Netfilter中规则(rule)的组织框架

最新推荐文章于 2024-07-11 10:31:11 发布
转载 最新推荐文章于 2024-07-11 10:31:11 发布 · 1.7k 阅读 · 3

本文深入解析Linux内核Netfilter框架的架构设计,包括大蓝图、table表定义与管理、rule在内核中的存储方式等内容。重点介绍了table和rule的数据结构、match与target的工作原理以及它们在内核中的注册流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、大蓝图

table->chain->rule(match:target)

从上图所示,在内核空间,每个CPU上维护了一份rule的拷贝。这样做是为了减少锁的使用及增加硬件L1 cache的命中次数,以空间换时间

2table(表)

include/linux/netfilter/x_table.h

struct xt_table

{

    struct list_head list;

    unsigned int valid_hooks; /*该表中有效的hook点位图*/

    struct xt_table_info *private; //指向真正存储rule的结构体

    struct module *me;

    u_int8_t af; /* address/protocol family */

    const char name[XT_TABLE_MAXNAMELEN];//表名字

};

 

struct xt_table_info

{

    unsigned int size; //表的大小

    unsigned int number; //表中存的rule个数

    unsigned int initial_entries;//初始化表时创建的默认rule个数
  //各个hook(chain)在表中的偏移量

    unsigned int hook_entry[NF_INET_NUMHOOKS]; 
    //各个hook(chain)中默认规则在表中的偏移量

    unsigned int underflow[NF_INET_NUMHOOKS];
    //数组,存储各个cpu上自己rule拷贝的内存首地址

    void *entries[1]; 

};

 

表的注册:

每个网络命名空间管理自己Netfilter中创建的table。并把这些表链接到相应的协议族链表里。

这样就可以通过用户空间传下来的表名查找到相应的表了。

struct net

{

struct netns_xt xt;

}

 

struct netns_xt 

{

    struct list_head tables[NFPROTO_NUMPROTO];

    #if defined(CONFIG_BRIDGE_NF_EBTABLES) || \

    defined(CONFIG_BRIDGE_NF_EBTABLES_MODULE)

    struct ebt_table *broute_table;

    struct ebt_table *frame_filter;

    struct ebt_table *frame_nat;

    #endif

};

struct xt_table *xt_register_table(struct net *net,

   const struct xt_table *input_table,

   struct xt_table_info *bootstrap,

   struct xt_table_info *newinfo)

{

    int ret;

    struct xt_table_info *private;

    struct xt_table *t, *table;

 

    /*申请x_table内存*/

    table = kmemdup(input_table, sizeof(struct xt_table), GFP_KERNEL);

    if (!table) {

        ret = -ENOMEM;

        goto out;

    }

 

    ret = mutex_lock_interruptible(&xt[table->af].mutex);

    if (ret != 0)

        goto out_free;

 

    /* 在命名空间里查找是否有相同名字的表 */

    list_for_each_entry(t, &net->xt.tables[table->af], list) {

        if (strcmp(t->name, table->name) == 0) {

            ret = -EEXIST;

            goto unlock;

        }

    }

 

    /* 初始化table_private*/

    table->private = bootstrap;

    if (!xt_replace_table(table, 0, newinfo, &ret))

        goto unlock;

    private = table->private;

    /* save number of initial entries */

    private->initial_entries = private->number;

     //把表挂到对应网络命名空间管理的链表上

    list_add(&table->list, &net->xt.tables[table->af]);

    mutex_unlock(&xt[table->af].mutex);

    return table;

 
unlock:

    mutex_unlock(&xt[table->af].mutex);

    out_free:

    kfree(table);

out:

    return ERR_PTR(ret);

}


3rule在内核中的定义和存储

不同的协议族定义的rule不同。为了通用,netfilter把各个协议族的一些共性的数据结构提取出来单独定义,各个协议族再自己定义自己独有的数据结构,并包含netfilter提供的通用数据结构。

 

我们以IPv4为例来看一下,通过用户空间的iptables所配置到内核中的每条rule是怎么存储的。

如图,ip_entry 是标准的匹配规则,ipt_entry_match是扩展的匹配规则,是可选项。每个rule最后带一个targetTraget有系统自带的,也有扩展的。

