当前,用户空间的iptables工具的绝大多数模块都是以动态共享库so的形式。使用动态库的优点也是显而易见的:编译出来的iptables命令比较小,动态库方式使得对于iptables的扩充非常方便。如果你非要去研究一下init_extensions函数的话,那么可以在iptables源码包的extensions/Makefile文件里找点思路。这里,我不会对其进行分析。
命令行参数解析do_command()【位于iptable.c文件中】
该函数是iptables用于解析用户输入参数的核心接口函数,其函数原型为:
int do_command(int argc, char *argv[],
char **table, iptc_handle_t *handle);
argc和argv是由用户传递过来的命令行参数;
table所操作的表名,对应命令行就是-t参数后面的值,如果用户没有指定-t参数时,默认为filter表;
handle这个结构比较重要,它用于保存从内核返回的由table所指定的表的所有信息,后续对表及其其中的规则操作时都用的该变量;
前面我们在分析netfilter的时候提到过,用户空间和内核空间在表示match以及target时采用了不同的结构体定义。用户空间的match结构体定义为:
structxtables_match #define iptables_targetxtables_target
{
struct xtables_match
*next;
…
void
(*help)(void);
/*
Initialize the match. */
void
(*init)(struct
xt_entry_match *m);
…
/*
Ignore these men behind the curtain: */
unsigned
int option_offset;
struct xt_entry_match *m; #内核中的match结构
unsigned
int mflags;
…
};
该结构是iptables在加载它所支持的所有match模块的时候所用到的结构体,例如time匹配模块、iprange匹配模块等。也就是说,如果你要开发自己的用户空间match的话,那么你必须实例化上面这样一个结构体对象,然后实现它相应的方法,诸如init、help、parse等等。
真正用在我们所配置的iptables规则里的匹配条件,是由下列类型表示:
struct xtables_rule_match #define iptables_rule_match xtables_rule_match
{
struct xtables_rule_match
*next;
struct xtables_match
*match;
unsigned
int completed;
};
可以看到,xtables_rule_match是将xtables_match组织成了一个链表而已。这也正和我们的意愿,因为一条规则里有可能会有多个match条件,而在解析的时候我们只要将我们规则里所用的match通过一个指针指向iptables目前所支持的那个模块,在后面的使用过程中就可以直接调用那个match模块里的所有函数了。这样即提高的访问效率,又节约了系统内存空间。
同样的,用户空间的target也类似,留给大家自己去研究。
iptables最常用的命令格式无非就是显示帮助信息,或者操作规则,例如:
【帮助信息格式】
iptables [-[m|j|p] name ] -h显示名为name的match模块(m)、target模块(j)或协议(p)的详细帮助信息。
OK,我们以下面的规则为例,和大家探讨一下iptables对其的解析流程。
iptables –A INPUT –i eth0 –p tcp --syn –s 10.0.0.0/8
–d 10.1.28.184 –j ACCEPT
在博文三中,我们知道内核中用于表示一条规则的数据结构是struct ipt_entry{}类型,那么iptables对于输入给它的所有参数最终也要变成这样的格式。而我们在阅读iptables源码时发现,它确实在do_command()函数开始部分定义了一个struct ipt_entry fw;后面当iptables解析传递给它的输入参数时,主要做的事情,就是对该结构体相关成员变量的初始化填充。闲话不多说,let's rock。
(1)、命令控制解析:-A INPUT
iptables –A INPUT–i
eth0 –p tcp --syn –s 10.0.0.0/8 –d 10.1.28.184 –j
ACCEPT
对于“ADRILFZNXEP”这些控制命令来说,其核心处理函数为add_command()函数。
该函数主要将命令行的控制参数解析出来,然后赋值给一个位图变量command,该变量的每一位bit表示一种操作。add_command()的函数原型定义如下(iptables.c):
static
void add_command(unsigned
int *cmd, const int newcmd, const int othercmds, int invert)
参数说明:
cmd:用于保存控制参数解析结果的位图标志变量;
newcmd:用户所输入的控制变量,是一些预定义的宏,定义在iptables.c文件中,如下:
#define CMD_NONE 0x0000U
#define CMD_INSERT 0x0001U
#define CMD_DELETE 0x0002U
#define CMD_DELETE_NUM 0x0004U
#define CMD_REPLACE 0x0008U
#define CMD_APPEND 0x0010U
#define CMD_LIST 0x0020U
#define CMD_FLUSH 0x0040U
#define CMD_ZERO 0x0080U
#define CMD_NEW_CHAIN 0x0100U
#define CMD_DELETE_CHAIN 0x0200U
#define CMD_SET_POLICY 0x0400U
#define CMD_RENAME_CHAIN 0x0800U
