通过注册流程代码的分析,能够明确钩子函数的注册流程,理解存储钩子函数的数据结构,如下图(点击图片可查看原图);

废话不多说,开始分析;

nf_hook_ops是注册的钩子函数的核心结构,字段含义如下所示,一般待注册的钩子函数会组成一个nf_hook_ops数组,在注册过程中调用nf_register_net_hooks将所有规则加入到指定的钩子点;

 struct nf_hook_ops {

     struct list_head    list;

     /* User fills in from here down. */

     nf_hookfn        *hook; /* 钩子函数 */

     struct net_device    *dev; /* 设备 */

     void            *priv; /* 私有数据 */

     u_int8_t        pf; /* 协议族 */

     unsigned int        hooknum; /* 钩子点 */

     /* Hooks are ordered in ascending priority. */

     int            priority; /* 优先级 */

 };

钩子函数nf_hookfn的原型为:

 typedef unsigned int nf_hookfn(void *priv,

                    struct sk_buff *skb,

                    const struct nf_hook_state *state);

nf_register_net_hooks在注册多个钩子函数时使用,它对多个函数顺序调用nf_register_net_hook进行注册,并且在注册失败时进行回滚;

 int nf_register_net_hooks(struct net *net, const struct nf_hook_ops *reg,

               unsigned int n)

 {

     unsigned int i;

     int err = ;

     /* 循环注册钩子函数 */

     for (i = ; i < n; i++) {

         err = nf_register_net_hook(net, &reg[i]);

         /* 失败 */

         if (err)

             goto err;

     }

     return err;

 err:

     /* 注销本次已注册的钩子函数 */

     if (i > )

         nf_unregister_net_hooks(net, reg, i);

     return err;

 }

多个钩子函数在注册之后,是以多个nf_hook_entry实例的链表的形式存在的,其成员如下;

 struct nf_hook_entry {

     struct nf_hook_entry __rcu    *next; /* 下一节点 */

     nf_hookfn            *hook; /* 钩子函数 */

     void                *priv; /* 私有数据 */

     const struct nf_hook_ops    *orig_ops; /* 钩子操作 */

 };

nf_register_net_hook为钩子函数注册的主流程,首先找到钩子点函数的入口,然后根据优先级将当前注册的钩子函数插入到链表中;

 int nf_register_net_hook(struct net *net, const struct nf_hook_ops *reg)

 {

     struct nf_hook_entry __rcu **pp;

     struct nf_hook_entry *entry, *p;

     if (reg->pf == NFPROTO_NETDEV) {

 #ifndef CONFIG_NETFILTER_INGRESS

         if (reg->hooknum == NF_NETDEV_INGRESS)

             return -EOPNOTSUPP;

 #endif

         if (reg->hooknum != NF_NETDEV_INGRESS ||

             !reg->dev || dev_net(reg->dev) != net)

             return -EINVAL;

     }

     /* 找到钩子点链表头部 */

     pp = nf_hook_entry_head(net, reg);

     if (!pp)

         return -EINVAL;

     /* 分配钩子入口结构 */

     entry = kmalloc(sizeof(*entry), GFP_KERNEL);

     if (!entry)

         return -ENOMEM;

     /* 初始化 */

     nf_hook_entry_init(entry, reg);

     mutex_lock(&nf_hook_mutex);

     /* Find the spot in the list */

     /* 找到钩子应该插入的位置 */

     for (; (p = nf_entry_dereference(*pp)) != NULL; pp = &p->next) {

         if (reg->priority < nf_hook_entry_priority(p))

             break;

     }

     /* 插入钩子点 */

     rcu_assign_pointer(entry->next, p);

     rcu_assign_pointer(*pp, entry);

     mutex_unlock(&nf_hook_mutex);

 #ifdef CONFIG_NETFILTER_INGRESS

     if (reg->pf == NFPROTO_NETDEV && reg->hooknum == NF_NETDEV_INGRESS)

         net_inc_ingress_queue();

 #endif

 #ifdef HAVE_JUMP_LABEL

     static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]);

 #endif

     return ;

