linux Netfilterr中扩展match target

最新推荐文章于 2022-07-18 19:43:18 发布
最新推荐文章于 2022-07-18 19:43:18 发布
阅读量144 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/codestack/p/10850665.html
版权

Match:

netfilter定义了一个通用的match数据结构struct xt_match



/*
每个struct xt_match代表一个扩展match,netfilter中各个扩展match自己定义自己的匹配参数数据结构,自己实现匹配函数
*/
struct xt_match {
    struct list_head list;
//match名字,和iptables配置的-m参数相同
    const char name[XT_EXTENSION_MAXNAMELEN];
    u_int8_t revision;

    /* Return true or false: return FALSE and set *hotdrop = 1 to
           force immediate packet drop. */
    /* Arguments changed since 2.6.9, as this must now handle
       non-linear skb, using skb_header_pointer and
       skb_ip_make_writable. *///规则匹配函数
    bool (*match)(const struct sk_buff *skb,
              struct xt_action_param *);

    /* Called when user tries to insert an entry of this type. */
    int (*checkentry)(const struct xt_mtchk_param *);/* 匹配函数入参检查函数 */

    /* Called when entry of this type deleted. */
    void (*destroy)(const struct xt_mtdtor_param *);
#ifdef CONFIG_COMPAT
    /* Called when userspace align differs from kernel space one */
    void (*compat_from_user)(void *dst, const void *src);
    int (*compat_to_user)(void __user *dst, const void *src);
#endif
    /* Set this to THIS_MODULE if you are a module, otherwise NULL */
    struct module *me;

    const char *table;
    unsigned int matchsize;//match的自定义数据长度
#ifdef CONFIG_COMPAT
    unsigned int compatsize;
#endif
    unsigned int hooks;
    unsigned short proto;

    unsigned short family;
};

每个struct xt_match代表一个扩展matchnetfilter中各个扩展match自己定义自己的匹配参数数据结构,自己实现匹配函数。

netfilter中,每个扩展match 被注册到全局变量xt管理的match链表上,可根据match的名字来找到相应的struct xt_match

用户使用-m 来配置的扩展match下发给内核,在内核中以struct xt_entry_match数据结构来存储,该结构后紧跟着存储着扩展match自定义的匹配参数数据。

Match的基本处理流程

1、取到rule中存储的xt_entry_match,这里记录着iptables下发给内核的值,同时找到内核中注册的xt_match,从xt_match里找到相应的match函数.

2、根据xt_entry_match中记录的配置值初始化xt_match_param,

3、把报文和xt_match_param传给match函数进行匹配处理。

 

int xt_register_match(struct xt_match *match)
{
    u_int8_t af = match->family;

    mutex_lock(&xt[af].mutex);
//加入Netfilter管理的全局Match链表上
    list_add(&match->list, &xt[af].match);
    mutex_unlock(&xt[af].mutex);
    return 0;
}

 

Target:

 

 

 
struct xt_standard_target {
    struct xt_entry_target target;
/*verdict 可以是指定返回值,也可以是goto到下一个rule的偏移量,
也可以是queue的队列号。
*/
    int verdict;
};
/*
 如果struct xt_entry->target 值为空,表示是标准target,根据verdict值来处理报文。
如果struct xt_entry->target不为空,表示不是标准target,就使用target的target函数返回值来处理报文
*/

 