othercmd:在上面这11个控制参数中,只有CMD_ZERO需要辅助额外参数,因为从iptables -Z chainname的执行结果来看,它最后还会输出清空后的链的实际情况。因此,当用户的iptables命令中有-Z参数时,cmd默认的会被附加一个CMD_LIST特性。其他10个控制参数时,othercmd参数均为CMD_NONE。
invert:表示命令中是否有取反标志“!”。因为这11个控制参数是没有取反操作的,因此,这个值均为FALSE(即0)。
当解析完iptables -A INPUT…后,command=0x0010U,chain=“INPUT”。然后将invert=FALSE,重新进入while循环,解析剩下的参数。
(2)、解析接口:-i eth0
iptables –A INPUT–i eth0–p tcp --syn –s 10.0.0.0/8
–d 10.1.28.184 –j ACCEPT
注意前面讲解的关于getopt_long()函数在执行过程中两个关键参数的值及其变化情况。当解析接口的时候optarg=“eth0”,optind=indexof(-p)。
check_inverse(optarg, &invert, &optind, argc);函数用于判断接口是否有取反标志,如果有取反标志,则将invert=TRUE,同时optind++,然后它指向后面的接口名,并返回TRUE;如果没有,则直接返回FALSE。
在接下来执行set_option(&options,
OPT_VIANAMEIN, &fw.ip.invflags,invert);同样的,options也是一个位图标志变量,其取值分别如下(定义在iptables.c文件中):
#define OPT_NONE 0x00000U
#define OPT_NUMERIC
0x00001U
#define OPT_SOURCE 0x00002U
#define OPT_DESTINATION 0x00004U
#define OPT_PROTOCOL 0x00008U
#define OPT_JUMP 0x00010U
#define OPT_VERBOSE 0x00020U
#define OPT_EXPANDED 0x00040U
#define OPT_VIANAMEIN 0x00080U
#define OPT_VIANAMEOUT 0x00100U
#define OPT_FRAGMENT 0x00200U
#define OPT_LINENUMBERS 0x00400U
#define OPT_COUNTERS 0x00800U
#define NUMBER_OF_OPT 12
然后根据check_inverse()函数解析出来的invert的值来设置fw.ip.invflags相应的标志位,该值也是个位图标志变量,其可取的值由全局数组inverse_for_options[]来限定(iptables.c):
static int inverse_for_options[NUMBER_OF_OPT]
=
{
/* -n */ 0,
/* -s */ IPT_INV_SRCIP, #这六个宏均定义在ip_tables.h文件中
/* -d */ IPT_INV_DSTIP,
/* -p */ IPT_INV_PROTO,
/* -j */ 0,
/* -v */ 0,
/* -x */ 0,
/* -i */ IPT_INV_VIA_IN,
/* -o */ IPT_INV_VIA_OUT,
/* -f */ IPT_INV_FRAG,
/*--line*/ 0,
/* -c */ 0,
};
执行parse_interface(argv[optind-1],fw.ip.iniface,fw.ip.iniface_mask);将接口名称赋值给fw.ip.iniface,然后再设置该接口的mask。如果接口中没有正则匹配表达式(即“+”),则mask=0xFFFFFFFF。细心的朋友到这里可能就有疑问了:接口名不是保存在optarg中么,为什么要通过argv[optind-1]来获取呢?我们简单分析对比一下:
如果是“-i eth0”,那么optarg和argv[optind-1]的值相同,大家可以通过前面我给的那个demo例子去验证一下;
如果是“-i ! eth0”,情况就不一样了。注意看代码,此时optarg=“!”,而arg[optind-1]才是真正的接口名“eth0”。
(3)、解析协议字段:-p tcp
iptables –A INPUT–i eth0–p tcp --syn –s 10.0.0.0/8
–d 10.1.28.184 –j ACCEPT
check_inverse(optarg,
&invert,
&optind, argc);检查协议字段是否有取反标志
set_option(&options,
OPT_PROTOCOL,
&fw.ip.invflags,invert);根据invert的值来设置options和fw.ip.invflags。这和前面的接口解析是类似的。
然后,将协议名称解析成对应的协议号,例如ICMP=1,TCP=6,UDP=17等等。
fw.ip.proto = parse_protocol(protocol);
因为iptables在-p参数后面支持数字格式的协议描述,因此parse_protocol()函数首先尝试去解析数字字符串,将其转换成一个0-255之间的整数。如果转换成功,则将转换结果赋值给fw.ip.proto。如果转换失败,首先检查-p后面的参数是不是“all”。如果是则直接返回,否则调用getprotobyname()函数从/etc/protocols中去解析。这里getprotobyname函数主要根据传递给它的协议名返回一个struct protoent{}结构体的对象(详见man手册)。解析成功则返回;否则,在用户自定义的结构体数组chain_protos[]中去解析,其定义如下:
static const struct pprot chain_protos[] = {
{
"tcp", IPPROTO_TCP },
{
