Netfilter的基本结构

最新推荐文章于 2024-07-12 17:12:34 发布
最新推荐文章于 2024-07-12 17:12:34 发布
阅读量1.2k 收藏
点赞数
分类专栏: Netfilter 文章标签: struct hook list output traversal 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoufanking/article/details/335588
版权

Netfilter的基本结构

(1)从IP包的收发流程中可以看到,当IP包接收器(ip_rcv)接收到正确的ip包后,首先注入“路由前过滤器”(NF_IP_PRE_ROUTING),路由前过滤器(NF_IP_PRE_ROUTING)的输出(ip_rcv_finishi)包经过绑定路由和编译ip选项区之后输入到路由入口(dst->input)。对于本地接收包来说,路由入口指向ip本地分发器(ip_local_deliver),本地分发器首先进行IP碎片重组。然后将IP合成包注入“本地输入过滤器”(NF_IP_LOCAL_IN),本地输入过滤器的输出(ip_local_deliver_finish)包进一步传递到IP传输协议控制器(igmp_rcv,tcp_v4_rcv,udp_rcv,icmp_rcv),最后包被投送到各个套接字的接收队列中。对于转发包来说,路由入口将指向IP转发器(ip_forward),转发器对IP包预处理后注入“IP转发过滤器”(NF_IP_FORWARD),转发过滤器的输出(ip_forward_finish)包经过分片处理后通过路由出口(dsr->output)注入“IP路由后过滤器”(NF_IP_POST_ROUTING),路由过后过滤器的输出(ip_finish_output2)包通过邻居出口(dst->neighbour->output)创建硬件帧头调用neigh_resolve_output()输出或在ip_finish_output2中直接创建帧头从dst->hh->hh_output输出。输入到包调度器(dev_queue_xmit)中进行排队发射。

对于本地发送包来说,IP包生成器产生的输出包首先注入“本地输出过滤器”(NF_IP_LOCAL_OUT)

本地过滤器的输出(output_maybe_reroute)包经过分片处理(ip_fragment)后再通过路由出口从dst->output将包发送出去。

(2)nf_hooks_ops结构描述,系统中所有的网络包过滤器都登记在网络过滤器的钩链数组(nf_hooks)中,它是用网络协议族编号和过滤器编号索引的二维链头(list_head)结构数组,数组中的每一元素代表一种过滤器链。网络过滤器以NF_HOOK(family,num,skb,indev,outdev,output)宏定义插入到代码中。当执行到NF_HOOK()时, 如果nf_hooks[family][num]过滤器链非空,系统将调用nf_hook_slow(family,num,skb,indev,outdev,output)将包依次传递给过滤链中的过滤函数。在每一个过滤环节上, 如果过滤函数返回NF_ACCEPT,  则过滤包允许输出。这时过滤包将注入下一链节过滤器或者调用output参数函数将过滤包输出。如果过滤函数返回NF_DROP, 则过滤过程被终止, 过滤包禁止输出并被释放。如果过滤函数返回NF_STOLEN, 说明输入包已被转移走, 终止过滤无输出。如果过滤函数返回NF_REPEAT,  过滤包将重新过滤一次. 如果过滤函数返回NF_QUEUE。则当前过滤参数和输入包将被传递到过滤器协议族的过滤队列中进行处理(queue_handler)。

include/linux/netfilter.h:

#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) /
(list_empty(&nf_hooks[(pf)][(hook)]) /
? (okfn)(skb) /
: nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn)))
#endif

/* Largest hook number + 1 */
#define NF_MAX_HOOKS 8

typedef unsigned int nf_hookfn(unsigned int hooknum,
       struct sk_buff **skb,
       const struct net_device *in,
       const struct net_device *out,
       int (*okfn)(struct sk_buff *));

struct nf_hook_ops
{
struct list_head list;

/* User fills in from here down. */
nf_hookfn *hook; 过滤函数
int pf; 过滤器的协议族
int hooknum; 过滤器编号
/* Hooks are ordered in ascending priority. */
int priority; 过滤器优先级, 同一协议族的过滤器以priority值作升序排列
};
/* Each queued (to userspace) skbuff has one of these. */
struct nf_info
{
/* The ops struct which sent us to userspace. */
struct nf_hook_ops *elem;

/* If we're sent to userspace, this keeps housekeeping info */
int pf;
unsigned int hook;
struct net_device *indev, *outdev;
int (*okfn)(struct sk_buff *);
};

; net/core/netfilter.c:

struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS];

