Linux netfilter源码分析(4)

最新推荐文章于 2021-12-29 16:41:22 发布
最新推荐文章于 2021-12-29 16:41:22 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: netfilter/iptables 文章标签: linux hook struct filter list null

四、nf_hook_ops 钩子的注册

filter表的初始化函数static int __init init(void)中除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3hook

 

4.1        nf_hook_ops数据结构 netfilter.h

struct nf_hook_ops
{
        struct list_head list;                        //链表成员
        /* User fills in from here down. */
        nf_hookfn *hook;                        //钩子函数指针
        struct module *owner;
        int pf;                                        //协议簇,对于ipv4而言,是PF_INET
        int hooknum;                                //hook类型
        /* Hooks are ordered in ascending priority. */
        int priority;                                //优先级
};

 

list成员用于维护Netfilter hook的列表。
hook成员是一个指向nf_hookfn类型的函数的指针,该函数是这个hook被调用时执行的函数。nf_hookfn同样在linux/netfilter.h中定义。
pf这个成员用于指定协议族。有效的协议族在linux/socket.h中列出,但对于IPv4我们使用协议族PF_INET

hooknum这个成员用于指定安装的这个函数对应的具体的hook类型:

        NF_IP_PRE_ROUTING    在完整性校验之后,选路确定之前
        NF_IP_LOCAL_IN        在选路确定之后,且数据包的目的是本地主机
        NF_IP_FORWARD        目的地是其它主机地数据包
        NF_IP_LOCAL_OUT        来自本机进程的数据包在其离开本地主机的过程中
        NF_IP_POST_ROUTING    在数据包离开本地主机上线之前

再看看它的初始化,仍以filter表为例

static struct nf_hook_ops ipt_ops[]
= { { { NULL, NULL }, ipt_hook, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_FILTER },
    { { NULL, NULL }, ipt_hook, PF_INET, NF_IP_FORWARD, NF_IP_PRI_FILTER },
    { { NULL, NULL }, ipt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,
                NF_IP_PRI_FILTER }
};

 

 

4.2   int nf_register_hook函数   netfilter.c

注册实际上就是在一个nf_hook_ops链表中再插入一个nf_hook_ops结构

int nf_register_hook(struct nf_hook_ops *reg)

{

      struct list_head *i;

 

      spin_lock_bh(&nf_hook_lock);

      list_for_each(i, &nf_hooks[reg->pf][reg->hooknum]) {

           if (reg->priority < ((struct nf_hook_ops *)i)->priority)

                 break;

      }

      list_add_rcu(&reg->list, i->prev);

      spin_unlock_bh(&nf_hook_lock);

 

      synchronize_net();

      return 0;

}

list_for_each 函数遍历当前待注册的钩子的协议pfHook类型所对应的链表,其首地址是&nf_hooks[reg->pf][reg->hooknum],如果当前待注册钩子的优先级小于匹配的的节点的优先级,则找到了待插入的位置,也就是说,按优先级的升序排列。

list_add_rcu把当前节点插入到查到找的适合的位置,这样,完成后,所有pf协议下的hooknum类型的钩子,都被注册到&nf_hooks[reg->pf][reg->hooknum]为首的链表当中了。

 

 

 

4.3  ipt_hook钩子函数   iptable_raw.c

注册nf_hook_ops,也就向内核注册了一个钩子函数,这些函数有ipt_hookipt_local_hookipt_route_hookipt_local_out_hook等。

前面在nf_iterate()里调用的钩子函数就是它了

下面是ipt_hook函数的定义:

static unsigned int

ipt_hook(unsigned int hook,          /* hook */

       struct sk_buff **pskb,

       const struct net_device *in,

       const struct net_device *out,

       int (*okfn)(struct sk_buff *))     /* 默认处理函数 */

{

  /* 参数&packet_filter是由注册该nf_hook_ops的表(filter)决定的,也有可能是&packet_raw */

      return ipt_do_table(pskb, hook, in, out, &packet_filter, NULL);

