您的位置:中国咖啡技术网>技术文章>操作系统>Linux> 文章内容

赞助连接

热门名书

  1. Hacking: The Art of Expl
  2. Linux Device Drivers(3rd
  3. Qmail
  4. UNIX.Network.Programming
  5. Advanced Programming in
  6. Cryptography in C and C+
  7. Linux Troubleshooting Bi
  8. Python Standard Library
  9. Panic UNIX System Crash
  10. ADO.Net技术内幕

热门手册

  1. Linux内核工作原理(cn)
  2. 14天内学会TCPIP协议(en)
  3. python v2.4 中文手册(cn)
  4. C语言编程宝典(作者:王大
  5. CSS样式表中文手册(苏昱作
  6. JavaScript 高级教程(cn)
  7. IBM-PC AS400技术手册(cn)
  8. 使用Python进行GUI编程(GU
  9. PostgreSQL 8.0.0 文档手
  10. python v2.3 中文手册(en)

热门书籍

  1. Eclipse从入门到精通(第2
  2. 我用Visio制图
  3. 电子设计从零开始
  4. 网络布线施工
  5. Head First Servlets & JS
  6. 8051系列单片机C程序设计
  7. 计算机组成原理及汇编语言
  8. 鸟哥的Linux私房菜基础学
  9. Java Script高级程序设计
  10. 图解局域网构建与实战--中

精品导读

热门点击

  1. 打开img文件
  2. vmware 网络配置实例二 wi
  3. 【转】LVS大全
  4. Linux Netfilter实现机制
  5. OCFS,OCFS2,ASM,RAW 讨论
  6. Linux内核配置文档!!!(
  7. 征集流行网络游戏、聊天工
  8. 请问命令行下怎么看即时网
  9. 如何修改mac地址让它一直
  10. EAP-TLS on FreeRadius 中

热门评论

  1. 2 小时玩转 iptables 讲义
  2. Google的旁门左道
  3. 各位,问一个关于XWINDOW
  4. kill不掉一个服务怎么办
  5. 我的proftpd+mysql+quota
  6. 执行程序时内存管理的情景
  7. 利用VM在單機上體驗LVS(原
  8. 輕便式 LVS 集群架設攻略(
  9. Git 中文教程
  10. [分享]Linux下使用aMsn详

赞助连接

阅 读 文 章

Linux Netfilter实现机制和扩展技术

[来源:网上转载 () | 作者:网友() | 时间:2007-07-07 | 浏览:人次 ]


iptables -A FORWARD -j DROP;


iptables应用程序将命令行输入转换为程序可读的格式(iptables-standalone.c::main()::do_command(),然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。在libiptc/libiptc.c中定义了iptc_commit()(即TC_COMMIT()),它根据请求设置了一个struct ipt_replace结构,用来描述规则所涉及的表(filter)和HOOK点(FORWARD)等信息,并在其后附接当前这条规则--一个struct ipt_entry结构(实际上也可以是多个规则entry)。组织好这些数据后,iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求:
setsockopt(
sockfd, //通过socket(TC_AF, SOCK_RAW, IPPROTO_RAW)创建的套接字,其中TC_AF即AF_INET
TC_IPPROTO, //即IPPROTO_IP
SO_SET_REPLACE, //即IPT_SO_SET_REPLACE
repl, //struct ipt_replace结构
sizeof(*repl) + (*handle)->entries.size) //ipt_replace加上后面的ipt_entry


核心对于setsockopt()的处理是从协议栈中一层层传递上来的,调用过程如下图所示:
图6 规则填写过程


Click here to open new window

nf_sockopts是在iptables进行初始化时通过nf_register_sockopt()函数生成的一个struct nf_sockopt_ops结构,对于ipv4来说,在net/ipv4/netfilter/ip_tables.c中定义了一个ipt_sockopts变量(struct nf_sockopt_ops),其中的set操作指定为do_ipt_set_ctl(),因此,当nf_sockopt()调用对应的set操作时,控制将转入net/ipv4/netfilter/ip_tables.c::do_ipt_set_ctl()中。

对于IPT_SO_SET_REPLACE命令,do_ipt_set_ctl()调用do_replace()来处理,该函数将用户层传入的struct ipt_replace和struct ipt_entry组织到filter(根据struct ipt_replace::name项)表的hook_entry[NF_IP_FORWARD]所指向的区域,如果是添加规则,结果将是filter表的private(struct ipt_table_info)项的hook_entry[NF_IP_FORWARD]和underflow[NF_IP_FORWARD]的差值扩大(用于容纳该规则),private->number加1。

2.5.4 规则应用过程

以上描述了规则注入核内iptables的过程,这些规则都挂接在各自的表的相应HOOK入口处,当报文流经该HOOK时进行匹配,对于与规则匹配成功的报文,调用规则对应的Target来处理。仍以转发的报文为例,假定filter表中添加了如上所述的规则:拒绝所有转发报文。

如1.2节所示,经由本地转发的报文经过路由以后将调用ip_forward()来处理,在ip_forward()返回前,将调用如下代码:
NF_HOOK(PF_INET, NF_IP_FORWARD, skb, skb->dev, dev2, ip_forward_finish)
NF_HOOK是这样一个宏(include/linux/netfilter.h):
#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \
(list_empty(&nf_hooks[(pf)][(hook)]) \
? (okfn)(skb) \
: nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn)))


也就是说,如果nf_hooks[PF_INET][NF_IP_FORWARD]所指向的链表为空(即该钩子上没有挂处理函数),则直接调用ip_forward_finish(skb)完成ip_forward()的操作;否则,则调用net/core/netfilter.c::nf_hook_slow()转入Netfilter的处理。

这里引入了一个nf_hooks链表二维数组:
论坛热门帖子: [lch203] 写得蛮好的linux学习笔记(10-21)
[黑马制造] 学习java的30个目标(10-19)
[笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19)
[udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18)
[沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18)
TAG标签: 扩展 技术 机制 实现 struct 规则 处理 iptables Netfilter

上一篇:在Linux中安装和设置Nmap

下一篇:Linux终端机的中文显示:jmcce计划

最新评论 共有0位网友发表了评论

查看所有评论

发表评论

评论内容:不能超过250字,需审核,请自觉遵守互联网相关政策法规。
用户名:(注册)
密码:
验证码:
匿名发表

网站地图友情连接交流论坛网站投稿广告服务联系我们留言本站长统计
Some rights reserved: www.chmhome.com, 鄂ICP备07010232号 E-mail:chinakafei@live.com,QQ:552766
中国咖啡技术网(Chmhome):国外编程技术书籍,中文编程手册,经典编程文章,交流技术,技术软件下载,计算机论文,毕业论文.