"udp", IPPROTO_UDP },
{
"udplite", IPPROTO_UDPLITE },
{
"icmp", IPPROTO_ICMP },
{
"esp", IPPROTO_ESP },
{
"ah", IPPROTO_AH },
{
"sctp", IPPROTO_SCTP },
{
"all", 0 },
};
if
(fw.ip.proto == 0&& (fw.ip.invflags & IPT_INV_PROTO))
exit_error(PARAMETER_PROBLEM,"rule
would never match protocol");
如果协议类型为“all”并且协议字段-p后面还有取反标志,即-p
! all,表示不匹配任何协议。这样的规则是没有任何意义的,iptables也不允许这样的规则存在,因此会给出错误提示信息并退出。
(4)、解析tcp协议模块的具体控制参数:--syn
iptables –A INPUT–i eth0 –p tcp--syn –s 10.0.0.0/8
–d 10.1.28.184 –j ACCEPT
针对于--syn符号,会跳转到switch语句的default处执行。因为目前还没有解析到target,因此target=NULL。命令行中没有-m,因此matches=NULL,matchp=NULL,m=NULL。
if (m == NULL&& protocol&&
(!find_proto(protocol,
DONT_LOAD,options&OPT_NUMERIC, NULL)
||(find_proto(protocol,
DONT_LOAD,options&OPT_NUMERIC, NULL)
&& (proto_used == 0))
)
&& (m = find_proto(protocol, TRY_LOAD,options&OPT_NUMERIC,
&matches))) {
这个逻辑条件判断已经很清晰了:
如果命令行中没有-m,但是有-p,并且find_proto执行失败或者执行成功且协议本身还没有被用过proto_used=0,最后我们试图去加载so库之后再去执行find_proto。当第三执行find_proto函数时,会运行如下的代码部分,因为我们这次是以TRY_LOAD方式执行的:
#ifndef NO_SHARED_LIBS
if
(!ptr && tryload != DONT_LOAD && tryload != DURING_LOAD) {
char
path[strlen(lib_dir) + sizeof("/.so")
+ strlen(afinfo.libprefix) + strlen(name)];
sprintf(path,
"%s/libxt_%s.so", lib_dir, name);
if
(dlopen(path, RTLD_NOW)
!= NULL)
/*
Found library. If it didn't register
itself,
maybe they specified target as match. */
ptr
= find_match(name, DONT_LOAD, NULL);
以上代码会将我们的…/libxt_tcp.so库加载到当前进程的运行空间中,并导出相关环境变量,此时tcp的模块在执行dlopen时就已经被挂到xtables_matches链表中了。最后再在find_match()函数(find_proto()函数的内部其实就是调的find_match()而已)里递归的调用一次自己。
第二次递归调用自己时,首先会申请一块大小为struct
xtables_match{}的内存空间由变量clone来指向,并将tcp.so模块中的信息保存其中,并设置clone->mflags = 0。然后再申请一块大小为struct xtables_rule_match{}大小的内存空间,由变量newentry来保存,将tcp的so模块的信息赋给结构体的相关成员变量。
for (i = matches; *i; i = &(*i)->next) { #不会执行这个for循环
printf("i=%s\n",(i==NULL?"NULL":i));
if
(strcmp(name, (*i)->match->name) == 0)
(*i)->completed
= 1;
}
newentry->match = ptr; //就是前面的clone所指向的地址空间。
newentry->completed = 0;
newentry->next = NULL;
*i = newentry; #因为matches是个二级指针,因此这里的*i即*matches=newentry
return ptr; #ptr目前就保存了和tcp模块所有相关的内容,ptr最后返回去会赋给
下面的变量m
然后回到do_command()中继续执行:
/* Try loading protocol */
size_t size;
proto_used = 1;
printf("Ready to load %s's
match\n",protocol);
size = IPT_ALIGN(sizeof(struct
ipt_entry_match))+ m->size;
m->m = fw_calloc(1, size); #为内核态的xt_entry_match结构分配存储空间
m->m->u.match_size = size; #整个tcp_match的大小
strcpy(m->m->u.user.name,
m->name);
set_revision(m->m->u.user.name,m->revision);
if (m->init
!= NULL)
m->init(m->m);#调用tcp_init函数初始化内核中的match结构,主要是将xt_entry_match尾部的data数组进行初始化。对TCP来说就是将源、目的端口置为0xFFFF。这并不是重点。
opts= merge_options(opts,m->extra_opts,
&m->option_offset);