 }

nf_hook_entry_head的作用为查找钩子点函数入口,从这个函数中,我们可以看到,钩子函数存放位置为net->nf.hooks[pf] + hooknum;

 static struct nf_hook_entry __rcu **nf_hook_entry_head(struct net *net, const struct nf_hook_ops *reg)

 {

     if (reg->pf != NFPROTO_NETDEV)

         return net->nf.hooks[reg->pf]+reg->hooknum;

 #ifdef CONFIG_NETFILTER_INGRESS

     if (reg->hooknum == NF_NETDEV_INGRESS) {

         if (reg->dev && dev_net(reg->dev) == net)

             return &reg->dev->nf_hooks_ingress;

     }

 #endif

     return NULL;

 }

进一步查看net结构,其成员为struct netns_nf nf;

 struct net {

 #ifdef CONFIG_NETFILTER

     struct netns_nf        nf;

     struct netns_xt        xt;

 #if defined(CONFIG_NF_CONNTRACK) || defined(CONFIG_NF_CONNTRACK_MODULE)

     struct netns_ct        ct;

 #endif

 #if defined(CONFIG_NF_TABLES) || defined(CONFIG_NF_TABLES_MODULE)

     struct netns_nftables    nft;

 #endif

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV6)

     struct netns_nf_frag    nf_frag;

 #endif

     struct sock        *nfnl;

     struct sock        *nfnl_stash;

 #if IS_ENABLED(CONFIG_NETFILTER_NETLINK_ACCT)

     struct list_head        nfnl_acct_list;

 #endif

 #if IS_ENABLED(CONFIG_NF_CT_NETLINK_TIMEOUT)

     struct list_head    nfct_timeout_list;

 #endif

 };

进一步查看netns_nf结构,其中有如下成员,struct nf_hook_entry __rcu *hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS]; 可见,其钩子函数入口形式为hooks[协议族][钩子点],在二维数组的每个节点都对应着一个钩子函数链表,内部多个nf_hook_entry通过优先级从小到大排列;

 struct netns_nf {

 #if defined CONFIG_PROC_FS

     struct proc_dir_entry *proc_netfilter;

 #endif

     const struct nf_queue_handler __rcu *queue_handler;

     const struct nf_logger __rcu *nf_loggers[NFPROTO_NUMPROTO];

 #ifdef CONFIG_SYSCTL

     struct ctl_table_header *nf_log_dir_header;

 #endif

     struct nf_hook_entry __rcu *hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV4)

     bool            defrag_ipv4;

 #endif

 #if IS_ENABLED(CONFIG_NF_DEFRAG_IPV6)

     bool            defrag_ipv6;

 #endif

 };

协议的定义如下:

 enum {

     NFPROTO_UNSPEC =  ,

     NFPROTO_INET   =  ,

     NFPROTO_IPV4   =  ,

     NFPROTO_ARP    =  ,

     NFPROTO_NETDEV =  ,

     NFPROTO_BRIDGE =  ,

     NFPROTO_IPV6   = ,

     NFPROTO_DECNET = ,

     NFPROTO_NUMPROTO,

 };

IPv4钩子点的定义如下:

 enum nf_inet_hooks {

     NF_INET_PRE_ROUTING,

     NF_INET_LOCAL_IN,

     NF_INET_FORWARD,

     NF_INET_LOCAL_OUT,

     NF_INET_POST_ROUTING,

     NF_INET_NUMHOOKS

 };

注册流程到此为止;

Netfilter 之 钩子函数注册的更多相关文章

  1. Netfilter 之 钩子函数与钩子点关系图

    概述 通过钩子点和优先级的代码追溯,得到如下对应关系图,图中横坐标为钩子点,纵坐标为优先级,每个钩子点上的钩子函数按照优先级排布: 详细分析 5个钩子点如下所示,在这个五个钩子点上的钩子函数按照上面的 ...

  2. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  3. 对于数据包的截取,使用linux中的netfilter钩子函数

    http://blog.csdn.net/wswifth/article/details/5115358 在师哥的代码(packet.c)中使用的是Linux2.4内核中的一个子系统:netfilte ...

  4. HOOK钩子 - 钩子函数说明

    翻译参考自MaybeHelios的blog: http://blog.csdn.net/maybehelios/ 通过SetWindowsHookEx方法安装钩子,该函数指定处理拦截消息的钩子函数(回 ...