/*
* A queue handler may be registered for each protocol.  Each is protected by
* long term mutex.  The handler must provide an an outfn() to accept packets
* for queueing and must reinject all packets it receives, no matter what.
*/
static struct nf_queue_handler_t {
nf_queue_outfn_t outfn;
void *data;
} queue_handler[NPROTO];

typedef int (*nf_queue_outfn_t)(struct sk_buff *skb,
                                struct nf_info *info, void *data);

; net/core/netfilter.c:

int nf_hook_slow(int pf, unsigned int hook, struct sk_buff *skb,
struct net_device *indev,
struct net_device *outdev,
int (*okfn)(struct sk_buff *))
{
struct list_head *elem;
unsigned int verdict;
int ret = 0;

/* We may already have this, but read-locks nest anyway */
br_read_lock_bh(BR_NETPROTO_LOCK);

#ifdef CONFIG_NETFILTER_DEBUG
if (skb->nf_debug & (1 << hook)) {
printk("nf_hook: hook %i already set./n", hook);
nf_dump_skb(pf, skb);
}
skb->nf_debug |= (1 << hook);
#endif

elem = &nf_hooks[pf][hook];
verdict = nf_iterate(&nf_hooks[pf][hook], &skb, hook, indev,
     outdev, &elem, okfn);
if (verdict == NF_QUEUE) {
NFDEBUG("nf_hook: Verdict = QUEUE./n");
nf_queue(skb, elem, pf, hook, indev, outdev, okfn);
}

switch (verdict) {
case NF_ACCEPT:
ret = okfn(skb);
break;

case NF_DROP:
kfree_skb(skb);
ret = -EPERM;
break;
}

br_read_unlock_bh(BR_NETPROTO_LOCK);
return ret;
}

static unsigned int nf_iterate(struct list_head *head,
       struct sk_buff **skb,
       int hook,
       const struct net_device *indev,
       const struct net_device *outdev,
       struct list_head **i,
       int (*okfn)(struct sk_buff *)) 迭代过滤器
{
for (*i = (*i)->next; *i != head; *i = (*i)->next) { 扫描过滤器的环形链表
struct nf_hook_ops *elem = (struct nf_hook_ops *)*i; 取过滤器结构
switch (elem->hook(hook, skb, indev, outdev, okfn)) { 调用过滤函数
case NF_QUEUE:
return NF_QUEUE;

case NF_STOLEN:
return NF_STOLEN;

case NF_DROP:
return NF_DROP;

case NF_REPEAT:
*i = (*i)->prev;
break;

#ifdef CONFIG_NETFILTER_DEBUG
case NF_ACCEPT:
break;

default:
NFDEBUG("Evil return from %p(%u)./n",
elem->hook, hook);
#endif
}
}
return NF_ACCEPT;
}
/*
* Any packet that leaves via this function must come back
* through nf_reinject().
*/
static void nf_queue(struct sk_buff *skb,
     struct list_head *elem,
     int pf, unsigned int hook,
     struct net_device *indev,
     struct net_device *outdev,
     int (*okfn)(struct sk_buff *))
{
int status;
struct nf_info *info;

if (!queue_handler[pf].outfn) {
kfree_skb(skb);
return;
}

info = kmalloc(sizeof(*info), GFP_ATOMIC);
if (!info) {
if (net_ratelimit())
printk(KERN_ERR "OOM queueing packet %p/n",
       skb);
kfree_skb(skb);
return;
}

*info = (struct nf_info) {
(struct nf_hook_ops *)elem, pf, hook, indev, outdev, okfn }; 保存过滤参数

/* Bump dev refs so they don't vanish while packet is out */
if (indev) dev_hold(indev);
if (outdev) dev_hold(outdev);

status = queue_handler[pf].outfn(skb, info, queue_handler[pf].data);
if (status < 0) {
/* James M doesn't say [censored] enough. */
if (indev) dev_put(indev);
if (outdev) dev_put(outdev);
kfree(info);
kfree_skb(skb);
return;
}
}
void nf_reinject(struct sk_buff *skb, struct nf_info *info,
unsigned int verdict) 将包和它的过滤参数重新注入过滤器
{
struct list_head *elem = &info->elem->list;
struct list_head *i;

/* We don't have BR_NETPROTO_LOCK here */
br_read_lock_bh(BR_NETPROTO_LOCK);
for (i = nf_hooks[info->pf][info->hook].next; i != elem; i = i->next) {
if (i == &nf_hooks[info->pf][info->hook]) {
/* The module which sent it to userspace is gone. */
NFDEBUG("%s: module disappeared, dropping packet./n",
         __FUNCTION__);
verdict = NF_DROP;
break;
}
}

