Linux Netfilter NF_HOOK解析

最新推荐文章于 2024-08-24 12:20:35 发布
最新推荐文章于 2024-08-24 12:20:35 发布
阅读量4.7k 收藏 6
点赞数 1
分类专栏: Linux内核网络 文章标签: linux 内核 netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhgure/article/details/96435954
版权
NF_HOOK在Linux内核中被转化为NF_HOOK_THRESH宏,用于处理网络数据包过滤。该宏设定阈值,仅执行优先级高于设定值的hook回调。主要功能包括通过nf_iterate遍历注册的hook并调用,以及依据hook回调返回值决定报文的命运。
摘要由CSDN通过智能技术生成

NF_HOOK实际是转成NF_HOOK_THRESH宏函数调用。
注意,thresh表示只执行优先级大于thresh的注册的hook回调。

NF_HOOK原型:

#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \
    NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, INT_MIN)

NF_HOOK_THRESH定义原型:

#define NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh)         \
    ({int __ret;                                       \
      if ((__ret=nf_hook_thresh(pf, hook, (skb), indev, outdev, okfn, thresh, 1)) == 1)\
          __ret = (okfn)(skb);                               \
      __ret;})

NF_HOOK_THRESH宏调用nf_hook_thresh函数,实际是调用nf_hook_slow函数完成完成具体功能:
1、调用nf_iterate对注册链表的遍历及hook调用;
2、根据返回值对报文作不同行为处理;