  5. VueRouter和Vue生命周期(钩子函数)

    一.vue-router路由 1.介绍 vue-router是Vue的路由系统,用于定位资源的,在页面不刷新的情况下切换页面内容.类似于a标签,实际上在页面上展示出来的也是a标签,是锚点.router ...

  6. Vue的钩子函数[路由导航守卫、keep-alive、生命周期钩子]

    前言 说到Vue的钩子函数,可能很多人只停留在一些很简单常用的钩子(created,mounted),而且对于里面的区别,什么时候该用什么钩子,并没有仔细的去研究过,且Vue的生命周期在面试中也算是比 ...

  7. Vue -自定义指令&钩子函数

    除了核心功能默认内置的指令,Vue也允许注册自定义指令 页面加载后,让文本框自动获取焦点,原生js做法是获取文本框元素后调用focus()方法,但Vue不建议手动操作DOM元素,所以此时要自定义指令 ...

  8. (32)forms组件(渲染自建规则:局部钩子函数和全局钩子函数)

    要达成渲染自建规则 1.局部钩子函数(某个字段,自定意义规则,不如不能以sb开头,数据库已存在等) 2.全局钩子函数(校验两次密码是否一致) 3.使用css样式 register.html <! ...

  9. vue组件级路由钩子函数介绍,及实际应用

    正如其名,vue-router 提供的导航钩子主要用来拦截导航,让它完成跳转或取消. 有多种方式可以在路由导航发生时执行钩子:全局的.单个路由独享的.或者组件级的. 一.全局钩子 你可以使用 rout ...

随机推荐

  1. [转载]为什么jar包中能看见源码

    [转载]为什么jar包中能看见源码 这个也是我之前发现过的一个现象,只是之前没有研究过.今天正好在知乎看见,总结一下: 对于Maven或者Gradle项目,依赖的部分会自动从远程仓库下载源码 生成的j ...

  2. JavaScript Basics_Fundamentals Part 1_Numbers

    Javascript Numbers 知识描述:JavaScript 只有一种数字类型,即数字(Number).数字可以带小数点,也可以不带,也就是整数和小数. 数字可以带小数点,也可以不带: Exa ...

  3. js之数据类型(对象类型——构造器对象——日期)

    Date对象是js语言中内置的数据类型,用于提供日期与时间的相关操作.学习它之前我们先了解一下什么是GMT,什么时UTC等相关的知识. GMT: 格林尼治标准时间(Greenwich Mean Tim ...

  4. JavaScript 标准内置对象

    JavaScript 标准内置对象或称全局的对象(global objects)不要和 全局对象(global object)混淆.这里说的全局的对象是说在全局作用域里的对象,全局作用域包含了全局对象 ...

  5. 转载:PHP扩展函数库-文件系统、进程与网络

    PHP的扩展函数库十分庞大,官方的非官方的,在这里只记录一些目前比较常用的扩展,对于这一部分,也只是记录其中一些核心的函数,不是一个全面记录.对于详细的扩展函数说明,需要在使用中参考PHP的用户手册. ...

  6. Windows下解决系统端口被VM虚拟机占用问题

    一)问题背景 安装VM虚拟机后,经常会遇到启动其他程序时出现端口被占用的情况,其中以80端口被占用最为常见. 二)解决思路 解除或更改被占用端口号,但是更改端口号时,除非对系统的端口占用情况非常熟悉, ...

  7. Delphi 建立非可视化对象

  8. SiteOmat

    卡巴斯基实验室高级安全研究员Ido Naor和以色列安全研究员Amihai Neiderman在卡巴斯位于墨西哥坎昆举行的安全分析师峰会期间,就加油站的安全问题展开了全面分析.他们的研究表明,攻击者可 ...

  9. linux常用的操作命令

    ---恢复内容开始--- 最近换了工作之后,需要管理linux服务器的日常运行和维护,自然linux命令是少不了的,切换目录,vim操作等的简单的操作就不说了,有些时候还需要查看日志和监控服务器启动进 ...

  10. vue-cli3项目中使用CDN

    1.html 中引入 echarts         html中添加script标签如下:         <script src="//cdn.bootcss.com/echarts ...