iptables规则绑定在port而不是拦截在协议栈

版权声明：本文为博主原创，无版权。未经博主同意能够任意转载，无需注明出处，任意改动或保持可作为原创！

https://blog.csdn.net/dog250/article/details/24173103

是不是要又一次设计Netfilter的HOOK点位置了？无疑这是一个没有意义的问题，由于你无法证明新的方案更好。你可能仅仅是看上了还有一个平台的方案而已。而这个方法和Netfilter的方案是不同的。

其实，我就是这样一个人。
       Cisco的ACL能够被编译在port上。其实Cisco设备的网络port角色是能够被定义的，Linux的理念和此全然不同，Linux内核觉得定义角色这样的事是用户态的职责。如何要实现一个具有完备性的，不依赖用户态配置的数据包拦截机制，那就必须在协议栈路径上进行拦截。换句话说。Netfilter是全然基于skb本身来拦截并处理数据包的，这一点能够从NF_HOOK宏的參数看得出来，可是你能够看到。它还有两个net_device參数。基于这一点，我们就能够模仿Cisco设备的方式将规则绑定到设备了，这么做是有优点的，能够大大提高效率。

比方假设你配置了10000条规则，假设有不相关网口设备进来的数据包。那么这些数据包就不必经过iptables规则的过滤。
       须要改动的地方比較少，这里仅仅给出ipt_hook的改动：

static unsigned int
ipt_hook(unsigned int hook,
         struct sk_buff *skb,
         const struct net_device *in,
         const struct net_device *out,
         int (*okfn)(struct sk_buff *))
{

        struct netns_table_per_dev {
                struct list_head list;
                struct net_device *dev;
                struct xt_table *table;
        };
        // dev_net(in)->ipv4.iptable_filter不再是一个xt_table，而是一个list
        struct wrap_table {
                struct list_head *tb_list;
        };
        struct xt_table *table;
        struct netns_table_per_dev *table_dev;
        struct list_head *pos;
        struct wrap_table *tb_list = (struct wrap_table *)dev_net(in)->ipv4.iptable_filter;
        list_for_each(pos, tb_list->tb_list) {
                table_dev = list_entry(pos, struct netns_table_per_dev, dev);
                if (table_dev->dev == in) {
                        table = table_dev->table;
                }
        }
        if (table == NULL) {
                return NF_ACCEPT;
        }
        return ipt_do_table(skb, hook, in, out, table);
}

一个在协议栈拦截。一个在设备拦截，该手术做的有点大。颠覆了既有的理念。不知道会不会有后遗症。

       无论如何，不能走火入魔。