iptables iptc_init函数

最新推荐文章于 2024-10-13 10:05:56 发布
最新推荐文章于 2024-10-13 10:05:56 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sidemap/article/details/103418613
本文深入解析iptables的初始化过程,包括通过socket通信与内核交互,获取表信息和规则详情。阐述了用户空间与内核空间的数据结构映射,以及ioctl和getsockopt函数在规则获取中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptc_init(): 根据指定的表名获取内核中该表的自身信息和表中所有规则

fcntl(fd, F_SETFD, FD_CLOEXEC)
fcntl(int fd, int cmd, long arg): 用来操作文件描述符一些特性。fcntl不仅可以施加建议性锁,还可以施加强制锁。同时,fcntl还可以对文件某一记录进行上锁,也就是记录锁。
F_SETFD 设置close-on-exec 旗标。该旗标以参数arg 的FD_CLOEXEC位决定

=========用户空间==========

对于ipv4和ipv6都被宏定义为TC_INIT

// libip4tc.c 
#define TC_INIT     iptc_init

// libip6tc.c 
#define TC_INIT     ip6tc_init

struct xtc_handle *
TC_INIT(const char *tablename)

1、创建sockfd = socket(TC_AF, SOCK_RAW, IPPROTO_RAW),与内核进行通信

2、将tablename设置到STRUCT_GETINFO info的name中,通过getsockopt(sockfd, TC_IPPROTO, SO_GET_INFO, &info, sizeof(info)),获取STRUCT_GETINFO信息,对于结构体用户空间、内核空间如何使用,结构体注释已经明确说明了

// libiptc/libip4tc.c
#define STRUCT_GETINFO struct ipt_getinfo

// libiptc/libip6tc.c
#define STRUCT_GETINFO struct ip6t_getinfo

// include/linuxe/netfileter_ipv4/ip_tables.h(来自内核)
/* The argument to IPT_SO_GET_INFO */
struct ipt_getinfo {
    /* Which table: caller fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* kernel fills these in */
    /* Which hook entry points are valid: bitmask */
    unsigned int valid_hooks;

    /* Hook entry points: one per netfilter hook. */
    unsigned int hook_entry[NF_INET_NUMHOOKS];

    /* Underflow points */
    unsigned int underflow[NF_INET_NUMHOOKS];

    /* Number of entries */
    unsigned int num_entries;

    /* size of entries */
    unsigned int size;
};

<<<<<<<<<<(1)

// libiptc/libiptc.c
struct xtc_handle {
    int sockfd;
    int chaned;

    struct list_head chains;

    struct chain_head *chain_iterator_cur;
    struct rule_head *rule_iterator_cur;

    unsigned int num_chains;        /* Number of user defined chains */

    struct chain_head **chain_index;    /* array for fast chain list access */
    unsigned int chain_index_sz;    /* size of chain index array */

    int sorted_offsets;

    STRUCT_GETINFO info;
    STRUCT_GET_ENTRIES *entries;
};

3、根据获取的STRUCT_GETINFO中的size信息,进行struct xtc_handle的分配{alloc_handle(STRUCT_GETINFO *info)},然后将xtc_handle中的sockfd、info、 entries->size进行赋值

4、再通过getsockopt获取entries的信息{getsockopt(sockfd, TC_IPPROTO, SO_GET_ENTRIES, H->entries, &tmp)}

// libiptc/libip4tc.c 
#define STRUCT_GET_ENTRIES struct ipt_get_entries

// libiptc/libip6tc.c 
#define STRUCT_GET_ENTRIES struct ip6t_get_entries

// include/linux/netfilter_ipv4/ip_tables.h
/* The argument to IPT_SO_GET_ENTRIES. */
struct ipt_get_entries {
    /* Which table: user fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* User fills this in: total entry size. */
    unsigned int size;

    /* The entries. */
    struct ipt_entry entrytable[0];
};

 

=========内核空间==========

1、内核模块通过函数do_ipt_get_ctl得到IPT_SO_GET_INFO命令,通过get_info获取信息

2、get_info首先从user参数中获取tablename: copy_from_user(name, user, sizeof(name));【根据用户空间的步骤2得知,用户空间传入的:q参数类型为STRUCT_GETINFO,但是这个位置获取的为字符串name,因此STRUCT_GETINFO第一个参数必须是name,并且一样大小的name空间】

3、根据name从内核空间中查找到xt_table t = try_then_request_module(xt_find_table_lock(net, AF_INET, name), "iptable_%s", name);

4、从获取的table中,从中拷贝出valid_hooks/hook_entry/under_flow/num_entries/size/name放置到新构建的ipt_getinfo info结构体中

5、调用copy_to_user到用户空间{copy_to_user(user, info, *len)}, 并对表进行解锁(获取表时进行了lock)

<<<<<<<<<<(1)

内核定义的几个数据结构用于与用户空间交互

1、IPT_SO_GET_INFO
 

>>>>>>>>ipv4的定义<<<<<<<<
// 在用户空间(iptables)中被重定义为 
#define STRUCT_GETINFO struct ipt_getinfo

