iptables iptc_init函数

最新推荐文章于 2024-10-13 10:05:56 发布
原创 最新推荐文章于 2024-10-13 10:05:56 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析iptables的初始化过程,包括通过socket通信与内核交互,获取表信息和规则详情。阐述了用户空间与内核空间的数据结构映射,以及ioctl和getsockopt函数在规则获取中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptc_init(): 根据指定的表名获取内核中该表的自身信息和表中所有规则

fcntl(fd, F_SETFD, FD_CLOEXEC)
fcntl(int fd, int cmd, long arg): 用来操作文件描述符一些特性。fcntl不仅可以施加建议性锁,还可以施加强制锁。同时,fcntl还可以对文件某一记录进行上锁,也就是记录锁。
F_SETFD 设置close-on-exec 旗标。该旗标以参数arg 的FD_CLOEXEC位决定

=========用户空间==========

对于ipv4和ipv6都被宏定义为TC_INIT

// libip4tc.c 
#define TC_INIT     iptc_init

// libip6tc.c 
#define TC_INIT     ip6tc_init

struct xtc_handle *
TC_INIT(const char *tablename)

1、创建sockfd = socket(TC_AF, SOCK_RAW, IPPROTO_RAW),与内核进行通信

2、将tablename设置到STRUCT_GETINFO info的name中,通过getsockopt(sockfd, TC_IPPROTO, SO_GET_INFO, &info, sizeof(info)),获取STRUCT_GETINFO信息,对于结构体用户空间、内核空间如何使用,结构体注释已经明确说明了

// libiptc/libip4tc.c
#define STRUCT_GETINFO struct ipt_getinfo

// libiptc/libip6tc.c
#define STRUCT_GETINFO struct ip6t_getinfo

// include/linuxe/netfileter_ipv4/ip_tables.h(来自内核)
/* The argument to IPT_SO_GET_INFO */
struct ipt_getinfo {
    /* Which table: caller fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* kernel fills these in */
    /* Which hook entry points are valid: bitmask */
    unsigned int valid_hooks;

    /* Hook entry points: one per netfilter hook. */
    unsigned int hook_entry[NF_INET_NUMHOOKS];

    /* Underflow points */
    unsigned int underflow[NF_INET_NUMHOOKS];

    /* Number of entries */
    unsigned int num_entries;

    /* size of entries */
    unsigned int size;
};

<<<<<<<<<<(1)

// libiptc/libiptc.c
struct xtc_handle {
    int sockfd;
    int chaned;

    struct list_head chains;

    struct chain_head *chain_iterator_cur;
    struct rule_head *rule_iterator_cur;

    unsigned int num_chains;        /* Number of user defined chains */

    struct chain_head **chain_index;    /* array for fast chain list access */
    unsigned int chain_index_sz;    /* size of chain index array */

    int sorted_offsets;

    STRUCT_GETINFO info;
    STRUCT_GET_ENTRIES *entries;
};

3、根据获取的STRUCT_GETINFO中的size信息,进行struct xtc_handle的分配{alloc_handle(STRUCT_GETINFO *info)},然后将xtc_handle中的sockfd、info、 entries->size进行赋值

4、再通过getsockopt获取entries的信息{getsockopt(sockfd, TC_IPPROTO, SO_GET_ENTRIES, H->entries, &tmp)}

// libiptc/libip4tc.c 
#define STRUCT_GET_ENTRIES struct ipt_get_entries

// libiptc/libip6tc.c 
#define STRUCT_GET_ENTRIES struct ip6t_get_entries

// include/linux/netfilter_ipv4/ip_tables.h
/* The argument to IPT_SO_GET_ENTRIES. */
struct ipt_get_entries {
    /* Which table: user fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* User fills this in: total entry size. */
    unsigned int size;

    /* The entries. */
    struct ipt_entry entrytable[0];
};

 

=========内核空间==========

1、内核模块通过函数do_ipt_get_ctl得到IPT_SO_GET_INFO命令,通过get_info获取信息

2、get_info首先从user参数中获取tablename: copy_from_user(name, user, sizeof(name));【根据用户空间的步骤2得知,用户空间传入的:q参数类型为STRUCT_GETINFO,但是这个位置获取的为字符串name,因此STRUCT_GETINFO第一个参数必须是name,并且一样大小的name空间】

