linux 内核协议栈 ip_rcv_finish,Linux内核协议栈学习笔记(二)--netfilter框架

最新推荐文章于 2023-08-25 14:44:29 发布
最新推荐文章于 2023-08-25 14:44:29 发布
阅读量316 收藏 1
点赞数
文章标签: linux 内核协议栈 ip_rcv_finish

Linux netfilter提供了五个hook的注册点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。这五个hook点在Linux协议栈中调用之处如下:

NF_INET_PRE_ROUTING --> ip_rcv():

点击(此处)折叠或打开

return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, dev, NULL,

ip_rcv_finish)

NF_INET_LOCAL_IN  -->  ip_local_deliver():

点击(此处)折叠或打开

return NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN, skb, skb->dev, NULL,

ip_local_deliver_finish)

NF_INET_FORWARD --> ip_forward():

点击(此处)折叠或打开

return NF_HOOK(NFPROTO_IPV4, NF_INET_FORWARD, skb, skb->dev,

rt->dst.dev, ip_forward_finish);

NF_INET_LOCAL_OUT --> __ip_local_out():

点击(此处)折叠或打开

return nf_hook(NFPROTO_IPV4, NF_INET_LOCAL_OUT, skb, NULL,

skb_dst(skb)->dev, dst_output);

NF_INET_POST_ROUTING --> ip_output():

点击(此处)折叠或打开

return NF_HOOK_COND(NFPROTO_IPV4, NF_INET_POST_ROUTING, skb, NULL, dev,

ip_finish_output,

!(IPCB(skb)->flags & IPSKB_REROUTED));

内核中典型的钩子有:

点击(此处)折叠或打开

一、nf_nat_ipv4_ops

static struct nf_hook_ops nf_nat_ipv4_ops[] __read_mostly = {

/* Before packet filtering, change destination */

{

.hook        = nf_nat_ipv4_in,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_PRE_ROUTING,

.priority    = NF_IP_PRI_NAT_DST,

},

/* After packet filtering, change source */

{

.hook        = nf_nat_ipv4_out,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_POST_ROUTING,

.priority    = NF_IP_PRI_NAT_SRC,

},

/* Before packet filtering, change destination */

{

.hook        = nf_nat_ipv4_local_fn,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP_PRI_NAT_DST,

},

/* After packet filtering, change source */

{

.hook        = nf_nat_ipv4_fn,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_NAT_SRC,

},

};

二、ipv4_synproxy_ops

static struct nf_hook_ops ipv4_synproxy_ops[] __read_mostly = {

{

.hook        = ipv4_synproxy_hook,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_CONNTRACK_CONFIRM - 1,

},

{

.hook        = ipv4_synproxy_hook,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_POST_ROUTING,

.priority    = NF_IP_PRI_CONNTRACK_CONFIRM - 1,

},

};

三、ip_vs_ops

static struct nf_hook_ops ip_vs_ops[] __read_mostly = {

/* After packet filtering, change source only for VS/NAT */

{

.hook        = ip_vs_reply4,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_NAT_SRC - 2,

},

/* After packet filtering, forward packet through VS/DR, VS/TUN,

* or VS/NAT(change destination), so that filtering rules can be

* applied to IPVS. */

{

.hook        = ip_vs_remote_request4,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_NAT_SRC - 1,

},

/* Before ip_vs_in, change source only for VS/NAT */

{

.hook        = ip_vs_local_reply4,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP_PRI_NAT_DST + 1,

},

/* After mangle, schedule and forward local requests */

{

.hook        = ip_vs_local_request4,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP_PRI_NAT_DST + 2,

},

/* After packet filtering (but before ip_vs_out_icmp), catch icmp

* destined for 0.0.0.0/0, which is for incoming IPVS connections */

{

.hook        = ip_vs_forward_icmp,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_FORWARD,

.priority    = 99,

},

/* After packet filtering, change source only for VS/NAT */

{

.hook        = ip_vs_reply4,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_FORWARD,

.priority    = 100,

},

#ifdef CONFIG_IP_VS_IPV6

/* After mangle & nat fetch 2:nd fragment and following */

{

.hook        = ip_vs_preroute_frag6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_PRE_ROUTING,

.priority    = NF_IP6_PRI_NAT_DST + 1,

},

/* After packet filtering, change source only for VS/NAT */

{

.hook        = ip_vs_reply6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP6_PRI_NAT_SRC - 2,

},

/* After packet filtering, forward packet through VS/DR, VS/TUN,

* or VS/NAT(change destination), so that filtering rules can be

* applied to IPVS. */

{

.hook        = ip_vs_remote_request6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP6_PRI_NAT_SRC - 1,

},

/* Before ip_vs_in, change source only for VS/NAT */

{

.hook        = ip_vs_local_reply6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP6_PRI_NAT_DST + 1,

},

/* After mangle, schedule and forward local requests */

{

.hook        = ip_vs_local_request6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP6_PRI_NAT_DST + 2,