// 在内核空间中定义为:
/* The argument to IPT_SO_GET_INFO */
struct ipt_getinfo{
    /* Which table: caller fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* Kernel fills these in. */
    /* Which hook entry points are valid: bitmask */
    unsigned int valid_hooks;

    /* Hook entry points: one per-netfilter hooks. */
    unsigned int hook_entry[NF_INET_NUMHOOKS];

    /* Underflow points */
    unsigned int underflow[NF_INET_NUMHOOKS];

    /* Number of entries */
    unsigned int num_entries;

    /* Size of entries*/
    unsigned int size;
};


>>>>>>>>ipv6的定义与ipv4类同<<<<<<<<

2、IPT_SO_GET_ENTRIES
 

// 在用户空间(iptables)被重定义为
#define STRUCT_GET_ENTRIES struct ipt_get_entries

// 在内核空间中的定义
/* The argument to IPT_SO_GET_ENTRIES. */
struct ipt_get_entries {
    /* Which table: user fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* User fills this in: total entry size. */
    unsigned int size;

    /* The entries */
    struct ipt_entry entrytable[0];
};

 

linux防火墙编程,Linux防火墙netfilter的编程接口libiptc简介
weixin_34920577的博客
05-12 961
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3890
1、库libiptc 什么是libiptc libiptc是用于与netfilter通信的库,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编写。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
iptc example
ace_fei的专栏
02-03 1367
now let's see the small example (the working one). We'd like to create iptables' equivalent rule: iptables -A INPUT -s 156.145.1.3 -d 168.220.1.9 -i eth0 -p tcp --sport 0:59136 --dport 0:51201 -m limi
图片的IPTC
mengzhongshi的专栏
11-28 4385
<br />IPTC是于1970建立的一套用于管理图片信息的目录系统。在IPTC出现之前,图片是无法进行分类,我们也不能从图片本身得到一些与图片相关的信息。 举个例子,如果我现在去黄山玩,我拍了好几张经典的照片,然后我发布到网上去,如果我发布的时候不加上备注。你看见这图片以后能知道这图片是谁拍的,是什 么时候拍的吗?而且就算我写明了,那么有人把这图片下载了下来。然后又把这图片上传到另一个网站上去。那么也许备注信息也没有了。我们不可能从图片本身知 道图片背后的一些信息。所以IPTC出现了,这个协议可以把
【图像处理】IPTC Tags
少莫千华
03-13 1215
IPTC Tags The tags listed below are part of the International Press Telecommunications Council (IPTC) and the Newspaper Association of America (NAA) Information Interchange Model (IIM). This is an ol
元数据 - IPTC 扩展属性
qq_41176800的博客
10-13 1059
IPTC 扩展属性IPTC Extension Properties是由国际新闻电讯理事会制定的元数据标准,旨在补充 IPTC 核心属性,提供更详细和专门化的信息,以满足当代媒体工作流程和数字资产管理的需求。这些扩展属性涵盖了关于人物、地点、事件、版权等方面的详细信息。IPTC,International Press Telecommunications Council。其他模特信息Additi...
linux 下的 iptables/ netfilter 防火墙 深度理解 中篇
bie_niu1992的专栏
05-29 950
一 概述 前篇主要提到了用户空间 iptables 1.3.5 源码对规则的处理。但是并没有涉及内核空间netfliter 模块的处理。用户空间上的规则要生效最终肯定是通过传给内核空间的netfilter,让netfliter这个老大哥处理。因此抛出两个问题。 用户空间的是怎么获取内核空间已经存在的规则,或者用户空间是如何将需要netfilter处理的规则下发给内核?简而言之,规则在用户空间是如...
Libiptc库(一)
sun_gao的专栏
03-10 6165
1.     Iptc_init 函数原型:struct iptc_handle *iptc_init(const char*tablename); 描述:tablename是表名iptables内置支持的表名有:filter,mangle,nat函数返回一个初始化后的struct iptc_handle指针,大多数libiptc函数都要依赖此指针。 2. iptc_first_chain
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
初始化表和链可以使用 iptc_init 函数,构造规则可以使用 ipt_entry 结构体,添加规则可以使用 iptc_append_entry 函数。 例如,要添加一个规则,该规则的目标部分是 ACCEPT,匹配部分是 tcp 的目的端口是 80,我们...
linux 下的 iptables/ netfilter 防火墙 深度理解 前篇
bie_niu1992的专栏
05-12 903
一 概述 iptables 其实不是真正的防火墙,我们可以把它理解为一个客户端代理,用户通过iptables 这个代理,将用户的安全设置执行到对应的“安全框架”中,这个安全框架才是真正的防火墙。这个框架的名称叫做netfilter 。 ...
