Ethernet Bridge Netfilter框架及Data Path分析

最新推荐文章于 2025-03-05 22:00:02 发布
最新推荐文章于 2025-03-05 22:00:02 发布
阅读量3.5k 收藏 27
点赞数 2
分类专栏: 路由器 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45254661/article/details/104931627
版权

1. Netfilter简介

​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。

​ netfilter的架构就是在数据包在通过网络协议栈的若干位置放置了一些检测点(HOOKS),不同防火墙功能的子模块通过netfilter框架提供的API注册相应的HOOK回调函数,并在回调函数中实现对数据包的过滤、解包修改后重新打包等操作。已注册的HOOK回调函数会在数据包流经netfilter框架HOOK点时被系统自动调用执行。

2. Ethernet Bridge 的Netfilter框架

​ 计算机网络的五层协议体系结构中,网络层(IP层)和数据链路层的防火墙功能都是基于netfilter框架实现。分别对应着上层应用配置工具iptables和ebtables。本章节主要介绍Ethernet Bridge的Netfilter(本文简称EB-NF)框架及其实现原理。

2.1 EB-NF的HOOK点

​ 从linux的网桥代码中,我们可以看到Ethernet Bridge的Netfilter框架有6个HOOK点,分别为BROUTING、PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。其中BROUTING是网桥独有的,且不是通过调用netfilter框架的register函数来进行钩子的回调注册。

/* Bridge Hooks */
/* After promisc drops, checksum checks. */
#define NF_BR_PRE_ROUTING	0
/* If the packet is destined for this box. */
#define NF_BR_LOCAL_IN		1
/* If the packet is destined for another interface. */
#define NF_BR_FORWARD		2
/* Packets coming from a local process. */
#define NF_BR_LOCAL_OUT		3
/* Packets about to hit the wire. */
#define NF_BR_POST_ROUTING	4
/* Not really a hook, but used for the ebtables broute table */
#define NF_BR_BROUTING		5
#define NF_BR_NUMHOOKS		6

​ 基于这6个HOOK点我们可以描绘出EB-NF大致框架为如下:

在这里插入图片描述

2.2 EB-NF框架/ebtable命令中的常用关键名词

2.2.1 链(CHAINS)

​ Linux内核ebtables模块中包含有3个表,每个表默认包含有多条链。表是用于把不同组的防火墙规则划分为不同功能。而不同组的规则我们称之为链。每一条链都由一组有序的防火墙规则组成,用于对以太帧的处理。每一条规则都指定了对“命中”匹配条件的数据帧的处理办法,该处理方法称之为“target”。当以太帧没有匹配到当前的防火墙规则时,则会尝试匹配链中的下一条规则,如此类推。Ebtables模块中默认有6个链和上文的HOOKS对应。除此之外,用户还可以自定义新的链。用户自定义的链在上层可通过在默认链中添加防火墙规则在规则匹配时跳转到自定义链进行规则匹配。

2.2.2 目标(TARGETS)

​ 一条防火墙规则需要指定一条执行目标。执行目标(TARGETS)可以是以下:

​ (1) ACCEPT(让以太帧通过此链)

​ (2) DROP (丢弃该以太帧)

​ (3) CONTINUE (检查同一条链的下一条规则,一般用于统计通过该条链的流量)

​ (4) RETURN (停止检查该条链的余下规则,检查调用该条链的上一条链的下一条规则)

​ (5) “TARGET EXTENSION”(扩展的执行目标,如 –mark-set等)

​ (6) 跳转到自定义的链进行规则匹配。

​ 另外,BROUTING链中ACCEPT和DROP的意思会不太一样,ACCEPT表示以太帧进入转发处理流程,DROP表示以太帧进入本地路由的处理流程。

2.2.3 表(TABLES)

​ 如前面所说,ebtables模块按功能划分为3个表,分别为如下:

​ (1) filter表

​ filter表是上层ebtables应用程序默认操作的表,它包含有3个链,分别为INPUT链(数据帧的目的地址是网桥本身)、OUTPUT链(针对本地生成和桥接路由的数据帧)、FORWARD链(被网桥转发的数据帧)。