/* pf 协议号
 * hook hook点
 * sdk 数据报文
 * indev 数据报文入口设备
 * outdev 出口设备
 * okfn hook点结束后的回调函数,当前函数返回后再执行
 * hook_thresh 优先级,只执行hook点上大于当前值的注册回调
 */
int nf_hook_slow(u_int8_t pf,
最低0.47元/天 解锁文章
zhgure
关注
专栏目录
linux内核协议栈 netfilterhook 机制概述
10-29 4806
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1964
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filterhook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
NF_HOOK
tycoon的专栏
11-05 3668
一、   IP报文的接收到hook函数的调用    1.1  ip_input.c    ip_rcv()函数 以接收到的报文为例,类似的还有ip_forward(ip_forward.c)和ip_output(ip_output.c) int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type
linux netfilter
最新发布
lydstory123的专栏
08-24 156
当某条规则的判定结果为NF_STOP,那么可以直接返回结果NF_STOP,无需 进行后面的判定了。NF_REPEAT:为netfilter的一个内部判定结果,需要重复该条规则的判定,NF_STOP: 数据包通过了挂载点的所有规则。而NF_ACCEPT需要所以的规则都为ACCEPT,才能返回NF_ACCEPT。NF_QUEUE:将数据包enque到用户空间的enque handler;NF_ACCEPT:数据包通过了挂载点的所有规则;NF_DROP:直接drop掉这个数据包;直至不为NF_REPEAT;
Linux netfilter源码分析(4)
venoy4806的专栏
01-06 1285
四、nf_hook_ops 钩子的注册在filter表的初始化函数static int __init init(void)中除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3个hook 4.1        nf_hook_ops数据结构 netfilter.hstruct nf_hook_ops{     
看看 NF_HOOK
weixin_30345055的博客
08-05 424
IPVS软件结构与实现  LVS软件的核心是运行在LB上的IPVS,它使用基于IP层的负载均衡方法。IPVS的总体结构主要由IP包处理、负载均衡算法、系统配置与管理三个模块及虚拟服务器与真实服务器链表组成。   2.1 LVS对 IP包的处理模式   IP包处理用Linux 2.4内核的Netfilter框架完成...
Netfilter NF_HOOK执行流程分析一
VMA_LMA的专栏
04-16 1471
利用Linux我们可以实现复杂的防火墙机制,大家防火墙路由器,得易于Linux强大的内核,这些实现都变得非常简单,通过简单的几条iptables命令就可以定制我们的防火墙功能。那么Linux内核是如何完成对包的处理,流程又是怎么样呢? 一 首先看一下netfilter的整体架构 NF_HOOK执行流程分析一"> netfilter的具体实现,以NF_IP_PREROUTING为例 二 NF
NF_HOOK_COND和NF_HOOK_THRESH
cxw06023273的博客
01-10 1333
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"] 1. 前言 宏NF_HOOK是实现netfilter挂接点的,在桥代码打入内核后,又添加了两个挂接点:NF_HOOK_COND和...
nf_register_hooks NF_HOOK
u011029104的专栏
01-30 285
我自己做实验,在nf_register_hooks将自己定义的、包含了hook函数hook点的nf_hook_ops结构体注册到系统中后,一旦有符合条件的包出现,系统都会打印出相应的语句。通过NF_HOOK的宏定义可以看到,NF_HOOK主要是调用nf_hook_slow,那么,nf_hook_slow主要做了哪些东西呢?返回的是NF_QUEUE,NF_STOLEN,NF_DROP,就立刻返回,如果是NF_REPEAT 只是 改。NF_IP_POST_ROUTING处对所有向链路。
linux 下的 iptables/ netfilter 防火墙 深度理解 后篇
bie_niu1992的专栏
07-01 548
一 概述 中篇已经提到了钩子函数的注册,也知道最终数据进来是通过钩子函数处理,来实现防火墙的功能的。那么netfilter 内核是在什么时候调用钩子函数?钩子函数又是怎么实现防火墙对应的功能的?(本章主要讲钩子函数实现的过滤功能)
linux内核协议栈 netfilter 之 ip 层 netfilter 的 NAT 模块 hook 及 target 代码剖析
11-08 2539
1 钩子函数 1.1 nf_nat_ipv4_in() NF_INET_PRE_ROUTING 1.2 nf_nat_ipv4_out() NF_INET_POST_ROUTING 1.3 nf_nat_ipv4_local_fn() NF_INET_LOCAL_OUT 1.4 nf_nat_ipv4_fn() NF_INET_LOCAL_IN 2 target 函数 3 iptables 案例
linux hook函数详解,linux内核中的hook函数详解
weixin_32019219的博客
05-10 1673
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
Linux3.13.0 netfilter 学习笔记 之一 HOOK机制
qq_28808697的博客
04-18 3072
netfilter介绍 Linux netfilter就是借助一整套的 hook 函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与三层fi
NF_HOOK, NF_STOP
cxw06023273的博客
01-10 387
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"] NF_HOOK()宏在2.6中和2.4相比作了稍许变化: 2.6.17.11的定义: #define NF_HOOK_THRE...
nf_hook_slow函数
weixin_34413103的博客
03-18 940
为什么80%的码农都做不了架构师?>>> ...
nf_hook_ops 钩子的注册
甜咖啡的专栏
05-18 1175
nf_hook_ops 钩子的注册 在filter表的初始化函数static int __init init(void)中除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3个hook   1    nf_hook_ops数据结构 netfilter.h struct nf_hook_ops {         stru
Netfilter——Netfilter中的HOOK机制
Windeal
04-20 9345
NetfilterLinux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。一、如何在协议栈中调用钩子函数  在协议栈中相应位置嵌入Netfilter函数NF_HOOK,来拦截报文送到Netfilter中进行处理。  协议栈中的五条内置链我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUT
Linux 驱动】Netfilter/iptables (四) 窥探 Netfilter Hook 机制
wenqian 'blog
12-22 3789
上篇文章介绍了注册和注销Netfilter/iptables,其中对于hook函数,我们没有具体到数据包的规则处理,直接一律来者皆拒(NF_DROP)。 ok,我们接着前面,深入探索下hook函数: typedef unsigned int nf_hookfn(const struct nf_hook_ops *ops, struct sk_buff *s
nf_register_net_hooknf_register_hook的区别
05-05
`nf_register_net_hook` 和 `nf_register_hook` 都是Linux内核中用于注册netfilter钩子函数函数,但是它们的作用范围不同。 `nf_register_net_hook` 用于注册网络命名空间中的netfilter钩子函数,而 `nf_register_hook` 用于注册全局的netfilter钩子函数。 在Linux内核中,一个系统可以包含多个网络命名空间,每个网络命名空间都有自己的netfilter钩子函数。因此,如果你需要在指定的网络命名空间中注册netfilter钩子函数,你应该使用 `nf_register_net_hook` 函数。 而如果你需要在全局范围内注册netfilter钩子函数,你可以使用 `nf_register_hook` 函数。但是需要注意的是,使用 `nf_register_hook` 函数注册的钩子函数会在所有网络命名空间中生效,因此可能会对系统的性能产生影响。 因此,如果你想要注册netfilter钩子函数,应该根据具体情况选择合适的函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值