Netfilter之table、rule、match、target的组织管理

最新推荐文章于 2023-09-05 21:06:31 发布
原创 最新推荐文章于 2023-09-05 21:06:31 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Netfilter #rule #match #target #table

本文详细介绍了Netfilter中table、rule、match、target的组织管理,包括table的注册(xt_alloc_table_info()、xt_register_table()、xt_replace_table())、match和target的管理(xt_af链表、xt_register_matches()、xt_register_targets()),以及模块初始化的相关内容。通过这些核心函数,理解内核如何维护Netfilter的各种组件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在上一篇笔记Netfilter之table、rule、match、target数据结构中,看到了内核对这些对象的定义,这篇笔记记录了内核对这些数据结构的组织,以及一些相关的核心函数分析。设计的代码文件主要有:

代码路径说明
/net/netfilter/x_tables.cnetfilter框架对table、match、target的核心实现

1. table的管理

如下,struct net中的xt成员为每个协议族维护了一个链表,用来组织该协议族注册的table,具体的协议族都是在协议族初始化过程中向框架注册自己的table。

struct net {
...
#ifdef CONFIG_NETFILTER
	struct netns_xt		xt;
#endif
};
struct netns_xt {
	struct list_head tables[NPROTO];
};

1.1 table的注册

注册之前,需要先看看struct xt_table_info对象的分配,因为该对象才是真正保存表内容的结构。

1.1.1 xt_alloc_table_info()

//size表示table中规则需要占用的内存大小
struct xt_table_info *xt_alloc_table_info(unsigned int size)
{
	struct xt_table_info *newinfo;
	int cpu;
	//实际分配的内存需要按照页边界对齐
	if ((SMP_ALIGN(size) >> PAGE_SHIFT) + 2 > num_physpages)
		return NULL;
	//为struct xt_table_info对象本身分配内存,不包括规则占用部分
	newinfo = kzalloc(XT_TABLE_INFO_SZ, GFP_KERNEL);
	if (!newinfo)
		return NULL;
	newinfo->size = size;
    //为每个CPU都分配一块内存保存规则,每块内存用entries[i]指针索引
	for_each_possible_cpu(cpu) {
		if (size <= PAGE_SIZE)
			newinfo->entries[cpu] = kmalloc_node(size, GFP_KERNEL, cpu_to_node(cpu));
		else
			newinfo->entries[cpu] = vmalloc_node(size, cpu_to_node(cpu));
		if (newinfo->entries[cpu] == NULL) {
			xt_free_table_info(newinfo);
			return NULL;
		}
	}
	return newinfo;
}
EXPORT_SYMBOL(xt_alloc_table_info);

上面很重要的一点就是表中的规则对于每个CPU都有一份相同的拷贝,这样可以避免多个CPU在访问规则的时候进行额外的锁操作。

1.1.2 xt_register_table()

各协议族调用xt_register_table()向框架注册自己的table。bootstrap参数的存在仅仅是为了复用xt_replace_table()的逻辑而已,因为xt_replace_table()函数本身是用来做table替换的。

struct xt_table *xt_register_table(struct net *net, struct xt_table *table,
	struct xt_table_info *bootstrap, struct xt_table_info *newinfo)
{
	int ret;
	struct xt_table_info *private;
	struct xt_table *t;

	//将参数指定的table拷贝一份
	table = kmemdup(table, sizeof(struct xt_table), GFP_KERNEL);
	if (!table) {
		ret = -ENOMEM;
		goto out;
	}
	//如上所述,全局数组xt[table->af]保存的该协议族的所有match和target,
	//但是这里持锁后访问了net->xt.tables[table->af]变量,该变量保存的是
	//该协议族所有的table。这把锁的定义位置并不合适,其本意是要保护table、
	//match、target,但是table的定义却在net中(更高版本已将match和target
	//也移到了net中)
	ret = mutex_lock_interruptible(&xt[table->af].mutex);
	if (ret != 0)
		goto out_free;
	//检查该协议族的已定义table中是否已有指定名字的table,可见表名字需要协议族内部唯一
	list_for_each_entry(t, &net->xt.tables[table->af], list) {
		if (strcmp(t->name, table->name) == 0) {
			ret = -EEXIST;
			goto unlock;
		}
	}
	/* Simplifies replace_table code. */
	table->private = bootstrap;
	rwlock_init(&table->lock);
	//用newinfo替换table中原来的private指针
	if (!xt_replace_table(table, 0, newinfo, &ret))
		goto unlock;
	private = table->private;
	duprintf("table->private->number = %u\n", private->number);
	/* save number of initial entries */
	private->initial_entries = private->number;
	//将table加入到该协议族的table集合中,注册完毕
	list_add(&table->list, &net->xt.tables[table->af]);
	mutex_unlock(&xt[table->af].mutex);
	return table;
unlock:
	mutex_unlock(&xt[table->af].mutex);
out_free:
	kfree(table);
out:
	return ERR_PTR(ret);
}
EXPORT_SYMBOL_GPL(xt_register_table);

1.1.3 xt_replace_table()