3、根据name从内核空间中查找到xt_table t = try_then_request_module(xt_find_table_lock(net, AF_INET, name), "iptable_%s", name);

4、从获取的table中,从中拷贝出valid_hooks/hook_entry/under_flow/num_entries/size/name放置到新构建的ipt_getinfo info结构体中

5、调用copy_to_user到用户空间{copy_to_user(user, info, *len)}, 并对表进行解锁(获取表时进行了lock)

<<<<<<<<<<(1)

内核定义的几个数据结构用于与用户空间交互

1、IPT_SO_GET_INFO
 

>>>>>>>>ipv4的定义<<<<<<<<
// 在用户空间(iptables)中被重定义为 
#define STRUCT_GETINFO struct ipt_getinfo

// 在内核空间中定义为:
/* The argument to IPT_SO_GET_INFO */
struct ipt_getinfo{
    /* Which table: caller fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* Kernel fills these in. */
    /* Which hook entry points are valid: bitmask */
    unsigned int valid_hooks;

    /* Hook entry points: one per-netfilter hooks. */
    unsigned int hook_entry[NF_INET_NUMHOOKS];

    /* Underflow points */
    unsigned int underflow[NF_INET_NUMHOOKS];

    /* Number of entries */
    unsigned int num_entries;

    /* Size of entries*/
    unsigned int size;
};


>>>>>>>>ipv6的定义与ipv4类同<<<<<<<<

2、IPT_SO_GET_ENTRIES
 

// 在用户空间(iptables)被重定义为
#define STRUCT_GET_ENTRIES struct ipt_get_entries

// 在内核空间中的定义
/* The argument to IPT_SO_GET_ENTRIES. */
struct ipt_get_entries {
    /* Which table: user fills this in. */
    char name[XT_TABLE_MAXNAMELEN];

    /* User fills this in: total entry size. */
    unsigned int size;

    /* The entries */
    struct ipt_entry entrytable[0];
};

 

