Netfilter 之 五个钩子点

概述

在协议栈的三层IPv4(IPv6还没看，不清楚)数据包的处理过程中，可能经过Netfilter的五个钩子点，分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING，在每个点都可以设置一些规则，来对数据包进行匹配检查处理，这些规则的配置、布局和匹配流程，后续文章会详细介绍，本篇主要介绍这五个钩子点以及所处的上下文调用关系；

五个钩子点的位置如下图所示；

代码分析

NF_INET_PRE_ROUTING

当二层收包结束后，会根据注册的协议和回调函数分发数据包，其中ipv4的数据包会分发到ip_rcv函数进行三层协议栈处理，该函数对数据包的合法性进行检查，并且设置一些必要字段之后，经过PRE_ROUTING钩子点；

 int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)
 {
         /* IP数据报的合法性检查和一些必要字段设置，此处省略 */

     /* 经过PRE_ROUTING钩子点 */
     return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING,
                net, NULL, skb, dev, NULL,
                ip_rcv_finish);

 }

NF_INET_LOCAL_IN

上面的ip_rcv函数在经过了PRE_ROUTING钩子点之后，会调用ip_rcv_finish函数，该函数的主要功能是查路由，决定数据包是输入到本地还是转发，并调用dst_input函数；当数据包输入本地时，dst_input函数实际调用了ip_local_deliver函数，函数首先对分片进行检查，如果是分片则需要进行重组，然后经过NF_INET_LOCAL_IN钩子点，之后调用ip_local_deliver_finish继续进行输入本地的其他工作；

 int ip_local_deliver(struct sk_buff *skb)
 {
     struct net *net = dev_net(skb->dev);

     /* 分片重组 */
     if (ip_is_fragment(ip_hdr(skb))) {
         if (ip_defrag(net, skb, IP_DEFRAG_LOCAL_DELIVER))
             return ;
     }

     /* 经过LOCAL_IN钩子点 */
     return NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN,
                net, NULL, skb, skb->dev, NULL,
                ip_local_deliver_finish);
 }

NF_INET_FORWARD

上面的ip_rcv函数在经过了PRE_ROUTING钩子点之后，会调用ip_rcv_finish函数，该函数的主要功能是查路由，决定数据包是输入到本地还是转发，并调用dst_input函数；当数据包输入本地时，dst_input函数实际调用了ip_forward函数，函数数据包进行合法性检查，然后经过NF_INET_FORWARD钩子点，之后调用ip_forward_finish继续进行转发的其他工作，ip_forward_finish在输出数据包的时候，实际上又调用dst_output，实际上就是ip_output函数；

 static int ip_forward_finish(struct net *net, struct sock *sk, struct sk_buff *skb)
 {
         /* 合法性检查等，此处省略 */

         /* 经过FORWARD钩子点 */
     return NF_HOOK(NFPROTO_IPV4, NF_INET_FORWARD,
                net, NULL, skb, skb->dev, rt->dst.dev,
                ip_forward_finish);

 }

NF_INET_LOCAL_OUT

从本机发出的数据包，在查询路由成功之后，会调用__ip_local_out函数，函数首先进行必要字段设置和校验和计算，然后经过NF_INET_LOCAL_OUT钩子点，之后会调用dst_output继续完成数据包输出的其他工作，ipv4的路由输出函数实际上就是ip_output函数；

 int __ip_local_out(struct net *net, struct sock *sk, struct sk_buff *skb)
 {
     struct iphdr *iph = ip_hdr(skb);

     /* 设置总长度 */
     iph->tot_len = htons(skb->len);
     /* 计算校验和 */
     ip_send_check(iph);

     /* if egress device is enslaved to an L3 master device pass the
      * skb to its handler for processing
      */
     skb = l3mdev_ip_out(sk, skb);
     if (unlikely(!skb))
         return ;

     /* 设置ip协议 */
     skb->protocol = htons(ETH_P_IP);

     /* 经过NF的LOCAL_OUT钩子点 */
     return nf_hook(NFPROTO_IPV4, NF_INET_LOCAL_OUT,
                net, sk, skb, NULL, skb_dst(skb)->dev,
                dst_output);
 }

NF_INET_POST_ROUTING

转发的数据包或者是本地输出的数据包，最后都会经过ip_output进行输出，函数设置设备和协议之后，经过NF_INET_POST_ROUTING钩子点，之后调用ip_finish_output进行后续输出操作，其中包括了分片等；

 int ip_output(struct net *net, struct sock *sk, struct sk_buff *skb)
 {
     struct net_device *dev = skb_dst(skb)->dev;

     IP_UPD_PO_STATS(net, IPSTATS_MIB_OUT, skb->len);

     /* 设置输出设备和协议 */
     skb->dev = dev;
     skb->protocol = htons(ETH_P_IP);

     /* 经过NF的POST_ROUTING钩子点 */
     return NF_HOOK_COND(NFPROTO_IPV4, NF_INET_POST_ROUTING,
                 net, sk, skb, NULL, dev,
                 ip_finish_output,
                 !(IPCB(skb)->flags & IPSKB_REROUTED));
 }