iptables匹配physdev

最新推荐文章于 2024-05-12 06:30:00 发布
最新推荐文章于 2024-05-12 06:30:00 发布
阅读量1.9k 收藏 7
点赞数
分类专栏: netfilter防火墙 文章标签: iptables bridge
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/124392500
版权
本文详细解读iptables的physdevmatch模块,涉及输入输出接口匹配、网桥流量控制规则,以及在不同链路的使用限制。重点讲解了如何配置匹配由网桥发出和子接口发送的报文,以及注意事项和br_netfilter模块的依赖。
摘要由CSDN通过智能技术生成

physdev匹配帮助信息如下。

# iptables -m physdev -h

physdev match options:
 [!] --physdev-in inputname[+]          bridge port name ([+] for wildcard)
 [!] --physdev-out outputname[+]        bridge port name ([+] for wildcard)
 [!] --physdev-is-in                    arrived on a bridge device
 [!] --physdev-is-out                   will leave on a bridge device
 [!] --physdev-is-bridged               it's a bridged packet

–physdev-in 匹配报文入方向虚拟网桥的物理接口名称,最后的字符+匹配随后的任何字符。
–physdev-out 匹配报文出方向虚拟网桥的物理接口名称。
–physdev-is-in 匹配由网桥接收到的报文,
–physdev-is-out 匹配由网桥发送的报文。
–physdev-is-bridged 匹配在网桥内部中转发的报文,仅在FORWARD和POSTROUTING点有效。

如下配置策略,匹配由网桥发出,并且由网桥子接口ens39发出的报文。

# ip link add br0 type bridge
# ip link set ens39 master br0
#
# iptables -A FORWARD -m physdev --physdev-is-out --physdev-out ens39 -j ACCEPT    
# 
# iptables -L -n -v

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            PHYSDEV match --physdev-is-out --physdev-out ens39

physdev匹配

函数xt_register_matche注册匹配结构physdev_mt_reg。

static struct xt_match physdev_mt_reg __read_mostly = {
    .name       = "physdev",
    .revision   = 0,
    .family     = NFPROTO_UNSPEC,
    .checkentry = physdev_mt_check,
    .match      = physdev_mt,
    .matchsize  = sizeof(struct xt_physdev_info),
    .me         = THIS_MODULE,
};

static int __init physdev_mt_init(void)
{
    return xt_register_match(&physdev_mt_reg);

配置项检查函数,首先判断是否为以上定义的5种配置选项(XT_PHYSDEV_OP_MASK);其次,对于配置项–physdev-out和–physdev-is-out,仅支持在FORWARD和POSTROUTING点配置,但是,只有在配置OUTPUT链时,出错并提示以下错误,对于INPUT和PREROUTING可配置成功,没有告警。

# iptables -t mangle -A OUTPUT -m physdev --physdev-out ens39 -j ACCEPT
#
# dmesg | tail
[2712782.456829] Bridge firewalling registered
[2712850.494235] xt_physdev: --physdev-out and --physdev-is-out only supported in the FORWARD and POSTROUTING chains with bridged traffic

另外,此功能需要br_netfilter内核模块。

static int physdev_mt_check(const struct xt_mtchk_param *par)
{
    const struct xt_physdev_info *info = par->matchinfo;
    static bool brnf_probed __read_mostly;

    if (!(info->bitmask & XT_PHYSDEV_OP_MASK) ||
        info->bitmask & ~XT_PHYSDEV_OP_MASK)
        return -EINVAL;
    if (info->bitmask & (XT_PHYSDEV_OP_OUT | XT_PHYSDEV_OP_ISOUT) &&
        (!(info->bitmask & XT_PHYSDEV_OP_BRIDGED) || info->invert & XT_PHYSDEV_OP_BRIDGED) &&
        par->hook_mask & (1 << NF_INET_LOCAL_OUT)) {
        pr_info_ratelimited("--physdev-out and --physdev-is-out only supported in the FORWARD and POSTROUTING chains with bridged traffic\n");
        return -EINVAL;
    }
    if (!brnf_probed) {
        brnf_probed = true;
        request_module("br_netfilter");
    }

匹配函数physdev_mt如下,首先,判断网桥信息是否存在,在报文经过NF_BR_PRE_ROUTING时将创建此结构(br_nf_pre_routing)。如果网桥信息不存在,并且没有配置取反操作,返回不匹配。否则,匹配。

static bool
physdev_mt(const struct sk_buff *skb, struct xt_action_param *par)
{
    const struct xt_physdev_info *info = par->matchinfo;
    const struct net_device *physdev;
    unsigned long ret;
    const char *indev, *outdev;

