初始化

iptable_mangle_table_init函数通过调用ipt_register_table完成mangle表注册和钩子函数注册的功能;该流程与iptable_filter的函数调用的函数一致,此处不再重复分析,详情请移步<iptable_filter分析>;

 static int __net_init iptable_mangle_table_init(struct net *net)

 {

     struct ipt_replace *repl;

     int ret;

     /* 已经初始化 */

     if (net->ipv4.iptable_mangle)

         return ;

     /* 分配初始化用于下面注册的结构 */

     repl = ipt_alloc_initial_table(&packet_mangler);

     if (repl == NULL)

         return -ENOMEM;

     /* 注册表和钩子函数 */

     ret = ipt_register_table(net, &packet_mangler, repl, mangle_ops,

                  &net->ipv4.iptable_mangle);

     kfree(repl);

     return ret;

 }
钩子函数

从下面的钩子函数可以看到其分布于全部5个钩子点;

 #define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \

                 ( << NF_INET_LOCAL_IN) | \

                 ( << NF_INET_FORWARD) | \

                 ( << NF_INET_LOCAL_OUT) | \

                 ( << NF_INET_POST_ROUTING))
 static const struct xt_table packet_mangler = {

     .name        = "mangle",

     .valid_hooks    = MANGLE_VALID_HOOKS,

     .me        = THIS_MODULE,

     .af        = NFPROTO_IPV4,

     .priority    = NF_IP_PRI_MANGLE,

     .table_init    = iptable_mangle_table_init,

 };

iptable_mangle_hook为mangle钩子函数,如果当前是处于LOCAL_OUT钩子点,则需要调用ip_mangle_out函数,其他店则调用ipt_do_table进行规则匹配;ipt_do_table函数此处不再重复分析,详情请移步<iptable_filter分析>;

 static unsigned int

 iptable_mangle_hook(void *priv,

              struct sk_buff *skb,

              const struct nf_hook_state *state)

 {

     /* LOCAL_OUT钩子点,调用mangle_out */

     if (state->hook == NF_INET_LOCAL_OUT)

         return ipt_mangle_out(skb, state);

     /* 规则匹配 */

     return ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

 }

ipt_mangle_out首先保存ip头部的一些信息,然后调用ipt_do_table进行规则匹配,规则之后检查ip头中的保存字段是否发生变化,如果发生变化,则需要重新查路由;

 static unsigned int

 ipt_mangle_out(struct sk_buff *skb, const struct nf_hook_state *state)

 {

     unsigned int ret;

     const struct iphdr *iph;

     u_int8_t tos;

     __be32 saddr, daddr;

     u_int32_t mark;

     int err;

     /* root is playing with raw sockets. */

     /* 原始套接字 */

     if (skb->len < sizeof(struct iphdr) ||

         ip_hdrlen(skb) < sizeof(struct iphdr))

         return NF_ACCEPT;

     /* Save things which could affect route */

     mark = skb->mark;

     iph = ip_hdr(skb);

     saddr = iph->saddr;

     daddr = iph->daddr;

     tos = iph->tos;

     /* 进行规则匹配 */

     ret = ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

     /* Reroute for ANY change. */

     /* 经过规则后 */

     if (ret != NF_DROP && ret != NF_STOLEN) {

         iph = ip_hdr(skb);

         /* 判断ip头中的字段是否有改变 */

         if (iph->saddr != saddr ||

             iph->daddr != daddr ||

             skb->mark != mark ||

             iph->tos != tos) {

             /* 重新查路由 */

             err = ip_route_me_harder(state->net, skb, RTN_UNSPEC);

             if (err < )

                 ret = NF_DROP_ERR(err);

         }

     }

     return ret;

 }

Netfilter 之 iptable_mangle的更多相关文章

  1. netfilter分析

    转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPT ...

  2. (转)Netfilter分析

    看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846 ...

  3. 【操作系统之十三】Netfilter与iptables

    一.Netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装. ...

  4. Linux内核下包过滤框架——iptables&netfilter

    iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转 ...

  5. (一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

    转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之 ...

  6. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  7. Netfilter/iptables的匹配方式及处理方法

    匹配方式: 匹配方式是netfilter筛选数据包的最基本单元. 内置的匹配方式: 1.接口的匹配方式: iptables -t filter -A FORWARD -i eth0 -o eth1 - ...

  8. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  9. Linux数据包路由原理、Iptables/netfilter入门学习

    相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wik ...

随机推荐

  1. 可运行jar包转.exe

    1.工具:launch4j.exe 2.导出可运行jar包(runable Jar file) 3.截图: 4.生成结果:

  2. js面向对象的几种方式

    对象的字面量 var obj={}:创建实例对象 var obj=new Object();构造函数模式 function fn(){}, new fn();工厂模式:用一个函数,通过传递参数返回对象 ...

  3. SQL学习——SELECT INTO和INSERT INTO SELECT

    原文链接 SELECT INTO 作用 SELECT INTO 语句从一个表中复制数据,然后将数据插入到另一个新表中. SELECT INTO 语法 我们可以把所有的列都复制到新表中: SELECT ...

  4. hadoop中hive常用的交互式操作

    hive的帮助命令: [hadoop@master tmp]$ hive -help usage: hive -d,--define <key=value> Variable substi ...

  5. insmod: can't insert 'xxx.ko': unknown symbol in module, or unknown parameter

    手动加载内核模块时候,报如下错误信息 insmod: can't insert 'xxx.ko': unknown symbol in module, or unknown parameter 问题原 ...

  6. cnblogs排版样式预览

    说明:关于本博主题及样式来源于[GitHub]:本博总体排版目录样式风格参照博文[修仙成神之路]进行预览:参照本博设置可参考博文[设置跟本博一样的效果]本博之前发表过的博文存在样式不协调,后期会逐一完 ...

  7. 07_Hive的基本命令_Insert命令

    1.将查询结果插入Hive表语法结构: 1.1.基本模式插入: INSERT OVERWRITE TABLE tablename1 [PARTITION (partcol1=val1, partcol ...

  8. SQL Server 元数据分类

    SQL Server 中维护了一组表用于存储 SQL Server 中所有的对象.数据类型.约束条件.配置选项.可用资源等信息,这些信息称为元数据信息(Metadata),而这些表称为系统基础表(Sy ...

  9. layui多图上传实现删除功能

    在使用layui的多图上传时发现没有删除功能 在网上搜索解决办法时有的感觉太复杂有的不符合自己所需要的所以就自己动手 下面附上代码 HTML: <div class="layui-up ...

  10. CodeForces - 113B Petr# (后缀数组)

    应该算是远古时期的一道题了吧,不过感觉挺经典的. 题意是给出三一个字符串s,a,b,求以a开头b结尾的本质不同的字符串数. 由于n不算大,用hash就可以搞,不过这道题是存在复杂度$O(nlogn)$ ...