in                    arrived on a bridge device
 [!] --physdev-is-out                   will leave on a bridge device
 [!] --physdev-is-bridged               it's a bridged packet

–physdev-in 匹配报文入方向虚拟网桥的物理接口名称,最后的字符+匹配随后的任何字符。
–physdev-out 匹配报文出方向虚拟网桥的物理接口名称。
–physdev-is-in 匹配由网桥接收到的报文,
–physdev-is-out 匹配由网桥发送的报文。
–physdev-is-bridged 匹配在网桥内部中转发的报文,仅在FORWARD和POSTROUTING点有效。

如下配置策略,匹配由网桥发出,并且由网桥子接口ens39发出的报文。

# ip link add br0 type bridge
# ip link set ens39 master br0
#
# iptables -A FORWARD -m physdev --physdev-is-out --physdev-out ens39 -j ACCEPT    
# 
# iptables -L -n -v

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            PHYSDEV match --physdev-is-out --physdev-out ens39

physdev匹配

函数xt_register_matche注册匹配结构physdev_mt_reg。

static struct xt_match physdev_mt_reg __read_mostly = {
    .name       = "physdev",
    .revision   = 0,
    .family     = NFPROTO_UNSPEC,
    .checkentry = physdev_mt_check,
    .match      = physdev_mt,
    .matchsize  = sizeof(struct xt_physdev_info),
    .me         = THIS_MODULE,
};

static int __init physdev_mt_init(void)
{
    return xt_register_match(&physdev_mt_reg);

配置项检查函数,首先判断是否为以上定义的5种配置选项(XT_PHYSDEV_OP_MASK);其次,对于配置项–physdev-out和–physdev-is-out,仅支持在FORWARD和POSTROUTING点配置,但是,只有在配置OUTPUT链时,出错并提示以下错误,对于INPUT和PREROUTING可配置成功,没有告警。

# iptables -t mangle -A OUTPUT -m physdev --physdev-out ens39 -j ACCEPT
#
# dmesg | tail
[2712782.456829] Bridge firewalling registered
[2712850.494235] xt_physdev: --physdev-out and --physdev-is-out only supported in the FORWARD and POSTROUTING chains with bridged traffic

另外,此功能需要br_netfilter内核模块。

static int physdev_mt_check(const struct xt_mtchk_param *par)
{
    const struct xt_physdev_info *info = par->matchinfo;
    static bool brnf_probed __read_mostly;

    if (!(info->bitmask & XT_PHYSDEV_OP_MASK) ||
        info->bitmask & ~XT_PHYSDEV_OP_MASK)
        return -EINVAL;
    if (info->bitmask & (XT_PHYSDEV_OP_OUT | XT_PHYSDEV_OP_ISOUT) &&
        (!(info->bitmask & XT_PHYSDEV_OP_BRIDGED) || info->invert & XT_PHYSDEV_OP_BRIDGED) &&
        par->hook_mask & (1 << NF_INET_LOCAL_OUT)) {
        pr_info_ratelimited("--physdev-out and --physdev-is-out only supported in the FORWARD and POSTROUTING chains with bridged traffic\n");
        return -EINVAL;
    }
    if (!brnf_probed) {
        brnf_probed = true;
        request_module("br_netfilter");
    }

匹配函数physdev_mt如下,首先,判断网桥信息是否存在,在报文经过NF_BR_PRE_ROUTING时将创建此结构(br_nf_pre_routing)。如果网桥信息不存在,并且没有配置取反操作,返回不匹配。否则,匹配。

static bool
physdev_mt(const struct sk_buff *skb, struct xt_action_param *par)
{
    const struct xt_physdev_info *info = par->matchinfo;
    const struct net_device *physdev;
    unsigned long ret;
    const char *indev, *outdev;

    /* Not a bridged IP packet or no info available yet:
     * LOCAL_OUT/mangle and LOCAL_OUT/nat don't know if
     * the destination device will be a bridge. */
    if (!nf_bridge_info_exists(skb)) {
        /* Return MATCH if the invert flags of the used options are on */
        if ((info->bitmask & XT_PHYSDEV_OP_BRIDGED) &&
            !(info->invert & XT_PHYSDEV_OP_BRIDGED))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_ISIN) &&
            !(info->invert & XT_PHYSDEV_OP_ISIN))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_ISOUT) &&
            !(info->invert & XT_PHYSDEV_OP_ISOUT))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_IN) &&
            !(info->invert & XT_PHYSDEV_OP_IN))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_OUT) &&
            !(info->invert & XT_PHYSDEV_OP_OUT))
            return false;
        return true;
    }