}

实际上是直接调用ipt_do_table(ip_tables.c)函数

接下来就是根据table里面的entry来处理数据包了

一个table就是一组防火墙规则的集合

而一个entry就是一条规则,每个entry由一系列的matches和一个target组成

一旦数据包匹配了该某个entry的所有matches,就用target来处理它

Match又分为两部份,一部份为一些基本的元素,如来源/目的地址,进/出网口,协议等,对应了struct ipt_ip,我们常常将其称为标准的match,另一部份match则以插件的形式存在,是动态可选择,也允许第三方开发的,常常称为扩展的match,如字符串匹配,p2p匹配等。同样,规则的target也是可扩展的。这样,一条规则占用的空间,可以分为:struct ipt_ip+n*match+n*target,(n表示了其个数,这里的match指的是可扩展的match部份)。
venoy4806
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 内核netfilter 源码分析
02-28
linux 内核netfilter 源码分析 的一些资料
netfilter框架概述
rondyning的博客
05-25 2697
1 Netfilter 1.1 netfilter概述 Netfilterlinux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
Linux netfilter hook源码分析(基于内核代码版本4.18.0-80)
weixin_42915431的博客
12-29 1万+
4.3(不含4.3)之前的内核版本是通过nf_register_hook来注册; 4.3-4.13之间版本,nf_register_hook里面会调用nf_register_net_hook来逐个net注册,此时可以使用这俩函数中的任一个来注册; 4.13及以上版本内核是通过nf_register_net_hook来注册,删掉了nf_register_hook函数。
nf_hook_ops 钩子的注册
甜咖啡的专栏
05-18 1152
nf_hook_ops 钩子的注册 在filter表的初始化函数static int __init init(void)中除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3个hook   1    nf_hook_ops数据结构 netfilter.h struct nf_hook_ops {         stru
linux内核netfilter模块分析之:HOOKs点的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
linux+netfilter源码分析.pdf
11-05
linux+netfilter源码分析.pdf
linux netfilter iptables 源码分析
12-27
linux netfilter iptables 源码分析及其扩展,对学些linux内核结构,linux防火墙有很大的帮助!
linux+netfilter源码分析汇编.pdf
11-04
linux+netfilter源码分析汇编.pdf
linux+netfilter源码分析[汇编].pdf
10-19
linux+netfilter源码分析[汇编].pdf
Linux netfilter 学习笔记 之二 ip 层netfilterhook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 8994
上一节分析hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
Linux内核分析 - 网络[七]:NetFilter
yoyo的专栏
07-14 1万+
内核版本:2.6.34 NetFilter在2.4.x内核中引入,成为linux平台下进行网络应用的主要扩展,不仅括防火墙的实现,还括报文的处理(如报文加密、报文分类统计等)等。 NetFilter数据结构        勾子struct nf_hook_ops[net\filter\core.c] struct nf_hook_ops { struct list_head l
linux 内核 hook函数介绍
whatday的专栏
09-23 2713
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。 先介绍一个结构体: struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,所在文件:linux/netfilter.h 定义为: typedef unsigned int nf_hookfn(unsigned int hooknu...
Linux的 Netfiler源码分析
Gdatasheet的专栏
11-25 2176
近一段时间为了熟悉Linux的 Netfiler框架,读了Linux2.4.20内核的网络安全部分的一些源代码,想与大家分享一下,希望大家多多指点!这里假设大家对Netfilter有一定的了解!代码:  Nefilter细节实现分析Netfilter定义了协议栈中的检查点和检查点上引用的数据结构以及对这些数据结引用的过程。首先看看在检查点上引用的数据结构,如图所示:      
linux网络子系统分析(五)——netfilter
whenloce的专栏
03-17 2242
目录 一、概述 二、netfilter 2.1 结构 2.2 数据抽象 2.2.1 table的表示 2.2.2 nf_hook_ops 2.3 接口 2.4 实现 2.4.1 初始化 2.4.2 table的注册 2.4.2 处理流程 一、概述 二、netfilter 2.1 结构 第一个层次时table,有四个分别时filter,nat,mangle,r...
深入Linux网络核心堆栈
超然楼
07-14 1318
|=---------------------=[ 深入Linux网络核心堆栈 ]=-----------------------=||=-----------------------------------------------------------------------=||=------------------=[ bioforge ]=--------------------=||
Linux Kernel 学习笔记10:hook函数
stone8761的专栏
06-01 1万+
(本章基于:Linux-4.4.0-37) linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。 注册注销hook函数: linux/netfilter.h 注册钩子函数: int nf_register_hook(struct nf_hook_ops *reg); 注销: void
Linux Netfilter NF_HOOK解析
zhgure的博客
07-18 4706
NF_HOOK实际是转成NF_HOOK_THRESH宏函数调用。 注意,thresh表示只执行优先级大于thresh的注册的hook回调。 NF_HOOK原型: #define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \ NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, INT_MIN) ...
linux ipsec 源码分析
最新发布
09-30
Linux IPsec是一种在Linux系统中实现IPsec(Internet协议安全)的技术。IPsec用于保护网络通信的机密性、完整性和真实性。对于问题要求的源码分析,以下是我可以提供的300字回答。 Linux IPsec的主要源码位于内核的网络协议栈中,其实现主要以C语言编写。在分析IPsec源码时,需要关注以下几个关键组件和函数: 1. XFRM框架:XFRM是Linux内核中的IPsec子系统,负责安全策略和转发规则的管理。它的源码位于`net/netfilter/xfrm`目录下。通过分析XFRM的源码,可以了解IPsec中安全策略和变换规则的创建、更新和删除过程,并可以了解与XFRM相关的数据结构和算法。 2. IPSec SA和SP:IPsec安全关联(SA)和安全策略(SP)是IPsec实现的核心概念。SA用于描述两个网络节点之间的安全通信参数,SP用于定义哪些数据需要进行IPsec保护。在源码中,SA和SP的创建和管理涉及相关数据结构和算法,可以在XFRM源码中找到它们的实现。 3. 加密算法和哈希算法:IPsec中使用的加密和哈希算法在Linux内核中也有实现。可以在`crypto`目录中找到它们的源码分析加密算法和哈希算法的源码可以了解其实现细节和性能特征,并验证其安全性和可靠性。 4. 网络协议栈:IPsec是在网络协议栈中实现的,因此对内核网络协议栈的源码分析也是重要的。网络协议栈的源码位于`net`目录下。可以通过分析协议栈的源码,了解IPsec与其他网络层协议(如IP、TCP和UDP)之间的交互过程,以及数据的处理流程。 综上所述,分析Linux IPsec的源码需要关注XFRM框架、IPSec SA和SP、加密算法和哈希算法,以及网络协议栈。通过深入研究这些关键组件和函数的源码,可以更好地理解IPsec在Linux系统中的实现原理和工作机制。同时,这也为我们在实际应用中使用和调试IPsec提供了有价值的参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值