    /* Not a bridged IP packet or no info available yet:
     * LOCAL_OUT/mangle and LOCAL_OUT/nat don't know if
     * the destination device will be a bridge. */
    if (!nf_bridge_info_exists(skb)) {
        /* Return MATCH if the invert flags of the used options are on */
        if ((info->bitmask & XT_PHYSDEV_OP_BRIDGED) &&
            !(info->invert & XT_PHYSDEV_OP_BRIDGED))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_ISIN) &&
            !(info->invert & XT_PHYSDEV_OP_ISIN))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_ISOUT) &&
            !(info->invert & XT_PHYSDEV_OP_ISOUT))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_IN) &&
            !(info->invert & XT_PHYSDEV_OP_IN))
            return false;
        if ((info->bitmask & XT_PHYSDEV_OP_OUT) &&
            !(info->invert & XT_PHYSDEV_OP_OUT))
            return false;
        return true;
    }

这里网桥信息存在,表明报文由网桥子接口进入,如果出接口不是网桥的子接口,对于physdev-is-bridged网桥转发选项,不匹配。

    physdev = nf_bridge_get_physoutdev(skb);
    outdev = physdev ? physdev->name : NULL;

    /* This only makes sense in the FORWARD and POSTROUTING chains */
    if ((info->bitmask & XT_PHYSDEV_OP_BRIDGED) &&
        (!!outdev ^ !(info->invert & XT_PHYSDEV_OP_BRIDGED)))
        return false;

对于physdev-is-in配置项,如果indev不存在,或者对于physdev-is-out配置项,如果outdev不存在,表明不匹配。

    physdev = nf_bridge_get_physindev(skb);
    indev = physdev ? physdev->name : NULL;

    if ((info->bitmask & XT_PHYSDEV_OP_ISIN &&
        (!indev ^ !!(info->invert & XT_PHYSDEV_OP_ISIN))) ||
        (info->bitmask & XT_PHYSDEV_OP_ISOUT &&
        (!outdev ^ !!(info->invert & XT_PHYSDEV_OP_ISOUT))))
        return false;

对于physdev-in配置项,如果没有开启,跳转到下一个判断(match_outdev)。否则,在入接口存在的情况下,比较入接口名称是否相符。入接口不存在的情况下,开始比较下一个physdev-out出接口。

    if (!(info->bitmask & XT_PHYSDEV_OP_IN))
        goto match_outdev;

    if (indev) {
        ret = ifname_compare_aligned(indev, info->physindev, info->in_mask);

        if (!ret ^ !(info->invert & XT_PHYSDEV_OP_IN))
            return false;
    }

对于physdev-out配置项,比较出接口名称是否相符。

match_outdev:
    if (!(info->bitmask & XT_PHYSDEV_OP_OUT))
        return true;

    if (!outdev)
        return false;

    ret = ifname_compare_aligned(outdev, info->physoutdev, info->out_mask);

    return (!!ret ^ !(info->invert & XT_PHYSDEV_OP_OUT));

