通过注册流程代码的分析,能够明确钩子函数的注册流程,理解存储钩子函数的数据结构,如下图(点击图片可查看原图);

废话不多说,开始分析;

nf_hook_ops是注册的钩子函数的核心结构,字段含义如下所示,一般待注册的钩子函数会组成一个nf_hook_ops数组,在注册过程中调用nf_register_net_hooks将所有规则加入到指定的钩子点;

 struct nf_hook_ops {

     struct list_head    list;

     /* User fills in from here down. */

     nf_hookfn        *hook; /* 钩子函数 */

     struct net_device    *dev; /* 设备 */

     void            *priv; /* 私有数据 */

     u_int8_t        pf; /* 协议族 */

     unsigned int        hooknum; /* 钩子点 */

     /* Hooks are ordered in ascending priority. */

     int            priority; /* 优先级 */

 };

钩子函数nf_hookfn的原型为:

 typedef unsigned int nf_hookfn(void *priv,

                    struct sk_buff *skb,

                    const struct nf_hook_state *state);

nf_register_net_hooks在注册多个钩子函数时使用,它对多个函数顺序调用nf_register_net_hook进行注册,并且在注册失败时进行回滚;

 int nf_register_net_hooks(struct net *net, const struct nf_hook_ops *reg,

               unsigned int n)

 {

     unsigned int i;

     int err = ;

     /* 循环注册钩子函数 */

     for (i = ; i < n; i++) {

         err = nf_register_net_hook(net, &reg[i]);

         /* 失败 */

         if (err)

             goto err;

     }

     return err;

 err:

     /* 注销本次已注册的钩子函数 */

     if (i > )

         nf_unregister_net_hooks(net, reg, i);

     return err;

 }

多个钩子函数在注册之后,是以多个nf_hook_entry实例的链表的形式存在的,其成员如下;

 struct nf_hook_entry {

     struct nf_hook_entry __rcu    *next; /* 下一节点 */

     nf_hookfn            *hook; /* 钩子函数 */

     void                *priv; /* 私有数据 */

     const struct nf_hook_ops    *orig_ops; /* 钩子操作 */

 };

nf_register_net_hook为钩子函数注册的主流程,首先找到钩子点函数的入口,然后根据优先级将当前注册的钩子函数插入到链表中;

 int nf_register_net_hook(struct net *net, const struct nf_hook_ops *reg)

 {

     struct nf_hook_entry __rcu **pp;

     struct nf_hook_entry *entry, *p;

     if (reg->pf == NFPROTO_NETDEV) {

 #ifndef CONFIG_NETFILTER_INGRESS

         if (reg->hooknum == NF_NETDEV_INGRESS)

             return -EOPNOTSUPP;

 #endif

         if (reg->hooknum != NF_NETDEV_INGRESS ||

             !reg->dev || dev_net(reg->dev) != net)

             return -EINVAL;

     }

     /* 找到钩子点链表头部 */

     pp = nf_hook_entry_head(net, reg);

     if (!pp)

         return -EINVAL;

     /* 分配钩子入口结构 */

     entry = kmalloc(sizeof(*entry), GFP_KERNEL);

     if (!entry)

         return -ENOMEM;

     /* 初始化 */

     nf_hook_entry_init(entry, reg);

     mutex_lock(&nf_hook_mutex);

     /* Find the spot in the list */

     /* 找到钩子应该插入的位置 */

     for (; (p = nf_entry_dereference(*pp)) != NULL; pp = &p->next) {

         if (reg->priority < nf_hook_entry_priority(p))

             break;

     }

     /* 插入钩子点 */

     rcu_assign_pointer(entry->next, p);

     rcu_assign_pointer(*pp, entry);

     mutex_unlock(&nf_hook_mutex);

 #ifdef CONFIG_NETFILTER_INGRESS

     if (reg->pf == NFPROTO_NETDEV && reg->hooknum == NF_NETDEV_INGRESS)

         net_inc_ingress_queue();

 #endif

 #ifdef HAVE_JUMP_LABEL

     static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]);