},

/* After packet filtering (but before ip_vs_out_icmp), catch icmp

* destined for 0.0.0.0/0, which is for incoming IPVS connections */

{

.hook        = ip_vs_forward_icmp_v6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_FORWARD,

.priority    = 99,

},

/* After packet filtering, change source only for VS/NAT */

{

.hook        = ip_vs_reply6,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV6,

.hooknum    = NF_INET_FORWARD,

.priority    = 100,

},

#endif

};

四、ipv4_conntrack_ops

static struct nf_hook_ops ipv4_conntrack_ops[] __read_mostly = {

{

.hook        = ipv4_conntrack_in,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_PRE_ROUTING,

.priority    = NF_IP_PRI_CONNTRACK,

},

{

.hook        = ipv4_conntrack_local,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_OUT,

.priority    = NF_IP_PRI_CONNTRACK,

},

{

.hook        = ipv4_helper,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_POST_ROUTING,

.priority    = NF_IP_PRI_CONNTRACK_HELPER,

},

{

.hook        = ipv4_confirm,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_POST_ROUTING,

.priority    = NF_IP_PRI_CONNTRACK_CONFIRM,

},

{

.hook        = ipv4_helper,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_CONNTRACK_HELPER,

},

{

.hook        = ipv4_confirm,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_LOCAL_IN,

.priority    = NF_IP_PRI_CONNTRACK_CONFIRM,

},

};

五、ipv4_defrag_ops

static struct nf_hook_ops ipv4_defrag_ops[] = {

{

.hook        = ipv4_conntrack_defrag,

.owner        = THIS_MODULE,

.pf        = NFPROTO_IPV4,

.hooknum    = NF_INET_PRE_ROUTING,

.priority    = NF_IP_PRI_CONNTRACK_DEFRAG,

},

{

.hook = ipv4_conntrack_defrag,

.owner = THIS_MODULE,

.pf = NFPROTO_IPV4,

.hooknum = NF_INET_LOCAL_OUT,

.priority = NF_IP_PRI_CONNTRACK_DEFRAG,

},

};

enum nf_ip_hook_priorities {

NF_IP_PRI_FIRST = INT_MIN,

NF_IP_PRI_CONNTRACK_DEFRAG = -400,

NF_IP_PRI_RAW = -300,

NF_IP_PRI_SELINUX_FIRST = -225,

NF_IP_PRI_CONNTRACK = -200,

NF_IP_PRI_MANGLE = -150,

NF_IP_PRI_NAT_DST = -100,

NF_IP_PRI_FILTER = 0,

NF_IP_PRI_SECURITY = 50,

NF_IP_PRI_NAT_SRC = 100,

NF_IP_PRI_SELINUX_LAST = 225,

NF_IP_PRI_CONNTRACK_HELPER = 300,

NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,

NF_IP_PRI_LAST = INT_MAX,

};

NF_INET_PRE_ROUTING链:

ipv4_conntrack_in(-200)  ipv4_conntrack_defrag(-400) ip_vs_preroute_frag6(-99) nf_nat_ipv4_in(100)

NF_INET_LOCAL_IN链:

ip_vs_reply4(98) ip_vs_remote_request4(99) ip_vs_reply6(98)ip_vs_remote_request6(99) ipv4_helper(300) nf_nat_ipv4_fn(100) ipv4_synproxy_hook(INT_MAX-1) ipv4_confirm(INT_MAX)

NF_INET_FORWARD链:

ip_vs_forward_icmp(99)  ip_vs_forward_icmp_v6(99) ip_vs_reply4(100) ip_vs_reply6(100)

NF_INET_LOCAL_OUT链:

ipv4_conntrack_defrag(-400) ipv4_conntrack_local(-200) nf_nat_ipv4_local_fn(-100) ip_vs_local_reply4(-99) ip_vs_local_reply6(-99)ip_vs_local_request4(-98) ip_vs_local_request6(-98)

NF_INET_POST_ROUTING链:

nf_nat_ipv4_out(100)  ipv4_helper(300)ipv4_synproxy_hook(INT_MAX-1) ipv4_confirm(INT_MAX)