这里网桥信息存在,表明报文由网桥子接口进入,如果出接口不是网桥的子接口,对于physdev-is-bridged网桥转发选项,不匹配。

    physdev = nf_bridge_get_physoutdev(skb);
    outdev = physdev ? physdev->name : NULL;

    /* This only makes sense in the FORWARD and POSTROUTING chains */
    if ((info->bitmask & XT_PHYSDEV_OP_BRIDGED) &&
        (!!outdev ^ !(info->invert & XT_PHYSDEV_OP_BRIDGED)))
        return false;

对于physdev-is-in配置项,如果indev不存在,或者对于physdev-is-out配置项,如果outdev不存在,表明不匹配。

    physdev = nf_bridge_get_physindev(skb);
    indev = physdev ? physdev->name : NULL;

    if ((info->bitmask & XT_PHYSDEV_OP_ISIN &&
        (!indev ^ !!(info->invert & XT_PHYSDEV_OP_ISIN))) ||
        (info->bitmask & XT_PHYSDEV_OP_ISOUT &&
        (!outdev ^ !!(info->invert & XT_PHYSDEV_OP_ISOUT))))
        return false;

对于physdev-in配置项,如果没有开启,跳转到下一个判断(match_outdev)。否则,在入接口存在的情况下,比较入接口名称是否相符。入接口不存在的情况下,开始比较下一个physdev-out出接口。

    if (!(info->bitmask & XT_PHYSDEV_OP_IN))
        goto match_outdev;

    if (indev) {
        ret = ifname_compare_aligned(indev, info->physindev, info->in_mask);

        if (!ret ^ !(info->invert & XT_PHYSDEV_OP_IN))
            return false;
    }

对于physdev-out配置项,比较出接口名称是否相符。

match_outdev:
    if (!(info->bitmask & XT_PHYSDEV_OP_OUT))
        return true;

    if (!outdev)
        return false;

    ret = ifname_compare_aligned(outdev, info->physoutdev, info->out_mask);

    return (!!ret ^ !(info->invert & XT_PHYSDEV_OP_OUT));