/* Continue traversal iff userspace said ok... */
if (verdict == NF_REPEAT) {
elem = elem->prev;
verdict = NF_ACCEPT;
}

if (verdict == NF_ACCEPT) {
verdict = nf_iterate(&nf_hooks[info->pf][info->hook],
     &skb, info->hook,
     info->indev, info->outdev, &elem,
     info->okfn);
}

switch (verdict) {
case NF_ACCEPT:
info->okfn(skb);
break;

case NF_QUEUE:
nf_queue(skb, elem, info->pf, info->hook,
info->indev, info->outdev, info->okfn);
break;

case NF_DROP:
kfree_skb(skb);
break;
}
br_read_unlock_bh(BR_NETPROTO_LOCK);

/* Release those devices we held, or Alexey will kill me. */
if (info->indev) dev_put(info->indev);
if (info->outdev) dev_put(info->outdev);

kfree(info);
return;
}

int nf_register_hook(struct nf_hook_ops *reg) 注册过滤器
{
struct list_head *i;

br_write_lock_bh(BR_NETPROTO_LOCK);
for (i = nf_hooks[reg->pf][reg->hooknum].next;
     i != &nf_hooks[reg->pf][reg->hooknum];
     i = i->next) {
if (reg->priority < ((struct nf_hook_ops *)i)->priority)
break;
}
list_add(®->list, i->prev);
br_write_unlock_bh(BR_NETPROTO_LOCK);
return 0;
}
void nf_unregister_hook(struct nf_hook_ops *reg)
{
br_write_lock_bh(BR_NETPROTO_LOCK);
list_del(®->list);
br_write_unlock_bh(BR_NETPROTO_LOCK);
}
int nf_register_queue_handler(int pf, nf_queue_outfn_t outfn, void *data)
注册过滤队列处理器
{     
int ret;

br_write_lock_bh(BR_NETPROTO_LOCK);
if (queue_handler[pf].outfn)
ret = -EBUSY;
else {
queue_handler[pf].outfn = outfn;
queue_handler[pf].data = data;
ret = 0;
}
br_write_unlock_bh(BR_NETPROTO_LOCK);

return ret;
}
/* The caller must flush their queue before this */
int nf_unregister_queue_handler(int pf)
{
br_write_lock_bh(BR_NETPROTO_LOCK);
queue_handler[pf].outfn = NULL;
queue_handler[pf].data = NULL;
br_write_unlock_bh(BR_NETPROTO_LOCK);
return 0;
}