 

1、标准的匹配规则

struct ipt_entry

{

    struct ipt_ip ip; //五元组,ipv4报文通用的匹配元素

    /* Mark with fields that we care about. */

    unsigned int nfcache;

/*详见上图,rule首地址到target的偏移量*/

    /* Size of ipt_entry + matches */

    u_int16_t target_offset; 

    /* Size of ipt_entry + matches + target */
    /*下一条rule的偏移量*/

    u_int16_t next_offset;

 

    /* Back pointer */

    unsigned int comefrom;
    /*命中报文的统计计数*/

    /* Packet and byte counters. */

    struct xt_counters counters;

 

    /* The matches (if any), then the target. */

    unsigned char elems[0];

};

 

ipv4报文通用的匹配元素,源/目的ip地址/掩码,源/目的接口名/接口名掩码,传输层协议类型

struct ipt_ip 

{

    /* Source and destination IP addr */

    struct in_addr src, dst;

    /* Mask for src and dest IP addr */

    struct in_addr smsk, dmsk;

    char iniface[IFNAMSIZ], outiface[IFNAMSIZ];

    unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];

    /* Protocol, 0 = ANY */

    u_int16_t proto;

 

    /* Flags word */

    u_int8_t flags;

    /* Inverse flags */
    //位图,每一位代表以上匹配元素配置时是否是带!符号(取反)

    u_int8_t invflags;

};

4. 扩展的Macth

#define ipt_entry_match xt_entry_match

netfilter定义了一个通用的match数据结构struct xt_match

struct xt_match

{

    struct list_head list;
    //match名字,和iptables配置的-m参数相同

    const char name[XT_FUNCTION_MAXNAMELEN-1];

    u_int8_t revision;

    //规则匹配函数

    bool (*match)(const struct sk_buff *skb,

              const struct xt_match_param *);

 

    /* 匹配函数入参检查函数 */

    bool (*checkentry)(const struct xt_mtchk_param *);

 

    /* Called when entry of this type deleted. */

    void (*destroy)(const struct xt_mtdtor_param *);
    。。。。。。

    const char *table;
    //match的自定义数据长度

    unsigned int matchsize;

    unsigned int compatsize;

    unsigned int hooks;

    unsigned short proto;

    unsigned short family;

};

 

每个struct xt_match代表一个扩展matchnetfilter中各个扩展match自己定义自己的匹配参数数据结构,自己实现匹配函数。

 

netfilter中,每个扩展match 被注册到全局变量xt管理的match链表上,可根据match的名字来找到相应的struct xt_match

 

用户使用-m 来配置的扩展match下发给内核,在内核中以struct xt_entry_match数据结构来存储,该结构后紧跟着存储着扩展match自定义的匹配参数数据。

 

Match的基本处理流程

1、取到rule中存储的xt_entry_match,这里记录着iptables下发给内核的值,同时找到内核中注册的xt_match,从xt_match里找到相应的match函数.

2、根据xt_entry_match中记录的配置值初始化xt_match_param,

3、把报文和xt_match_param传给match函数进行匹配处理。

 

 

注册match

Int xt_register_match(struct xt_match *match)

{

    u_int8_t af = match->family;

    int ret;

    ret = mutex_lock_interruptible(&xt[af].mutex);

    if (ret != 0)

    return ret;

    list_add(&match->list, &xt[af].match);//加入Netfilter管理的全局Match链表上

    mutex_unlock(&xt[af].mutex);

 

    return ret;

}


5. Target

Netfilter中对扩展target 和扩展match的管理非常相似


target分扩展target和标准target

#define ipt_entry_target xt_entry_target

 

标准target

#define ipt_standard_target  xt_standard_target

struct xt_standard_target

{

    struct xt_entry_target target;

//verdict 可以是指定返回值,也可以是goto到下一个rule的偏移量,

也可以是queue的队列号。

    int verdict;

};

 

如果struct xt_entry->target 值为空,表示是标准target,根据verdict值来处理报文。

 

如果struct xt_entry->target不为空,表示不是标准target,就使用targettarget函数返回值来处理报文。

 