​ (2) nat表

​ nat表一般用于修改以太帧的mac地址,同样,它也包含有3个链,分别为PREROUTING链(当接收到以太帧时立即修改数据帧)、OUTPUT链(修改本地生成和桥接路由的数据帧,在它们桥接前 )、POSTROUTING链。

​ 注意:Ebtables中PREROUTING链和POSTROUTING链的名称是由基于IP层协议的iptables引申过来。在数据链路层中,实际命名为PREFORWARDING和POSTFORWARDING会理解得更加准确。

​ (3) Broute表

​ Broute表用于支持网桥路由的设备。它只有一个BROUTING链。处于forwarding状态的以太帧进入网桥设备后首先通过的就是BROUTING链,经过BROUTING后才决定数据包是进入网桥转发处理流程还是本地路由处理流程。大部分时候,这些数据帧都是会被进行网桥转发,我们可以在BROUTING链中添加防火墙规则让它进行本地路由。另外,处于混杂模式的网桥设备,数据包除了会进行网桥转发外还会克隆一份skb进行本地路由。

2.3 EB-NF框架中“表-链-规则”的关系

​ 如上文提到,不同“表”代表着不同防火墙功能模块,每个表可以有多条链,一条链由一组有序的防火墙规则组成,一条防火墙规则包含匹配条件和执行目标。其关系图如下所示:
在这里插入图片描述

2.4 EB-NF框架中“表-链-规则”的内核源代码实现

​ EB-NF框架的源代码在”$(kernel_sourcetree_top)/net/bridge/nefilter/”目录下。其中前文提到的ebtables模块中3张表分别对应着ebtables_broute.c、ebtables_filter.c、以及ebtables_nat.c。

​ 以下ebtables_filter.c为例进行分析。

2.4.1 Ebtables 模块 “表-链-规则”的初始化创建过程

​ Ebtable模块的表的数据结构体为struct ebt_table:

struct ebt_table {
   
	struct list_head list;
	char name[EBT_TABLE_MAXNAMELEN];
	struct ebt_replace_kernel *table;
	unsigned int valid_hooks;
	rwlock_t lock;
	/* e.g. could be the table explicitly only allows certain
	 * matches, targets, ... 0 == let it in */
	int (*check)(const struct ebt_table_info *info,
	   unsigned int valid_hooks);
	/* the data used by the kernel */
	struct ebt_table_info *private;
	struct module *me;
};

​ 内核启动的时候Ebtable的filter表通过ebt_register_table()函数注册到netfilter子系统。

static int __net_init frame_filter_net_init(struct net *net)
{
   
	net->xt.frame_filter = ebt_register_table(net, &frame_filter);
	return PTR_ERR_OR_ZERO(net->xt.frame_filter);
}

​ 该表命名为“filter”。默认有3个chains,分别命令为“INPUT”、“FORWARD”、“OUTPUT”,分别和BR_NF的6个钩子中的NF_BR_LOCAL_IN、NF_BR_FORWARD、NF_BR_LOCAL_OUT对应。

#define FILTER_VALID_HOOKS ((1 << NF_BR_LOCAL_IN) | (1 << NF_BR_FORWARD) | \
   (1 << NF_BR_LOCAL_OUT))

static struct ebt_entries initial_chains[] = {
     // filter表初始化的3个链
	{
   
		.name	= "INPUT",
		.policy	= EBT_ACCEPT,
	},
	{
   
		.name	= "FORWARD",
		.policy	= EBT_ACCEPT,
	},
	{
   
		.name	= "OUTPUT",
		.policy	= EBT_ACCEPT,
	},
};

static struct ebt_replace_kernel initial_table = {
   
	.name		= "filter",
	.valid_hooks	= FILTER_VALID_HOOKS,
	.entries_size	= 3 * sizeof(struct ebt_entries),
	.hook_entry	= {
   
		[NF_BR_LOCAL_IN]	= &initial_chains[0],
		[NF_BR_FORWARD]		= &initial_chains[1],
		[NF_BR_LOCAL_OUT]	= &initial_chains[2],
	},
	.entries	= (char *)initial_chains,
};

static const struct ebt_table frame_filter = {
   
	.name		= "filter",  //表的名称为“filter”
	.table		= &initial_table,
	.valid_hooks	= FILTER_VALID_HOOKS,
	.check		= check,
	.me		= THIS_MODULE,
};