#重点是merge_options操作,将tcp_opts中的数据合并到全局变量opts中去
optind--;
continue;
#前面说过optind指向当前参数下一个紧挨着的参数的下标。目前只是完成了解析--syn的初始化工作,还并没有对--syn进行解析,因此需要optind--,然后开始解析--syn
然后程序继续执行while循环,这次依然进入default段进行处理,并进入if
(!target||…
只不过这次matches已经不为NULL,因此matchp就可以取到值,matchep即指向了tcp模块。将解析的结果赋给fw结构体的相应成员,并将代表tcp模块的iptables_match赋给m。
if (!target|| !(target->parse(c -
target->option_offset,argv, invert,&target->tflags,&fw, &target->t)))
{
for
(matchp =matches; matchp; matchp =
matchp->next) {
if
(matchp->completed)
continue;
#调用tcp模块的parse函数,即tcp_parse
if
(matchp->match->parse(c - matchp->match->option_offset,argv,
invert,
&matchp->match->mflags,&fw,
&matchp->match->m))
break;
}
m = matchp ? matchp->match : NULL;
if(m==NULL &&…) #就不会再执行这里了
… …
至此,对--syn的解析就已经完成了。
(5)、解析源、目的地址:-s
10.0.0.0/8 -d 10.1.28.184
iptables –A INPUT–i eth0 –p tcp
--syn–s10.0.0.0/8–d10.1.28.184–j ACCEPT
解析源地址:
check_inverse(optarg, &invert, &optind, argc);
set_option(&options, OPT_SOURCE, &fw.ip.invflags,invert);
shostnetworkmask= argv[optind-1];
#暂存源地址,后面要做进一步分析x.x.x.x/xx
解析目的地址:
check_inverse(optarg, &invert, &optind, argc);
set_option(&options, OPT_DESTINATION, &fw.ip.invflags,invert);
dhostnetworkmask=
argv[optind-1]; #暂存目的地址,后面要做进一步分析x.x.x.x/xx
(6)、解析target:-j ACCEPT
iptables –A INPUT–i eth0 –p tcp --syn
–s 10.0.0.0/8 –d 10.1.28.184–j ACCEPT
首先判断target字串是否合法,jumpto
= parse_target(optarg);
然后在xtables_targets全局链表里查找相应的target。因为目前只有标准target,因此最后加载libxt_standard.so库,对应的文件为libxt_standard.c。
static struct xtables_target standard_target = {
.family = AF_INET,
.name = "standard",
.version = IPTABLES_VERSION,
.size = XT_ALIGN(sizeof(int)),
.userspacesize = XT_ALIGN(sizeof(int)),
.help = standard_help,
.parse = standard_parse,
};
我们可以看到标准target(诸如ACCEPT、DROP、RETURN、QUEUE等)是没有init函数和extra_opts变量的。因此,要做的操作只有下面几个:
if (target) {
size_t size;
size = IPT_ALIGN(sizeof(struct
ipt_entry_target))+ target->size;
target->t = fw_calloc(1, size);#为内核中的xt_entry_target分配存储空间
target->t->u.target_size = size;
strcpy(target->t->u.user.name, jumpto);
set_revision(target->t->u.user.name,target->revision);
#以下操作均不执行。因为target->init和target->extra_ops都为NULL
if (target->init != NULL)
target->init(target->t);
opts = merge_options(opts,
target->extra_opts, &target->option_offset);
}
至此,对用户的命令行输入的参数就算全部解析完成了,其中:
控制参数的解析结果保存在位图变量command中;
规则参数的解析结果保存在位图变量options中;
源地址保存在临时变量shostnetworkmask中;
目的地址保存在临时变量dhostnetworkmask中;
并完成了对struct ipt_entry{}中struct ipt_ip{}结构体成员的初始化,即对fw.ip的初始化。
(7)、参数和合法性检查
如果是“ADRI”操作但是没有指定源目的地址,默认将其置为全网段0.0.0.0/0。然后,设置源目的掩码fw.ip.smsk和fw.ip.dmsk。
检查command和options的匹配性generic_opt_check(command, options)。它们的相关性由一个二维数组commands_v_options[][]来限定:
至此,所有的解析、校验工作都已完成。接下来我们将要探究,iptables如何与内核交互的问题。
未完,待续…