linux防火墙编程,Linux防火墙netfilter的编程接口libiptc简介
weixin_34920577的博客
05-12 961
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
Libiptc库(一)
sun_gao的专栏
03-10 6165
1.     Iptc_init 函数原型:struct iptc_handle *iptc_init(const char*tablename); 描述:tablename是表名iptables内置支持的表名有:filter,mangle,nat函数返回一个初始化后的struct iptc_handle指针,大多数libiptc函数都要依赖此指针。 2. iptc_first_chain
iptc example
ace_fei的专栏
02-03 1367
now let's see the small example (the working one). We'd like to create iptables' equivalent rule: iptables -A INPUT -s 156.145.1.3 -d 168.220.1.9 -i eth0 -p tcp --sport 0:59136 --dport 0:51201 -m limi
图片的IPTC
mengzhongshi的专栏
11-28 4385
<br />IPTC是于1970建立的一套用于管理图片信息的目录系统。在IPTC出现之前,图片是无法进行分类,我们也不能从图片本身得到一些与图片相关的信息。 举个例子,如果我现在去黄山玩,我拍了好几张经典的照片,然后我发布到网上去,如果我发布的时候不加上备注。你看见这图片以后能知道这图片是谁拍的,是什 么时候拍的吗?而且就算我写明了,那么有人把这图片下载了下来。然后又把这图片上传到另一个网站上去。那么也许备注信息也没有了。我们不可能从图片本身知 道图片背后的一些信息。所以IPTC出现了,这个协议可以把
【图像处理】IPTC Tags
少莫千华
03-13 1215
IPTC Tags The tags listed below are part of the International Press Telecommunications Council (IPTC) and the Newspaper Association of America (NAA) Information Interchange Model (IIM). This is an ol
元数据 - IPTC 扩展属性
qq_41176800的博客
10-13 1059
IPTC 扩展属性IPTC Extension Properties是由国际新闻电讯理事会制定的元数据标准,旨在补充 IPTC 核心属性,提供更详细和专门化的信息,以满足当代媒体工作流程和数字资产管理的需求。这些扩展属性涵盖了关于人物、地点、事件、版权等方面的详细信息。IPTC,International Press Telecommunications Council。其他模特信息Additi...
TCP/IP驱动十一 ——内核2.6.26中inet_csk和inet_sk两个函数推导
hxchuan000的专栏
06-20 2161
原址: http://fpcfjf.blog.163.com/blog/static/55469793201372033430691/ 在内核的sys_bind(sys_bind()---inet_bind()---inet_csk_get_port())过程中,在函数int inet_csk_get_port(struct sock *sk, unsigned short snum)
(十二)洞悉linux下的Netfilter&iptablesiptables命令行工具源码解析【下】
01-23 1861
iptables用户空间和内核空间的交互 iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptciptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfilter的
iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root)
热门推荐
鱼爻
03-13 2万+
在docker中的容器 我不知到为什么会这样,在虚拟机ubuntu的时候没出现这个问题,换到物理ubuntu上就这样了 ERROR: problem running iptables: iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps ipt...
对linux防火墙描述错误,Linux防火墙netfilter的编程接口libiptc简介
weixin_32573931的博客
05-13 582
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
Linux防火墙netfilter的编程接口libiptc简介.pdf
linux 下的 iptables/ netfilter 防火墙 深度理解 中篇
bie_niu1992的专栏
05-29 949
一 概述 前篇主要提到了用户空间 iptables 1.3.5 源码对规则的处理。但是并没有涉及内核空间netfliter 模块的处理。用户空间上的规则要生效最终肯定是通过传给内核空间的netfilter,让netfliter这个老大哥处理。因此抛出两个问题。 用户空间的是怎么获取内核空间已经存在的规则,或者用户空间是如何将需要netfilter处理的规则下发给内核?简而言之,规则在用户空间是如...
深入理解Android系统网络架构
ulangch的博客
04-10 1万+
引言:这篇文章以WiFi举例,介绍了Android系统网络架构。其内容包含:网络链路的连接和注册、网络有效性检测和网络优选、Android系统网络防火墙和几种场景下的网络策略等,文章的最后也列举了几种常见的无法上网原因供大家参考。 一. 基本结构 1.1 类图 1.2 WifiService WifiManager中公开API的具体实现,提供了WiFi打开与关闭、配置和扫描、连接和断开等方法,其...
Linux-----iptables基础篇
weixin_44167712的博客
01-22 370
Linux--iptables基础篇1 iptables基础篇1.1 iptables基础1.2 顺序读取规则1.3 命令格式1.3.1 参数:1.3.2 动作选项1.4 帮助及环境准备2 简单应用2.1 尝试禁止用户访问1521端口2.2 删除规则2.3 -A和-I的区别2.4 禁止192.168.0.20访问2.5 禁止非自己的访问2.6 禁端口范围2.7 匹配icmp类型2.8 匹配网络状态...
iptables 源码分析
Rain的专栏
08-06 2632
http://linux.ccidnet.com/art/741/20060705/596527_1.html
Linux netfilter Hacking HOWTO
RToax
07-11 763
Linux netfilter Hacking HOWTO Rusty Russell and Harald Welte, mailing listnetfilter@lists.samba.org $Revision: 521 $ $Date: 2002-07-02 06:07:19 +0200 (mar, 02 jul 2002) $ This document describes the netfilter architecture for Linux, how to hack it, and.
iptables 内部调用过程
Megahertz66的博客
09-05 404
iptables 调用过程 int iptables_main(int argc, char *argv[]) { // 解析用户输入的 iptables 命令,配置好 handle 参数 ret = do_command4(argc, argv, &table, &handle, false); if (ret) { ret = iptc_commit(handle); iptc_free(handle); } iptc_commit 函数实际的实现是使用 TC_COMM
父子进程共享文件描述符的问题解决方法 父子进程间文件描述符传递问题
liuguangzhou123的专栏
07-06 3325
困扰了许久的一个问题:父子进程共享文件描述符或者说父子进程传递文件描述符问题 今天终于解决了!!!因此,记录一下。 一、问题描述: 在linux系统,我有一个A程序,使用socket函数打开并绑定了本地端口假设是5555,然后A程序执行一个sh脚本文件,这个脚本文件会将B程序运行起来。结果,查询端口占用情况时,A,B两个程序都在监听5555端口。即A程序启动B程序时,端口发生了传递。我的问题是,怎样才能防止端口传递? 在Windows系统...
iptables nf_log_ipv4
最新发布
03-19
### 配置 `iptables` 和 `nf_log_ipv4` 进行网络流量日志记录 为了实现基于 `nf_log_ipv4` 的网络流量日志记录功能,可以按照以下方法操作: #### 使用 `iptables` 添加 NFLOG 规则 通过 `iptables` 命令配置规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值