调用函数xt_register_target()来注册扩展target
20、Linux Netfilter与iptables:网络防火墙的革新
07-17 7
本文详细介绍了Linux Netfilter和iptables如何革新网络防火墙技术,通过清晰的架构设计和灵活的规则配置,解决了传统防火墙解决方案中的复杂性和刚性问题。文章还探讨了Netfilter与传统IP链的区别、iptables的规则管理与扩展功能,并提供了实际应用示例和性能优化建议,展示了其在网络安全中的重要作用和未来发展趋势。
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 877
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
netfilter规则处理
csb74110的博客
10-21 278
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn...
Netfilter之table、rule、match、target数据结构
九天小哥的专栏
03-24 1638
表、规则、匹配和target在内核中都有其对应的数据结构,在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及它们之间的关系。 如标题,这篇笔记记录的内容针对的是PF_INET协议族,对于PF_INET6,相同概念对应的数据结构并不相同。 数据结构 struct net 如下,每个协议族有一个自己的链表,用来组织该协议族的表。 struct net { ... #ifdef CONFIG_...
netfiler/iptables
weixin_34357928的博客
11-25 179
一. 什么是netfilter netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back...
NetFilter (2)
Henzox的专栏
02-12 1843
NetFilter 构架原理分析。
Linux防火墙-Netfilter和iptables
flytalei的博客
07-11 864
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
linux下firewalld规则优先级,理解多区域配置中的 firewalld
weixin_34887221的博客
05-16 3304
现在的新闻里充斥着服务器被攻击和数据失窃事件。对于一个阅读过安全公告博客的人来说,通过访问错误配置的服务器,利用最新暴露的安全漏洞或通过窃取的密码来获得系统控制权,并不是件多困难的事情。在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问。因为在应用程序层面上强化系统以防范任何可能的威胁是不可能做到的事情,而防火墙可以通过限制对系统的访问提供了安全保证。防火墙基...
Linux-Netfilter机制分析
09-01
要将自定义的钩子函数注册到Netfilter框架中,开发者需要定义一个`nf_hook_ops`结构体,该结构体包含了钩子函数的指针、协议族类型、钩子点标识以及优先级。然后,调用`nf_register_hook()`函数将这个结构体添加到`...
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1439
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
iptables/netfilter介绍、样例实验和配置规则
dhRainer的博客
10-26 814
iptables/netfilter介绍、样例实验和配置规则0x 01 前言0x 02 表,链以及规则1、表(tables)2、链(chains)3、规则rules)0x 03 利用Iptables进行网络地址转换实例展示1、环境:2、需求描述0x 04 Iptables常见配置命令和操作一、链及NAT的基本操作1、清除所有的规则2、设置链的默认策略。一般有两种方法。3、列出表/链中的所有规...
探索 Rule:一款高效、灵活的规则引擎框架
gitblog_00094的博客
04-05 519
探索 Rule:一款高效、灵活的规则引擎框架 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Rule 是一个轻量级的、可扩展的规则引擎框架,由 roirrow 在 GitCode 上开源。它旨在帮助开发者快速构建基于业务规则的应用程序,使业务逻辑的维护和调整变得更加简单,而无需深入到复杂的代码库中。通过 Rule,您可以将业务决策逻辑从核心应用程序中解耦,从而提升软件...
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 5152
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
Netfilter是如何工作的()(table)规则(rule)
品学楼A107
09-22 1229
()中说到,报文在内核协议栈中会途经5个HOOK点,在每个HOOK点上会依次执行链表上的钩子函数,那么这些钩子函数是如何与用户使用iptables下发的各个rule联系起来的呢?这些rule又是如何存储的呢? 本文详细描述这个问题。 table 内核使用struct xt_table这个结构来表示一个表(table)。结构中记录了这个表在哪些HOOK点有效,它的private指针保存了这个表包...
规则引擎 clara-rules