​ 一条的链的数据结构体为struct ebt_entries, 一条防火墙规则的数据结构体为struct ebt_entry。

struct ebt_entries {
   
	/* this field is always set to zero
	 * See EBT_ENTRY_OR_ENTRIES.
	 * Must be same size as ebt_entry.bitmask */
	unsigned int distinguisher;
	/* the chain name */
	char name[EBT_CHAIN_MAXNAMELEN];
	/* counter offset for this chain */
	unsigned int counter_offset;
	/* one standard (accept, drop, return) per hook */
	int policy;
	/* nr. of entries */
	unsigned int nentries;
	/* entry list */
	char data[0] __attribute__ ((aligned (__alignof__(struct ebt_replace)))); // struct_ebt_replace包含了该条链所包含的防火墙规则数量,以及防火墙规则链表头等信息
};

/* one entry */
struct ebt_entry {
   
	/* this needs to be the first field */
	unsigned int bitmask;
	unsigned int invflags;
	__be16 ethproto;
	/* the physical in-dev */
	char in[IFNAMSIZ];
	/* the logical in-dev */
	char logical_in[IFNAMSIZ];
	/* the physical out-dev */
	char out[IFNAMSIZ];
	/* the logical out-dev */
	char logical_out[IFNAMSIZ];
	unsigned char sourcemac[ETH_ALEN];
	unsigned char sourcemsk[ETH_ALEN];
	unsigned char destmac[ETH_ALEN];
	unsigned char destmsk[ETH_ALEN];
	/* sizeof ebt_entry + matches */
	unsigned int watchers_offset;      //扩展的match(struct ebt_entry_match)和其相邻的watcher()
	/* sizeof ebt_entry + matches + watchers */
	unsigned int target_offset;  //扩展的target(struct ebt_entry_target) 
	/* sizeof ebt_entry + matches + watchers + target */
	unsigned int next_offset;
	unsigned char elems[0] __attribute__ ((aligned (__alignof__(struct ebt_replace))));
};

2.4.2 Ebtables模块表规则的检查过程

​ Ebtables的filter模块除了注册了filter表外,还注册了bridge netfilter的钩子函数,让数据包通过协议栈的钩子检测点时调用ebt_do_table()函数来检查filter表中的防火墙规则。

static int __init ebtable_filter_init(void)
{
   
	int ret;

	ret = register_pernet_subsys(&frame_filter_net_ops);
	if (ret < 0)
		return ret;
	ret = nf_register_hooks(ebt_ops_filter, ARRAY_SIZE(ebt_ops_filter));
	if (ret < 0)
		unregister_pernet_subsys(&frame_filter_net_ops);
	return ret;
}

static struct nf_hook_ops ebt_ops_filter[] __read_mostly = {
   
	{
   
		.hook		= ebt_in_hook,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_LOCAL_IN,
		.priority	= NF_BR_PRI_FILTER_BRIDGED,
	},
	{
   