该函数用@newinfo替换@table中原来的private指向的内容,参数num_counters必须是原来table中规则的数目,否则替换将失败。

struct xt_table_info* xt_replace_table(struct xt_table *table, 
	unsigned int num_counters, struct xt_table_info *newinfo, int *error)
{
	struct xt_table_info *oldinfo, *private;
	/* Do the substitution. */
	write_lock_bh(&table->lock);
	private = table->private;
	//个人理解:这只是一种简单的安全检查
	if (num_counters != private->number) {
		write_unlock_bh(&table->lock);
		*error = -EAGAIN;
		return NULL;
	}
	//替换privaet指针
	oldinfo = private;
	table->private = newinfo;
	//初始规则数目保持和旧的相同
	newinfo->initial_entries = oldinfo->initial_entries;
	write_unlock_bh(&table->lock);
	//返回旧的private指针
	return oldinfo;
}
EXPORT_SYMBOL_GPL(xt_replace_table);

关于table的注册需要多啰嗦几句,个人理解:xt_regitster_table()之所以需要两个struct xt_table_info参数,是因为table的注册过程要复用函数xt_replace_table(),该函数本身是用来做table替换的。

表的去注册就是xt_unregister_table(),就是注册的反操作,不再赘述。

2. match和target的管理

如下,全局的struct xt_af变量维护了两个链表,分别来保存系统中已注册match和target,链表中的元素就是struct xt_match和struct xt_target。

2.1 struct xt_af

//全局变量xt会保存系统中所有协议族的match和target
struct xt_af {
	struct mutex mutex;
	struct list_head match;
	struct list_head target;
};
static struct xt_af *xt;

2.2.match的注册

match的注册就相当简单了,直接将struct xt_match加入到对应协议族的match链表尾部。

int xt_register_match(struct xt_match *match)
{
	int ret, af = match->family;
	//和table一样,match用xt[af].mutext保护
	ret = mutex_lock_interruptible(&xt[af].mutex);
	if (ret != 0)
		return ret;
	//match链接到链表尾部
	list_add(&match->list, &xt[af].match);
	mutex_unlock(&xt[af].mutex);
	return ret;
}
EXPORT_SYMBOL(xt_register_match);

也可以通过xt_register_matches()一次注册多个match。相应的,去注册函数有xt_unregister_match()和xt_unregister_matches()。

2.3 target的注册

int xt_register_target(struct xt_target *target)
{
	int ret, af = target->family;
	ret = mutex_lock_interruptible(&xt[af].mutex);
	if (ret != 0)
		return ret;
	list_add(&target->list, &xt[af].target);
	mutex_unlock(&xt[af].mutex);
	return ret;
}
EXPORT_SYMBOL(xt_register_target);

和match类似,target也有xt_register_targets()、xt_unregister_target()和xt_unregister_targets()接口。

3 模块初始化

static int __net_init xt_net_init(struct net *net)
{
	int i;
	//初始化所有协议族保存table的链表
	for (i = 0; i < NPROTO; i++)
		INIT_LIST_HEAD(&net->xt.tables[i]);
	return 0;
}
static struct pernet_operations xt_net_ops = {
	.init = xt_net_init,
};