yin_wuzhe的专栏
11-01 4286
本文的主题是规则引擎,主要内容包括规则引擎的实现算法 rete算法,clojure开源的规则引擎clara-rules对规则的处理方式和特点,以及clojure edn文件格式处理等内容。那么什么是规则引擎呢?规则引擎 规则引擎由推理引擎发展而来,是一种嵌入在应用程序中的组件,实现了将业务决策从应用程序代码中分离出来,并使用预定义的语义模块编写业务决策。接受数据输入,解释业务规则,并根据业务规则
Spring cloud和规则引擎urule整合代码
rishengcsdn的专栏
05-20 2916
本章内容其实和spring cloud没大关系,需要注册中心代码的参考前面的文章:https://blog.youkuaiyun.com/rishengcsdn/article/details/89956473 urule规则引擎是一套纯Java实现,运行时借鉴Rete了算法的优势,再结合中式规则引擎的特点,独创了一套自己的规则模式匹配算法的系统,参考文档: http://www.bstek....
linux内核协议栈 netfilter 之 ip 层的table、rule、match、target结构分析
10-30 2819
在使用iptables过程中,经常会提到table、rule、match和target,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、match、target 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
Netty | 黑白名单
乌鲁木齐001号程序员
02-29 725
Netty 中的 “cidrPrefix” 是什么? 用 CIDR 的方式表示一个 IP,比如:192.168.31.100/24,其中 24 就是 Netty 中的 cidrPrefix; Netty 地址过滤功能源码解析 Netty 地址过滤的功能 同一个 IP 只能有一个连接,逻辑在 UniqueIpFilter 中实现,其也是个 handler,用的时候安装到 pip...
linux中的TC框架netfilter框架
最新发布
01-06
### Linux 中 TC 框架Netfilter 框架的比较 #### 区别 Netfilter 和 Traffic Control (TC) 是 Linux 网络子系统的两个重要组成部分,各自负责不同的网络处理任务。 - **功能定位** - Netfilter 主要用于包过滤和地址转换等功能。它允许内核模块在数据包通过网络堆栈的不同位置进行操作,支持防火墙、NAT(Network Address Translation)、IPSec 等安全特性[^1]。 - TC 则专注于流量整形和带宽管理,在发送方向上控制数据流的速度以及优先级调度策略,确保不同类型的业务能够获得合理的资源分配[^2]。 - **工作阶段** - Netfilter 处理的是进入或离开主机的数据报文,在 OSI 参考模型中的第三层(网络层)到第七层(应用层)之间运作;而 TC 更多关注于第二层之后至传输层之前的部分,即链路层以上的部分,并且主要作用是在输出路径上的队列管理和速率限制等方面发挥作用。 - **配置工具** - 对应这两个框架有不同的命令行工具来进行设置:`iptables`, `nftables` 常被用来定制 netfilter 的行为模式;对于 tc,则有专门设计好的 iproute2 工具集下的 `tc` 命令来完成相应参数调整。 #### 联系 尽管两者有着明显的分工差异,但在实际部署过程中往往相辅相成: - 当需要对特定应用程序产生的流量实施精确调控时,可以先利用 netfilter 定义匹配条件筛选目标连接对象,再交由 tc 执行具体的 QoS (Quality of Service,服务质量)措施; - 同样地,在某些复杂环境中可能既存在对外部访问权限的安全管控需求又涉及到内部服务间通信效率优化的要求——此时便可以通过组合运用这两种技术手段达到理想效果。 #### 应用场景 根据不同侧重点,两种机制适用于不同类型的应用场合: - **Netfilter 场景** - 实现企业级网络安全防护体系,如入侵检测系统IDS(Intrusion Detection System),防止恶意攻击者未经授权获取敏感资料; - 构建虚拟专用网(VPN,Virtural Private Network),使得远程工作者能安全接入公司内部网络环境; - 提供负载均衡解决方案,提高服务器集群的整体性能表现并增强可用性和可靠性。 - **TC 场景** - 面向 ISP(Internet Service Provider)/运营商提供差异化服务水平协议SLA(Service Level Agreement),保障高价值客户享有更优质的互联网体验; - 支持多媒体实时交互类应用例如 VoIP/VoLTE(voice over IP/Long Term Evolution)通话质量不受拥塞影响保持清晰流畅; - 协助大型数据中心有效规划计算节点间的通讯带宽配额,促进资源共享最大化的同时减少延迟现象发生概率。 ```bash # 示例:使用 iptables 设置简单的入站规则 sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT # 示例:创建 HTB 类型的 qdisc 并为其根节点指定默认 classid sudo tc qdisc add dev eth0 root handle 1: htb default 10 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值