TCP/IP驱动十一 ——内核2.6.26中inet_csk和inet_sk两个函数推导
hxchuan000的专栏
06-20 2161
原址: http://fpcfjf.blog.163.com/blog/static/55469793201372033430691/ 在内核的sys_bind(sys_bind()---inet_bind()---inet_csk_get_port())过程中,在函数int inet_csk_get_port(struct sock *sk, unsigned short snum)
(十二)洞悉linux下的Netfilter&iptablesiptables命令行工具源码解析【下】
01-23 1861
iptables用户空间和内核空间的交互 iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptciptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfilter的
iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root)
热门推荐
鱼爻
03-13 2万+
在docker中的容器 我不知到为什么会这样,在虚拟机ubuntu的时候没出现这个问题,换到物理ubuntu上就这样了 ERROR: problem running iptables: iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps ipt...
对linux防火墙描述错误,Linux防火墙netfilter的编程接口libiptc简介
weixin_32573931的博客
05-13 582
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
深入理解Android系统网络架构
ulangch的博客
04-10 1万+
引言:这篇文章以WiFi举例,介绍了Android系统网络架构。其内容包含:网络链路的连接和注册、网络有效性检测和网络优选、Android系统网络防火墙和几种场景下的网络策略等,文章的最后也列举了几种常见的无法上网原因供大家参考。 一. 基本结构 1.1 类图 1.2 WifiService WifiManager中公开API的具体实现,提供了WiFi打开与关闭、配置和扫描、连接和断开等方法,其...
Linux-----iptables基础篇
weixin_44167712的博客
01-22 370
Linux--iptables基础篇1 iptables基础篇1.1 iptables基础1.2 顺序读取规则1.3 命令格式1.3.1 参数:1.3.2 动作选项1.4 帮助及环境准备2 简单应用2.1 尝试禁止用户访问1521端口2.2 删除规则2.3 -A和-I的区别2.4 禁止192.168.0.20访问2.5 禁止非自己的访问2.6 禁端口范围2.7 匹配icmp类型2.8 匹配网络状态...
iptables 源码分析
Rain的专栏
08-06 2632
http://linux.ccidnet.com/art/741/20060705/596527_1.html
Linux netfilter Hacking HOWTO
RToax
07-11 767
Linux netfilter Hacking HOWTO Rusty Russell and Harald Welte, mailing listnetfilter@lists.samba.org $Revision: 521 $ $Date: 2002-07-02 06:07:19 +0200 (mar, 02 jul 2002) $ This document describes the netfilter architecture for Linux, how to hack it, and.
iptables nf_log_ipv4
最新发布
03-19
### 配置 `iptables` 和 `nf_log_ipv4` 进行网络流量日志记录 为了实现基于 `nf_log_ipv4` 的网络流量日志记录功能,可以按照以下方法操作: #### 使用 `iptables` 添加 NFLOG 规则 通过 `iptables` 命令配置规则来指定哪些数据包会被发送到 `nf_log_ipv4` 模块进行日志记录。以下是具体命令示例: ```bash # 创建一个新的链并将匹配的数据包发送给 nf_log_ipv4 处理 iptables -A OUTPUT -p tcp --dport 80 -j NFLOG --nflog-group 1 --nflog-prefix "HTTP_TRAFFIC" ``` 上述命令的作用是将目标端口为 80(通常是 HTTP 流量)的 TCP 数据包标记并传递至 `NFLOG` 目标组 1,并附加前缀 `"HTTP_TRAFFIC"` 到每条日志消息中[^1]。 #### 设置内核参数以启用特定协议的日志记录 确保启用了针对 IPv4 协议 (`NFPROTO_IPV4`) 的日志记录机制。可以通过调整内核参数完成这一过程: ```bash echo 'net.netfilter.nf_log.2=nf_log_ipv4' >> /etc/sysctl.conf sysctl -p ``` 这一步骤会永久保存设置,在系统重启后仍然有效。 #### 加载必要的内核模块 确认加载了与 `nf_log_ipv4` 及其依赖项有关的核心组件: ```bash modprobe nf_log_ipv4 lsmod | grep nf_log_ipv4 ``` 如果未发现该模块,则可能需要手动安装或者重新编译内核支持这些特性[^2]。 #### 查看生成的日志信息 默认情况下,`nf_log_ipv4` 将日志输出到标准 Linux syslog 设施下。可以根据实际需求修改 `/etc/rsyslog.d/` 下的相关配置文件过滤和存储特定类型的日志条目。例如创建新的 rsyslog 配置片段以便更好地管理来自 NFLOG 的事件流: ```rsyslog if $programname == 'kernel' and ($msg contains 'HTTP_TRAFFIC') then { action(type="omfile" file="/var/log/http_nflog.log") } & stop; ``` 之后需重启动 Rsyslog 服务使更改生效: ```bash systemctl restart rsyslog ``` 这样就可以单独查看被标记过的 HTTP 请求相关的详细情况了[^3]。 #### 注意事项 当涉及到复杂的 NAT 或状态检测场景时,应考虑是否已激活关联的支持模块如 `nf_conntrack` ,因为它们共同协作才能提供完整的连接追踪能力以及更精确的行为分析[^4]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值