static int __init xt_init(void)
{
	int i, rv;
	//各个协议族分别和xt[pf]对应
	xt = kmalloc(sizeof(struct xt_af) * NPROTO, GFP_KERNEL);
	if (!xt)
		return -ENOMEM;
	//初始化锁、target链表、match链表
	for (i = 0; i < NPROTO; i++) {
		mutex_init(&xt[i].mutex);
		INIT_LIST_HEAD(&xt[i].target);
		INIT_LIST_HEAD(&xt[i].match);
	}
	rv = register_pernet_subsys(&xt_net_ops);
	if (rv < 0)
		kfree(xt);
	return rv;
}
module_init(xt_init);
netfiltermatchtarget
fengcai_ke的博客
07-18 810
netfilter matchtarget
linux内核协议栈 netfilter 之 ip 层 netfilter 的 NAT 原理及模块初始化
11-06 1268
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
linux内核协议栈 netfilter 之 ip 层的tablerulematchtarget结构分析
10-30 2824
在使用iptables过程中,经常会提到tablerulematchtarget,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rulematchtarget组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
Linux netfilter 学习笔记 之五 ip层netfiltertable中规则的匹配检查
lickylin的专栏
06-23 6709
通过上面一节的分析我们知道,我们通过iptables -A操作添加的规则,都会保存在一个xt_table->private->entries[]中,所以当数据到来后,协议栈执行NF_HOOK操作时,肯定需要遍历xt_table->private->entries中的规则,找到一个匹配的规则,然后对进来的数据包执行该规则的target操作。从xt_table的通用性,我们可以猜到,肯定会有一个通用的
Netfilter是如何工作的(二) 表(table)与规则(rule)
品学楼A107
09-22 1229
在(一)中说到,报文在内核协议栈中会途经5个HOOK点,在每个HOOK点上会依次执行链表上的钩子函数,那么这些钩子函数是如何与用户使用iptables下发的各个rule联系起来的呢?这些rule又是如何存储的呢? 本文详细描述这个问题。 table 内核使用struct xt_table这个结构来表示一个表(table)。结构中记录了这个表在哪些HOOK点有效,它的private指针保存了这个表包...
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfiltertablerulematchtarget结构分析》、《 ip层netfilter...
netfilter之filter
fengcai_ke的博客
07-18 338
netfiler filter表
netfilter之conntrack-helper
fengcai_ke的博客
07-18 2186
netfilter conntrack-helper
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2503
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
xt_register_match将某个xt_match注册的过程
sidemap的博客
11-28 1461
=========================以下内核tcp match module================================= static struct xt_match tcpudp_mt_reg[] __read_mostly = { { .name = "tcp", .family = NFPROTO_IP...
Linux netfilter 学习笔记 之四 ip层netfiltertable注册及规则的添加
lickylin的专栏
06-22 6240
既然我们都已经将xt_tablerulematchtarget的结构体之间的联系都已经分析清楚了,那我们接下来分析表的注册、表中规则的添加、表中规则的删除、表中规则的替换也应该比较容易了。   在上节分析时,我们应该有注意到一个细节,即xt_table_info->entries[]是指向每一个CPU对应于该xt_table的所有规则的首地址,而一个表里面所有的规则是按照连续内存存取的。
iptables 内部调用过程
最新发布
Megahertz66的博客
09-05 411
iptables 调用过程 int iptables_main(int argc, char *argv[]) { // 解析用户输入的 iptables 命令,配置好 handle 参数 ret = do_command4(argc, argv, &table, &handle, false); if (ret) { ret = iptc_commit(handle); iptc_free(handle); } iptc_commit 函数实际的实现是使用 TC_COMM
linux iptables实现
godleading的专栏
02-26 5845
Xtables提供的资源   struct  xt_af  xt[]结构数组 该数组用于挂载各个协议的matchtarget资源。由于写者(添加、删除)和读者(查找)都是在内核空间进程上下文执行,所以它们只需要用xt[n].mutex信号量进行互斥。读者(查找)在将规则关联上一个matchtarget时会增加它们所在模块的引用计数,在它释放这个引用计数之前该模块是不会被卸载的,所
第十一章 Linux包过滤防火墙-netfilter--基于Linux3.10
shichaog的专栏
03-25 5185
11.1 netfilter框架 netfilter从Linux2.4引入linux内核,是现在3.10版本的防火墙框架,该框架可实现数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(NetworkAddressTranslation,NAT),以及基于用户及媒体访问控制(MediaAccess Control,MAC)地址的过滤和基于状态的过滤、包速率限制等 netfilte
iptables目标TPROXY
redwingz的博客
06-26 2353
TPROXY目标帮助信息如下。 如下配置,将目的端口80的报文设置标记1,并且送到本机监听在30080的套接口。 配置如下的IP路由策略,将标记为1的报文,送到本机回环设备lo处理,本机接收: 应用层程序,需要设置套接口IP层选项IP_TRANSPARENT(SOL_IP, IP_TRANSPARENT),以接收代理报文。函数xt_register_targets注册目标结构tproxy_tg_reg。 配置检查函数如下,对于IPv4协议,启用报文重组功能,透明代理仅支持TCP和UDP协议。 目标处理函数如
Netfilter iptables 实现分析
mabin2005的专栏
11-17 2547
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
table模块各个结构定义 及 iptables filter hook函数注册
sidemap的博客
12-04 359
1、iptables filter tables 首先看一下xt_table -> xt_table_info -> xt_entry -> ipt_entry / ipt_entry_match / ipt_standard_target ->ipt_entry_target / verdict之间的关系 涉及到的部分结构体 ///< include/l...
iptables匹配multiport
redwingz的博客
04-17 5105
multiport匹配帮助信息如下。multiport有三个选项。其中,–source-port(简写–sports)用于指定源端口,多个源端口使用逗号分隔,当指定源端口范围时,使用分号表示区间(port:port)。 选项–destination-ports(简写为–dports)用于指定目的端口。选项–ports可匹配源或者目的端口。 multiport仅支持带有端口号的协议,如tcp,udp,udplite,dccp和sctp。 # iptables -m multiport -h multipor
洞悉linux下的Netfilter&iptables:什么是Netfilter
热门推荐
海边顽石的专栏
08-31 1万+
转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 很多人在接触iptables之后就会这么一种感觉:我通过iptables命令配下去的每一条规则,到底是如何生效的呢?内核又是怎么去执行这些规则匹配呢?如果iptables不能满足我当下的需求,那么我是否可以去对其进行扩展呢?这些问题,都是我在接下来的博文中一一和大家分享的话题。
内核配置CONFIG_NETFILTER_XT_MATCH_IPVS 是什么意思
05-30
内核配置`CONFIG_NETFILTER_XT_MATCH_IPVS`是用于支持IPVS(IP Virtual Server)数据包匹配的一个内核选项。 IPVS是Linux内核中的一个模块,可以将来自客户端的数据包转发到后端的多个服务器上,从而实现负载均衡和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值