转载于:https://www.cnblogs.com/codestack/p/10850665.html

weixin_30347009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PowerShellmatch命令使用详解
09-21
本文给大家介绍的是PowerShellmatch命令的使用方法和具体的示例,非常的简单实用,有需要的小伙伴可以参考下
Linux2.6.18.8内核netfilter分析
J.H.Z的专栏
03-03 1213
参考:http://bbs.driverdevelop.com/read.php?tid-101363.html 在2.6.16内核的netfilter,netfilter一个重大修正思想就是将netfilter作为一个协议无关的框架,表现在内核结构树单独建立net/netfilter目录,而在以前netfilter是附着在各个协议目录之下的,如在net/ipv4, net/ipv6等目录下。   内核2.6.18.8 的 linux/netfilter/x_tables.h 定义了 struc
Netfilter之table、rule、matchtarget数据结构
九天小哥的专栏
03-24 1325
表、规则、匹配和target在内核都有其对应的数据结构,在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及它们之间的关系。 如标题,这篇笔记记录的内容针对的是PF_INET协议族,对于PF_INET6,相同概念对应的数据结构并不相同。 数据结构 struct net 如下,每个协议族有一个自己的链表,用来组织该协议族的表。 struct net { ... #ifdef CONFIG_...
netfiltermatchtarget
fengcai_ke的博客
07-18 630
netfilter matchtarget
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 750
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
Linux netfilter 学习笔记 之三 ip层netfilter的table、rule、matchtarget结构分析
热门推荐
lickylin的专栏
06-22 1万+
上一节分析了ip层hook回调函数的注册以及调用流程,本节我们就开始分析每一个模块的具体实现。 工欲善其事必先利其器,一个功能模块的代码实现与其数据结构的设计有很大的关系,所以我们本节主要是分析table、rule、matchtarget相关的数据结构,争取本节能把数据结构的定义以及数据结构之间的关系分析明了。   在分析table、rule、matchtarget之前,先把它们之间的联系
深入了解javascript的exec与match方法
01-31
一直以来对exec和match方法的区别有些混淆,今天重看帮助文档(帮助文档主要依据一些晦涩的例子佐证,无助于理解),然后在百度搜集了下一些介绍文章,其下面一篇文章(楼兰之风...的《彻底领悟javascript的...
javascriptmatch函数的用法小结
10-26
本篇文章主要是对javascriptmatch函数的用法进行了详细的总结介绍,需要的朋友可以过来参考下,希望对大家有所帮助
elasticsearchterm与match的区别讲解
08-26
今天小编就为大家分享一篇关于elasticsearchterm与match的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Linux netfilter 学习笔记 之十五 netfilter模块添加一个match
lickylin的专栏
07-24 7258
通过这段时间的学习,基本上熟悉了netfilter模块,为了进一步加深对netfilter的认识以及理解iptables与netfilter的联系,准备添加一个match模块。   在看到网关产品会有一个公网限制的功能,就想着添加一个公网数目限制的功能。   该模块实现的功能, 通过该match我们可以设置能够通过网关上网的数目,要想进行公网限制,就需要根据mac地址进行限制操作,这个模块
解析Linux下Netfilter & iptables:开发一个match模块
chengfangang的专栏
03-19 4923
http://www.bairimeng.net/2012/11/27/netfilter_iptables_matc/ 一、说明 最近的项目需要软件组基于Netfilter和iptables开发Linux内核模块,以完成一系列防火墙功能,说白了防火墙就是过滤规则。 为了熟悉Netfilter和iptables的开发,于是开发过程写下这篇笔记,以达到温故知新的作用。 (盗图自
xt_register_match将某个xt_match注册的过程
sidemap的博客
11-28 1273
=========================以下内核tcp match module================================= static struct xt_match tcpudp_mt_reg[] __read_mostly = { { .name = "tcp", .family = NFPROTO_IP...
iptables match模块扩展 数据传递(用户空间 -> 内核空间)
sidemap的博客
11-13 1437
大致过程: 首先,通过iptables命令将使用扩展模块的相关策略添加。例如:iptables -t mangle -A OUTPUT -p icmp -m pktsiz --size 100:200 -j DROP 其次,当接收到网络数据,内核对相关协议(IPV4)相关表(mangle)相关链(OUTPUT)..扩展模块(pktsize)进行匹配,对符合规则的进行相关的动作。 实装过程: ...
linux内核协议栈 netfilter 之 ip 层的table、rule、matchtarget结构分析
10-30 1954
在使用iptables过程,经常会提到table、rule、matchtarget,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、matchtarget 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
builtins.RuntimeError: input and target shapes do not match: input [16 x 1], target [16] at c:\users
qq_42727868的博客
04-08 1534
builtins.RuntimeError: input and target shapes do not match: input [16 x 1], target [16] at c:\users\administrator\downloads\new-builder\win-wheel\pytorch\aten\src\thnn\generic/MSECriterion.c:13 answe...
Linux netfilter源码分析(6)
venoy4806的专栏
01-06 914
转贴自:http://alexanderlaw.blog.hexun.com/8968944_d.html 六、 扩展match 6.1 do_match函数  ip_tables.cdo_match通过IPT_MATCH_ITERATE宏来调用, IPT_MATCH_ITERATE是在ipt_do_table函数调用的宏IPT_MATCH_ITERATE(
Pytorch 学习(2):神经网络及训练一个分类器(cifar10_tutorial的网络结构图)
段智华的博客
08-11 4477
Pytorch 学习(2):神经网络及训练一个分类器(cifar10_tutorial的网络结构图) 本文代码来自Pytorch官网入门教程,相关内容可以从Pytorch官网学习。 cifar10_tutorial的网络结构图: neural_networks_tutorial.py # -*- coding: utf-8 -*- """ 神经网络 ===============...
Netfilter之table、rule、matchtarget的组织管理
九天小哥的专栏
05-26 979
在上一篇笔记Netfilter之table、rule、matchtarget数据结构,看到了内核对这些对象的定义,这篇笔记记录了内核对这些数据结构的组织,以及一些相关的核心函数分析。设计的代码文件主要有: 代码路径 说明 /net/netfilter/x_tables.c netfilter框架对table、matchtarget的核心实现 1. table的管理 如下,...
EXCELmatch函数都条件match
最新发布
05-10
ExcelMATCH函数用于查找某个值在一列或一行的位置,并返回其相对位置或绝对位置。MATCH函数有两种类型:条件MATCH和精确MATCH。条件MATCH根据指定的条件查找匹配项,而精确MATCH要求查找值与数据区域的值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值