内核版本 5.10

redwingz
关注
专栏目录
iptablesphysdev配置说明 --physdev-in --physdev-out --physdev-is-in --physdev-is-out
张同光 (Tongguang Zhang):Hello everyone !
07-12 4377
iptablesphysdev配置说明 --physdev-in --physdev-out --physdev-is-in --physdev-is-out
iptables支持physdev参数
李土裕的博客
05-30 2401
在配置选项network --> iptables选项对比,勾选必要选项 1、iptables 通过修改配置,physdev参数已经可以支持 2、写序列号脚本已经写好,指令为sn.sh,目前在shell命令下可以实现对15位序列号的写入以及读取,并且在线升级序列号不会丢,下一步要做的就是量产时如何批量读取序列号并调用到脚本写入。  3、隧道加密测试如何配置,以及SDK工程里面要添加哪
iptables physdev 不生效
12-23 299
physdev-in、physdev-out 不起作用_weixin_34144848的博客-CSDN博客
iptables & physdev-is-in & physdev-is-out -- net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
张同光 (Tongguang Zhang):Hello everyone !
07-12 1954
iptables & physdev-is-in & physdev-is-out -- net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
解决iptables参数-m physdev出现iptables: No chain/target/match by that name.错误
opkg list
03-02 8834
事情是这样的,我使用iptables命令出现错误: iptables -A INPUT -m physdev --physdev-in ap1_0 -j DROP iptables: No chain/target/match by that name. 解决办法: 1.iptables的match匹配是需要内核支持的,可以内核目录下make menuconfig查看选项,重点是xtabl...
physdev-in、physdev-out 不起作用
weixin_34144848的博客
05-28 682
当开启时:sysctl -w net.bridge.bridge-nf-call-iptables=1skb中存在physin和physout的接口信息,此时iptables规则可以使用-m physdev --physdev-in 和-m physdev --physdev-out去匹配物理接口。PREROUTING-MANGLE-SSH-71: IN=br-lan0 OU...
路由/桥接/iptables/VLAN
IT_Beijing_BIT的博客
07-14 1255
网络接口/路由/桥接/iptables/VLAN
iptables命令学习笔记
山不转的博客
03-23 620
NAME iptables - IPV4数据包过滤与NAT管理工具 SYNOPSIS iptables [-t table] -[AD]chain rule-specificat[options]iptables [-t table] -Ichain [rulenum] rule-specification [options]iptables [-t table] -Rchain...
新建虚拟机的安全组规则分析--iptables
Tatajizhi的专栏
09-26 3801
*filter :INPUT ACCEPT [390091:77291625] -A INPUT -j neutron-openvswi-INPUT :neutron-openvswi-INPUT - [0:0] ## 网桥接收到数据包,数据包是从 tap93cb6698-b1 这个网桥端口收到的,并且这个包是桥接过来的,未被路由过,则转到 neutron-openvswi-o93cb66
kube-proxy源码阅读(iptables实现)
八月对半
03-03 1671
Reference 文章目录1 入口2 ProxyServer创建及调用3 ProxyServer 核心调用流程3.1 func (o *Options) Run() err3.2 func (o *Options) runLoop() error3.3 func (s *ProxyServer) Run() error3.4 func (proxier *Proxier) SyncLoop()4 资源事件处理流程4.1 Service事件4.2 Endpoints事件4.3 Nodes事件4.4 func
iptables实例4-NAT转换
yuyuyuliang00的博客
02-24 1348
iptables-NAT转换 准备工作 1、desktop用于模拟外网IP:192.168.3.2 2、proxy用于连接内外网:外网IP192.168.3.3 内网IP:192.168.200.2 3、web1和web2位于内网:IP地址分别为192.168.200.3和192.168.200.4 web1和web2的默认网关都设置为192.168.200.2 ![在这里插入图片描述](https://img-blog.csdnimg.cn/de02ef2e371942b499dafca127e7d6a1
Linux系统网络参数配置和说明【linux网络配置精品】
istrangeboy&begin zero的博客
07-29 3504
Linux系统网络参数配置和说明 本文是一篇总结和说明如何配置LINUX系统的vlan及配置ip,以便于环境搭建及组网,花费了作者大量心血,希望能帮到大家!
【Linux内核】pr_fmt介绍
05-20 1686
文章目录1. pr_fmt2. 常用`pr_fmt`定义2.1. 打印模块名、函数名和行号2.2. 打印CPU号2.3. 打印线程pid和线程名2.4. 打印进程pid和进程名2.5. 打印进程pid和线程pid2.6. 大杂烩3. 常见pr_*()接口3.1. `pr_devel`和`pr_debug` 1. pr_fmt 在阅读Linux内核或其他开源代码时,在文件的开始部分,通常能看到类似如下代码。但是代码中又没有看到使用的地方。 #define pr_fmt(fmt) KBUILD_MODNAME
Linux基础命令---iptables防火墙
cjju71217的博客
03-06 657
iptables iptables 指令用来设置Linux内核的ip过滤规则以及管理nat功能。iptables用于在Linux内核中设置、维护和检查IPv4数据包过滤规则表。可以定义...
iptables:应用防火墙规则:ptables-restore: 【失败
zxl2016的博客
04-13 5577
https://blog.csdn.net/ypf1527542612/article/details/78908199 开启端口的方法: 方法一:命令行方式 1.开放端口命令:/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 8080 端口,...
linux kernel pr_info函数来源
09-10 4428
root@ubuntu:/usr/src/linux-5.0.1/arch# grep -Hrn "KERNEL supported" * Binary file x86/boot/compressed/vmlinux.bin matches x86/kernel/cpu/common.c:1141: pr_info("KERNEL supported cpus:\n"); ...
Neutron印象8: OpenStack中的防火墙
jincm的专栏
08-20 1984
OpenStack中的防火墙 ( by quqi99 ) 作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则建立的,它告诉内
Linux: pr_emerg_ratelimited 根据速率打印log、net_warn_ratelimited
mzhan017的博客
04-06 776
这个机制是根据创建的static变量来记录 已经打印了多少次log,有没有达到burst,来判断是否打印log还是打印 “callbacks suppressed”CONFIG_HZ=1000 /// 1HZ = 1ms ////默认编译的配置。也是调用到 __ratelimit, 创建一个全局变量 net_ratelimit_state;
【DevOps】Linux 安全:iptables 组成、命令及应用场景详解
最新发布
Coder加油站的专栏
05-12 4823
在 Linux 系统中,iptables是一个非常强大的工具,它不仅是系统管理员用来构建和管理网络防火墙的首选工具,而且也是一个功能丰富的网络流量处理系统。无论是进行包过滤、监控网络流量、还是实现复杂的网络地址转换 (NAT),iptables都能提供灵活的解决方案。本文将带你深入理解iptables的组成结构,掌握其常用命令,并通过具体的使用场景展示如何在实际中应用这些知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值