netfilter框架

072d32b39377304de47de06a4b5ad9e8.png

weixin_39604092
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
send_rcv.rar_visual c
09-20
是mini2440和cc2420读写串口读写的程序
Linux内核:从底层向上分析传输层之UDP协议
01-09
这里看看数据包从IP层是如何交给传输层来处理的,为了方便,这里传输层以UDP协议为例来分析。   从ip_rcv()函数中可以看到         /*   * Pass on the datagram to each protocol that wants it,   * based on the datagram protocol.  We should really   * check the protocol handler's return values here…   */   ipprot->handler(skb2, dev, opts_p ? &opt : 0
fpga例子程序源代码-19_infrared_rcv.zip
05-26
fpga例子程序源代码
rcv.rar_linux_linux 串口_串口 linux_串口校验
09-21
linux 串口接受发送程序,有和校验功能,
netfilter/iptables简介
weixin_44260459的博客
11-22 249
netfilteriptables是什么关系?常说的iptables里面的表(table)、链(chain)、规则(rule)都是什么东西?本篇将带着这些疑问介绍netfilter/iptables的结构和相关概念,帮助有需要的同学更好的理解netfilter/iptables,为进一步学习使用iptables做准备。 什么是netfilteriptables 用通俗的话来讲: netfilter指整个项目,不然官网就不会叫www.netfilter.org了。 在这个项目里面,n
【博客587】ipvs hook在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1551
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
netfilteriptables表规则建立
王鑫宇的博客
04-02 1万+
内核的net中,iptable_nat.c iptable_filter.c iptable_mangle.c中,分别建立了3张表,供iptables规则使用。 其中filter、mangle表的建立,有自己的优选级 调用 ipt_register_table函数进行注册表; 调用xt_hook_link注册到时hook,此表可以挂到5个,那就会注册到5个hook,优先级都是一样...
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
2.6内核源码netfilter中NF_INET_PRE_ROUTING跟NF_IP_PRE_ROUTING啥关系?
王以山的专栏
09-10 3275
认真看头文件,头文件上面有说明。两者的值是一样的。NF_IP_*和NF_IP6_*都不能用在新的内核内核/内核模块要用NF_INET_*。我记得没错的话,这种转变是从2.6.25的内核开始,当时还没有NF_INET_*,全部都用NF_IP系列的。现在,NF_IP_*只是为了兼容用户程序而保留的,一般应该用NF_INET_*。你可以理解成变量换了个名字。 我知道
linux_net.pdf
06-01
linux tcp/ip分析 两台主机建立udp通信所走过的函数列表: | sys_read fs/read_write.c | sock_read net/socket.c | sock_recvmsg net/socket.c | inet_recvmsg net/ipv4/af_inet.c | udp_recvmsg net/ipv4/udp.c | ...
ip_vs 原理解析 (四)hook 后的开始 NF_INET_LOCAL_IN
mr1jie的博客
08-25 1479
本章重:k8s 如何利用 ip_vs 实现源 IP 会话亲和性。
linux内核协议栈 netfilter 之 hook 机制概述
10-29 4209
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过层的filter实现与三层及三层也上的filter实现有所不同。其中层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是filter与...
linux内核网络协议栈--linux bridge(十九)
bob的博客
06-18 4234
1 . 前言 本文是参考附录上的资料整理而成,以帮助读者更好的理解kernel中brdige 模块代码。 2. 网桥的原理 2.1 桥接的概念 简单来说,桥接就是把一台机器上的若干个网络接口“连接”起来。其结果是,其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。 交换机就是这样一个设备,它有若干个网口,并且这些网口是桥接起来的。于是,与交换机相连的若干主机就能够通过交换机的报文转发而互相通信。 如下图:主机A发送的报文被送到交换机S1的eth0口,由于eth0与eth1
linux内核netfilter模块分析之:HOOKs的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
走进Linux内核之Netfilter框架
m0_74282605的博客
03-07 1129
而 okfn 设置为 ip_rcv_finish,也就是说,当 NF_IP_PRE_ROUTING 链上的所有钩子函数都成功对数据包进行处理后,将会调用 ip_rcv_finish 函数来继续对数据包进行处理。在用户态层面,根据不同的协议类型,为上层用户提供了不同的系统调用工具,比如我们常用的针对IPv4协议iptables,IPv6 协议的ip6tables,针对ARP协议的arptables,针对网桥控制的ebtables,针对网络连接追踪的conntrack等。
Netfilter实验
Zzxy
04-30 1027
利用netfilter过滤http报文,获取POST请求中的name和password。
网络虚拟化之内核能力NetFilter
技术百宝箱
07-07 833
关键:1.网络层,也就是IP层2.有5个拦截3.NAT、IPTable Netfilter框架由著名的Linux开发人员Rusty Russell于1998年开发,旨在改进以前实现ipchains(Linux2.2.x)和ipfwadm(Linux2.0.x)。
互联网络层的内核实现[内核中的路由机制]
wangpengqi的专栏
09-09 4213
内核网络层3条线: A 主机到网络->互联网络层-->传输层: ip_rcv()   -->NF_INET_PRE_ROUTING   -->ip_rcv_finish         -->ip_route_input查找该分组路由,确定下一步处理函数ip_local_deliver              -->在内核高速路由缓冲中查找              -->在内核
linux协议栈学习
最新发布
10-05
linux协议栈学习涉及到网络协议的实现和内核源码的理解。在linux内核中,网络协议栈是由一系列网络协议层组成的,包括物理层、数据链路层、网络层、传输层和应用层。每个层次都有相应的协议和功能。 在内核网络子...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值