内核版本 5.10

redwingz
关注
专栏目录
iptablesphysdev配置说明 --physdev-in --physdev-out --physdev-is-in --physdev-is-out
张同光 (Tongguang Zhang):Hello everyone !
07-12 4370
iptablesphysdev配置说明 --physdev-in --physdev-out --physdev-is-in --physdev-is-out
iptables支持physdev参数
李土裕的博客
05-30 2401
在配置选项network --> iptables选项对比,勾选必要选项 1、iptables 通过修改配置,physdev参数已经可以支持 2、写序列号脚本已经写好,指令为sn.sh,目前在shell命令下可以实现对15位序列号的写入以及读取,并且在线升级序列号不会丢,下一步要做的就是量产时如何批量读取序列号并调用到脚本写入。  3、隧道加密测试如何配置,以及SDK工程里面要添加哪
iptables physdev 不生效
12-23 299
physdev-in、physdev-out 不起作用_weixin_34144848的博客-CSDN博客
iptables & physdev-is-in & physdev-is-out -- net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
张同光 (Tongguang Zhang):Hello everyone !
07-12 1953
iptables & physdev-is-in & physdev-is-out -- net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
解决iptables参数-m physdev出现iptables: No chain/target/match by that name.错误
opkg list
03-02 8830
事情是这样的,我使用iptables命令出现错误: iptables -A INPUT -m physdev --physdev-in ap1_0 -j DROP iptables: No chain/target/match by that name. 解决办法: 1.iptables的match匹配是需要内核支持的,可以内核目录下make menuconfig查看选项,重点是xtabl...
physdev-in、physdev-out 不起作用
weixin_34144848的博客
05-28 682
当开启时:sysctl -w net.bridge.bridge-nf-call-iptables=1skb中存在physin和physout的接口信息,此时iptables规则可以使用-m physdev --physdev-in 和-m physdev --physdev-out去匹配物理接口。PREROUTING-MANGLE-SSH-71: IN=br-lan0 OU...
路由/桥接/iptables/VLAN
IT_Beijing_BIT的博客
07-14 1253
网络接口/路由/桥接/iptables/VLAN
iptables命令学习笔记
山不转的博客
03-23 618
NAME iptables - IPV4数据包过滤与NAT管理工具 SYNOPSIS iptables [-t table] -[AD]chain rule-specificat[options]iptables [-t table] -Ichain [rulenum] rule-specification [options]iptables [-t table] -Rchain...
新建虚拟机的安全组规则分析--iptables
Tatajizhi的专栏
09-26 3801
*filter :INPUT ACCEPT [390091:77291625] -A INPUT -j neutron-openvswi-INPUT :neutron-openvswi-INPUT - [0:0] ## 网桥接收到数据包,数据包是从 tap93cb6698-b1 这个网桥端口收到的,并且这个包是桥接过来的,未被路由过,则转到 neutron-openvswi-o93cb66
kube-proxy源码阅读(iptables实现)
八月对半
03-03 1669
Reference 文章目录1 入口2 ProxyServer创建及调用3 ProxyServer 核心调用流程3.1 func (o *Options) Run() err3.2 func (o *Options) runLoop() error3.3 func (s *ProxyServer) Run() error3.4 func (proxier *Proxier) SyncLoop()4 资源事件处理流程4.1 Service事件4.2 Endpoints事件4.3 Nodes事件4.4 func
iptables实例4-NAT转换
yuyuyuliang00的博客
02-24 1344
iptables-NAT转换 准备工作 1、desktop用于模拟外网IP:192.168.3.2 2、proxy用于连接内外网:外网IP192.168.3.3 内网IP:192.168.200.2 3、web1和web2位于内网:IP地址分别为192.168.200.3和192.168.200.4 web1和web2的默认网关都设置为192.168.200.2 ![在这里插入图片描述](https://img-blog.csdnimg.cn/de02ef2e371942b499dafca127e7d6a1
Linux系统网络参数配置和说明【linux网络配置精品】
istrangeboy&begin zero的博客
07-29 3493
Linux系统网络参数配置和说明 本文是一篇总结和说明如何配置LINUX系统的vlan及配置ip,以便于环境搭建及组网,花费了作者大量心血,希望能帮到大家!
【Linux内核】pr_fmt介绍
05-20 1673
文章目录1. pr_fmt2. 常用`pr_fmt`定义2.1. 打印模块名、函数名和行号2.2. 打印CPU号2.3. 打印线程pid和线程名2.4. 打印进程pid和进程名2.5. 打印进程pid和线程pid2.6. 大杂烩3. 常见pr_*()接口3.1. `pr_devel`和`pr_debug` 1. pr_fmt 在阅读Linux内核或其他开源代码时,在文件的开始部分,通常能看到类似如下代码。但是代码中又没有看到使用的地方。 #define pr_fmt(fmt) KBUILD_MODNAME
Linux基础命令---iptables防火墙
cjju71217的博客
03-06 657
iptables iptables 指令用来设置Linux内核的ip过滤规则以及管理nat功能。iptables用于在Linux内核中设置、维护和检查IPv4数据包过滤规则表。可以定义...
iptables:应用防火墙规则:ptables-restore: 【失败
zxl2016的博客
04-13 5571
https://blog.csdn.net/ypf1527542612/article/details/78908199 开启端口的方法: 方法一:命令行方式 1.开放端口命令:/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 8080 端口,...
linux kernel pr_info函数来源
09-10 4424
root@ubuntu:/usr/src/linux-5.0.1/arch# grep -Hrn "KERNEL supported" * Binary file x86/boot/compressed/vmlinux.bin matches x86/kernel/cpu/common.c:1141: pr_info("KERNEL supported cpus:\n"); ...
Linux: pr_emerg_ratelimited 根据速率打印log、net_warn_ratelimited
mzhan017的博客
04-06 773
这个机制是根据创建的static变量来记录 已经打印了多少次log,有没有达到burst,来判断是否打印log还是打印 “callbacks suppressed”CONFIG_HZ=1000 /// 1HZ = 1ms ////默认编译的配置。也是调用到 __ratelimit, 创建一个全局变量 net_ratelimit_state;
【DevOps】Linux 安全:iptables 组成、命令及应用场景详解
最新发布
Coder加油站的专栏
05-12 4730
在 Linux 系统中,iptables是一个非常强大的工具,它不仅是系统管理员用来构建和管理网络防火墙的首选工具,而且也是一个功能丰富的网络流量处理系统。无论是进行包过滤、监控网络流量、还是实现复杂的网络地址转换 (NAT),iptables都能提供灵活的解决方案。本文将带你深入理解iptables的组成结构,掌握其常用命令,并通过具体的使用场景展示如何在实际中应用这些知识。
iptables扩展-转发链
timedown的博客
10-27 148
win10 172.16.10.32 /24 可以访问外网​centos 172.16.10.25 /24 机器网卡问题无法访问 外网​宿主机 172.16.10.21 /24 ​1、 找到虚拟机对应的虚拟链网卡(vnic4.0)​2、 找到转发(FORWARD)链路中的对应引用(sg-default)的​172.1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值