zhoufanking
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 765
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
Linux内核中Netfilter架构介绍
热门推荐
瑞风轻拂
09-08 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
netfilter 结构整理
weixin_34077371的博客
08-31 319
@(Linux network) netfilter struct 整理 结构体关系图 阐述了结构体之间的关联 xt_table 在net->netns_ipv4结构体中,包含了如下几个xt_table iptable_filter iptable_mangle iptable_raw arptable_filter nat_...
Netfilter的完整结构
12-06
Netfilter的完整结构,综合其他文档后画出来的,绝对完整,看完后肯定让你一目了然,适合菜鸟学习的好东西,申请加精。。。
netfilter数据结构设计的艺术
Netfilter
02-09 3599
netfilter较以前的ipchains提升了一个层次,在ipchains的东西中抽象出来共性的东 西然后形成了一个框架,从ipchains到netfilter的发展展现了软件发展的数据不断抽象的过程,也正是《重构》一书中讲的精髓。 netfilter不再为具体的过滤服务,而是提供了一个过滤模板,用户不再需要重新设计具体的过滤过程,而只需要填充这个模板就可以了,也就是说 netfilter只提供
netfilter框架及基本原理介绍.zip
09-16
本篇文章将深入探讨netfilter基本原理和主要功能,帮助读者理解其在网络通信中的作用。** **一、netfilter框架概述** Netfilter是一个灵活的框架,它定义了多个钩子点(hooks),这些钩子点分布在数据包在网络栈...
ja-netfilter_QQ浏览器压缩包.zip
03-06
由于标签为空,我们无法获得更多关于此压缩包的特定用途或功能信息,但可以从ja-netfilter基本概念出发来探讨相关的IT知识点。 1. **Java网络编程**:ja-netfilter是基于Java的,因此涉及Java的Socket编程和网络...
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
libiptc 库的主要技巧就是掌握动态构造规则的数据结构的方法。下面我们将介绍规则的基本描述方法。libiptc 库的主要数据结构就是描述规则的结构。具体而言是 ipt_entry、ipt_entry_target、ipt_entry_match 三个...
Linux下基于Netfilter的网络监听器的设计与实现.pdf
09-06
文章首先介绍了Netfilter基本原理,包括其定义的五个HOOK点,分别是: 1. NF_IP_PRE_ROUTING:在数据包进行路由选择前进行处理。 2. NF_IP_LOCAL_IN:对要传递给本地进程的数据包进行处理。 3. NF_IP_FORWARD:对...
Ad hoc路由协议实现研究
04-16
概述当前路由体系结构,提出其在实现Ad hoc路由协议时所面临的基本问题,总结在Linux系统中实现Ad hoc路由协议的设计原则,并提出一种解决方案。
netfilter详解
奔跑的路
09-05 2456
[plain] view plaincopyprint? 目录    1 - 简介    1.1 - 本文涉及的内容    1.2 - 本文不涉及的内容  2 - 各种Netfilter hook及其用法    2.1 - Linux内核对数据包的处理    2.2 - Netfilter对IPv4的hook  3 - 注册和注销Netfilter hook  4 - Netfilt
netfilter框架概述
rondyning的博客
05-25 2781
1 Netfilter 1.1 netfilter概述 Netfilter是linux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
Linux Netfilter实现机制和扩展技术
08-27 2004
Linux Netfilter实现机制和扩展技术内容:1. IP Packet Flowing2. Netfilter Frame3. Netfilter-iptables Extensions4. 案例:用Netfilter实现VPN
Java数据结构-链表与LinkedList
daweidi的博客
07-11 1075
LinkedList的底层是双向链表结构,由于链表没有将元素存储在连续的空间中,元素存储在单独的节 点中,然后通过引用将节点连接起来了,因此在在任意位置插入或者删除元素时,不需要搬移元素,效率比较高。LinkedList实现了List接口。LinkedList没有实现RandomAccess接口,因此不支持随机访问。LinkedList的任意位置插入和删除元素时效率比较高,时间复杂度为O(1)方法解释尾插 e将 e 插入到 index 位置尾插 c 中的元素删除 index 位置元素。
鸿蒙语言基础类库:【@ohos.util.ArrayList (线性容器ArrayList)】
2301_76813281的博客
07-09 912
本模块首批接口从API version 8开始支持。后续版本的新增接口,采用上角标单独标记接口的起始版本。点击或者复制转到。ArrayList是一种线性数据结构,底层基于数组实现。ArrayList会根据实际需要动态调整容量,每次扩容增加50%。ArrayList和[Vector]相似,都是基于数组实现。它们都可以动态调整容量,但Vector每次扩容增加1倍。ArrayList和[LinkedList]相比,ArrayList的随机访问效率更高。
Redis数据结构详解:String、List、Set、Hash和Sorted Set
Cao_shuqi的博客
07-09 988
String 是 Redis 最基本的数据类型,一个键对应一个值,值可以是字符串、整数或浮点数。String 类型是二进制安全的,意味着可以存储任何类型的数据,如文本、图片序列化后的数据等。List 是一个有序的字符串链表,允许在链表的两端推入和弹出元素。它支持从左侧(头部)和右侧(尾部)进行插入和删除操作。List 可以用于实现诸如消息队列等功能。Set 是一个无序集合,包含唯一的字符串元素。Set 的主要功能是去重,它适合用于需要去重的场景,如统计唯一访客。Hash 是一个键值对集合,适合用于存储对象。
ProFormList --复杂数据联动ProFormDependency
qq_48691693的博客
07-08 242
ProFormList --复杂数据联动ProFormDependency、自定义操作按钮、禁用当前行
Todo List
最新发布
xi_xix_i的博客
07-12 142
待整理的笔记,先列出来,防止后面忘记要整理什么内容。
LRU Cache 双向链表以及STL list实现----面试常考
qq_40872103的博客
07-05 419
主要用了迭代器,对于初学者可能难以理解。可以看我的下一篇博客,详细阐述了迭代器设计思想!手写双向链表版本比较简单,在纸上画一画就能想通!
netfilter netlink
07-28
Netfilter是一个内核模块,它Linux操作系统中用于实现网络包过滤和网络连接跟踪的框架。Netlink是Linux内核与用户空间之间进行通信的一种机制,它允许用户空间程序与内核模块进行交互,包括对Netfilter进行配置和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值