		.hook		= ebt_in_hook,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	&#
最低0.47元/天 解锁文章
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1931
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回值各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
my cloud test bed (by quqi99)
技术并艺术着
03-10 1912
若容器里如果上不了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
linux bridge转发数据包的基本过程
最新发布
maoyichao123的博客
03-05 1168
在linux内核中有一个桥接模块,它提供了创建虚拟桥接设备()的功能,并且允许我们把其它网卡设备添加到桥接设备下。桥下的网卡设备收到报文时,报文会被送入桥接模块进行处理,与网络层依据IP地址查找路由表确定出口设备的流程不同,桥接模块会依据MAC地址查找转发表确定出口设备。接下来的篇幅中将简单梳理桥接模块转发报文的逻辑。为了方便描述,稍后称桥接设备为桥,称那些添加到桥下的设备为桥接端口。
Ethernet Bridge + netfilter Howto
翟海飞
08-15 3392
 Ethernet Bridge +netfilter Howto 1.Introduction Ethernet bridges connect twoor more distinct ethernet segments transparently. An ethernetbridge distributes ethernet frames coming in on on
实现透明防火墙的必备知识-Bridge Filter半景
系统运维
03-03 456
Netfilter是一个可以高度定制协议栈的优良框架,早就已经被包含于Linux内核了,关于它的设计,可以在其官方网站上找到N多可以一看的东西。被讨论最多的就是HOOK点的位置的设计(人家老外关注的核心的设计,而不是如何去实现它,以及实现了之后的源码分析),最好还是看一下这些讨论。 若想实现一个透明的防火墙,那么对Netfilter几本框架的理解是少不了的,除此之外还会有一些问题,比如下面的几个问...
Linux桥转发经过的netfilter钩子点
buhuidage的博客
08-11 983
桥转发:在链路层,根据报文的目的MAC地址进行报文转发,我们也叫二层转发。进行二层转发的一般叫网桥(bridge), 进行二层转发的设备可以是一台设备,比如我们的交换机,而我们这里的桥转发,就是软件实现的交换机。ageing timer: 设备的老化时间,当我的设备拔掉网线,或者断开WiFi的时候,这里的老化时间就会增加,达到一定阈值就会删除表项(FDB表),不同设备时间有差别,这个是Linux内核实现,可以修改;这样三点经过的钩子点是不同的,在我们桥转发,也会有这样的钩子点;addr:设备的mac地址。
linux内核网络协议栈架构分析,全流程分析-干货
热门推荐
zxorange321的专栏
07-22 3万+
内核协议栈架构分析,全流程分析,干货
在CentOS7上使用LXC管理容器
知行合一 止于至善
08-28 1万+
看到了tecmint上的一篇文章,比较简单的介绍,就翻译了过来,用来辅助大家学习docker的基础。现在来说lxc好像已经是比较久远,但是技术上很多东西没有先进或者落后之说,更多的是前行的方向由谁主导而已。通过看一下LXC如何实现虚拟化,也可以对docker为什么如此快速流行有自己的判断。通过这篇文章验证了一下tecmint的这篇文章确实是lxc可以拿过来就直接使用的入门信息。拿走不谢。
BBB linux内核及模块编译
10-21 779
BBB linux内核及模块编译
【linux下的网桥(bridge)包过滤和地址转发】
zhaoyi40233的博客
08-09 3417
在linux中,网桥的包过滤和地址转发是两个网络功能,往往用于网络数据包的处理和转发。
Netfilter的使用和实现
zhangskd的专栏
04-02 3万+
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog   概述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函
linux netfilter框架,Netfilter---框架的设计
weixin_42356892的博客
05-16 338
利用包处理可以设置或改变数据包的服务类型(TypeofService,TOS)字段;改变包的生存期(TimetoLive,TTL)字段;在包中设置标志值,利用该标志值可以进行带宽限制和分类查询.通过上面的概述我们已经对netfilter已经有了个大致的概念和模块的划分.那面我们还是看一下它的框架图吧:这个图包括了应该所以的hook的地方,具体有IP层的5个,bridge的5个,还有ar...
net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
zxygww的专栏
04-13 8615
net.bridge.bridge-nf-call-iptables对Netfilter中数据包的影响
手撕Linux网络——Linux虚拟网络设备与netfilter框架汇总,iptables
sun007700的专栏
08-18 156
netfilter
2.6内核中netfilter hook点一览
lionzl的专栏
02-27 909
2.6内核中netfilter hook点一览 分类: LINUX TCP/IP2009-09-26 14:51 652人阅读 评论(0) 收藏 举报 hookmodulestructfilteroutputdst 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1
时序分析4-查看时序报告-datapath
nuc606的博客
11-05 913
Data Path分析时: Data Arrival PATH: Clock path = Tclk1 Data path = Tco + Tdata = Data delay Data Reqire PATHData path
Microelectronic学习章节总结(2)-- data path和control unit设计
zch951127的博客
05-04 1364
处理器的设计和SOC的一些部件的复习
linux netfilter--broute流程
osnet的博客
08-02 1869
linux netfilter包括层2 bridgenetfilter和层3 ip netfilter 先看bridgenetfilter的brouting流程 brouting用于控制进来的数据包是需要进行bridge转发还是进行route转发,即2层转发和3层转发。 BROUTING 过滤配置为ACCEPT表示走bridge流程,DROP表示走route 流程。 br_handle_frame \net\bridge br_input.c br_handle_frame 是底层网卡驱动收到数据后开
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值