 #endif

     return ;

 }

nf_hook_entry_head的作用为查找钩子点函数入口,从这个函数中,我们可以看到,钩子函数存放位置为net->nf.hooks[pf] + hooknum;

 static struct nf_hook_entry __rcu **nf_hook_entry_head(struct net *net, const struct nf_hook_ops *reg)

 {

     if (reg->pf != NFPROTO_NETDEV)

         return net->nf.hooks[reg->pf]+reg->hooknum;

 #ifdef CONFIG_NETFILTER_INGRESS

     if (reg->hooknum == NF_NETDEV_INGRESS) {

         if (reg->dev && dev_net(reg->dev) == net)

             return &reg->dev->nf_hooks_ingress;

     }

 #endif

     return NULL;

 }

进一步查看net结构,其成员为struct netns_nf nf;

 struct net {

 #ifdef CONFIG_NETFILTER

     struct netns_nf        nf;

     struct netns_xt        xt;

 #if defined(CONFIG_NF_CONNTRACK) || defined(CONFIG_NF_CONNTRACK_MODULE)

     struct netns_ct        ct;

 #endif

 #if defined(CONFIG_NF_TABLES) || defined(CONFIG_NF_TABLES_MODULE)

     struct netns_nftables    nft;

 #endif

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV6)

     struct netns_nf_frag    nf_frag;

 #endif

     struct sock        *nfnl;

     struct sock        *nfnl_stash;

 #if IS_ENABLED(CONFIG_NETFILTER_NETLINK_ACCT)

     struct list_head        nfnl_acct_list;

 #endif

 #if IS_ENABLED(CONFIG_NF_CT_NETLINK_TIMEOUT)

     struct list_head    nfct_timeout_list;

 #endif

 };

进一步查看netns_nf结构,其中有如下成员,struct nf_hook_entry __rcu *hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS]; 可见,其钩子函数入口形式为hooks[协议族][钩子点],在二维数组的每个节点都对应着一个钩子函数链表,内部多个nf_hook_entry通过优先级从小到大排列;

 struct netns_nf {

 #if defined CONFIG_PROC_FS

     struct proc_dir_entry *proc_netfilter;

 #endif

     const struct nf_queue_handler __rcu *queue_handler;

     const struct nf_logger __rcu *nf_loggers[NFPROTO_NUMPROTO];

 #ifdef CONFIG_SYSCTL

     struct ctl_table_header *nf_log_dir_header;

 #endif

     struct nf_hook_entry __rcu *hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV4)

     bool            defrag_ipv4;

 #endif

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV6)

     bool            defrag_ipv6;

 #endif

 };

协议的定义如下:

 enum {

     NFPROTO_UNSPEC =  ,

     NFPROTO_INET   =  ,

     NFPROTO_IPV4   =  ,

     NFPROTO_ARP    =  ,

     NFPROTO_NETDEV =  ,

     NFPROTO_BRIDGE =  ,

     NFPROTO_IPV6   = ,

     NFPROTO_DECNET = ,

     NFPROTO_NUMPROTO,

 };

IPv4钩子点的定义如下:

 enum nf_inet_hooks {

     NF_INET_PRE_ROUTING,

     NF_INET_LOCAL_IN,

     NF_INET_FORWARD,

     NF_INET_LOCAL_OUT,

     NF_INET_POST_ROUTING,

     NF_INET_NUMHOOKS

 };

注册流程到此为止;

Netfilter 之 钩子函数注册的更多相关文章

  1. Netfilter 之 钩子函数与钩子点关系图

    概述 通过钩子点和优先级的代码追溯,得到如下对应关系图,图中横坐标为钩子点,纵坐标为优先级,每个钩子点上的钩子函数按照优先级排布: 详细分析 5个钩子点如下所示,在这个五个钩子点上的钩子函数按照上面的 ...

  2. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  3. 对于数据包的截取,使用linux中的netfilter钩子函数

    http://blog.csdn.net/wswifth/article/details/5115358 在师哥的代码(packet.c)中使用的是Linux2.4内核中的一个子系统:netfilte ...

  4. HOOK钩子 - 钩子函数说明

    翻译参考自MaybeHelios的blog: http://blog.csdn.net/maybehelios/ 通过SetWindowsHookEx方法安装钩子,该函数指定处理拦截消息的钩子函数(回 ...

  5. VueRouter和Vue生命周期(钩子函数)

    一.vue-router路由 1.介绍 vue-router是Vue的路由系统,用于定位资源的,在页面不刷新的情况下切换页面内容.类似于a标签,实际上在页面上展示出来的也是a标签,是锚点.router ...

  6. Vue的钩子函数[路由导航守卫、keep-alive、生命周期钩子]

    前言 说到Vue的钩子函数,可能很多人只停留在一些很简单常用的钩子(created,mounted),而且对于里面的区别,什么时候该用什么钩子,并没有仔细的去研究过,且Vue的生命周期在面试中也算是比 ...

  7. Vue -自定义指令&钩子函数

    除了核心功能默认内置的指令,Vue也允许注册自定义指令 页面加载后,让文本框自动获取焦点,原生js做法是获取文本框元素后调用focus()方法,但Vue不建议手动操作DOM元素,所以此时要自定义指令 ...

  8. (32)forms组件(渲染自建规则:局部钩子函数和全局钩子函数)

    要达成渲染自建规则 1.局部钩子函数(某个字段,自定意义规则,不如不能以sb开头,数据库已存在等) 2.全局钩子函数(校验两次密码是否一致) 3.使用css样式 register.html <! ...

  9. vue组件级路由钩子函数介绍,及实际应用

    正如其名,vue-router 提供的导航钩子主要用来拦截导航,让它完成跳转或取消. 有多种方式可以在路由导航发生时执行钩子:全局的.单个路由独享的.或者组件级的. 一.全局钩子 你可以使用 rout ...

随机推荐

  1. 【原创】大叔经验分享(76)confluence和jira配置

    一 下载 confluence https://product-downloads.atlassian.com/software/confluence/downloads/atlassian-conf ...

  2. 最简单的一个win32程序

    #include <windows.h> HINSTANCE g_hInst = NULL; //2 窗口处理函数 LRESULT CALLBACK WndProc( HWND hWnd, ...

  3. hbulider 快捷键

    跳转到行        Ctrl + G   页首        Ctrl + Home   页尾        Ctrl + End   下一个选项卡        Ctrl + Tab   上一个 ...

  4. LLVM的RTTI特性

    本文思路来源于http://llvm.org/docs/HowToSetUpLLVMStyleRTTI.html,叙述有不同,望谅解,希望能从其他方面帮助大家了解C++语言的底层实现. 背景 在LLV ...

  5. Nginx如何配置禁止访问某个目录

    location ~* \.(txt|doc)${ root /data/www/wwwroot/test; deny all; }

  6. Spring web.xml详解

    web.xml文件是Java Web项目中的一个配置文件,主要用于配置欢迎页.Filter.Listener.Servlet等,但并不是必须的,一个Java Web项目没有web.xml文件也是照样能 ...

  7. beego学习笔记一:创建第一个beego Web项目 转

    前提工作 环境搭建,可以参考如下两篇教程:搭建Go语言环境1搭建Go语言环境2 安装beego beego 的安装是典型的 Go 安装包的形式: go get github.com/astaxie/b ...

  8. kbmMW Scheduler.InAMoment用法

    kbmMW Scheduler提供了一个方法InAMoment,由于没有找到调用的例子,只好查看代码,原来这个方法与RunNow差不多,是立即执行一个方法,并且在主线程中. Scheduler.InA ...

  9. 分布式任务队列 Celery —— Task对象

    转载至 JmilkFan_范桂飓:http://blog.csdn.net/jmilk  目录 目录 前文列表 前言 Task 的实例化 任务的名字 任务的绑定 任务的重试 任务的请求上下文 任务的继 ...

  10. 【python】Logging模块

    1.日志记录级别 logging.debug<logging.info<logging.warning<logging.error<logging.critical 关键是最高 ...