初始化

iptable_mangle_table_init函数通过调用ipt_register_table完成mangle表注册和钩子函数注册的功能;该流程与iptable_filter的函数调用的函数一致,此处不再重复分析,详情请移步<iptable_filter分析>;

 static int __net_init iptable_mangle_table_init(struct net *net)

 {

     struct ipt_replace *repl;

     int ret;

     /* 已经初始化 */

     if (net->ipv4.iptable_mangle)

         return ;

     /* 分配初始化用于下面注册的结构 */

     repl = ipt_alloc_initial_table(&packet_mangler);

     if (repl == NULL)

         return -ENOMEM;

     /* 注册表和钩子函数 */

     ret = ipt_register_table(net, &packet_mangler, repl, mangle_ops,

                  &net->ipv4.iptable_mangle);

     kfree(repl);

     return ret;

 }
钩子函数

从下面的钩子函数可以看到其分布于全部5个钩子点;

 #define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \

                 ( << NF_INET_LOCAL_IN) | \

                 ( << NF_INET_FORWARD) | \

                 ( << NF_INET_LOCAL_OUT) | \

                 ( << NF_INET_POST_ROUTING))
 static const struct xt_table packet_mangler = {

     .name        = "mangle",

     .valid_hooks    = MANGLE_VALID_HOOKS,

     .me        = THIS_MODULE,

     .af        = NFPROTO_IPV4,

     .priority    = NF_IP_PRI_MANGLE,

     .table_init    = iptable_mangle_table_init,

 };

iptable_mangle_hook为mangle钩子函数,如果当前是处于LOCAL_OUT钩子点,则需要调用ip_mangle_out函数,其他店则调用ipt_do_table进行规则匹配;ipt_do_table函数此处不再重复分析,详情请移步<iptable_filter分析>;

 static unsigned int

 iptable_mangle_hook(void *priv,

              struct sk_buff *skb,

              const struct nf_hook_state *state)

 {

     /* LOCAL_OUT钩子点,调用mangle_out */

     if (state->hook == NF_INET_LOCAL_OUT)

         return ipt_mangle_out(skb, state);

     /* 规则匹配 */

     return ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

 }

ipt_mangle_out首先保存ip头部的一些信息,然后调用ipt_do_table进行规则匹配,规则之后检查ip头中的保存字段是否发生变化,如果发生变化,则需要重新查路由;

 static unsigned int

 ipt_mangle_out(struct sk_buff *skb, const struct nf_hook_state *state)

 {

     unsigned int ret;

     const struct iphdr *iph;

     u_int8_t tos;

     __be32 saddr, daddr;

     u_int32_t mark;

     int err;

     /* root is playing with raw sockets. */

     /* 原始套接字 */

     if (skb->len < sizeof(struct iphdr) ||

         ip_hdrlen(skb) < sizeof(struct iphdr))

         return NF_ACCEPT;

     /* Save things which could affect route */

     mark = skb->mark;

     iph = ip_hdr(skb);

     saddr = iph->saddr;

     daddr = iph->daddr;

     tos = iph->tos;

     /* 进行规则匹配 */

     ret = ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

     /* Reroute for ANY change. */

     /* 经过规则后 */

     if (ret != NF_DROP && ret != NF_STOLEN) {

         iph = ip_hdr(skb);

         /* 判断ip头中的字段是否有改变 */

         if (iph->saddr != saddr ||

             iph->daddr != daddr ||

             skb->mark != mark ||

             iph->tos != tos) {

             /* 重新查路由 */

             err = ip_route_me_harder(state->net, skb, RTN_UNSPEC);

             if (err < )

                 ret = NF_DROP_ERR(err);

         }

     }

     return ret;

 }

Netfilter 之 iptable_mangle的更多相关文章

  1. netfilter分析

    转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPT ...

  2. (转)Netfilter分析

    看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846 ...

  3. 【操作系统之十三】Netfilter与iptables

    一.Netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装. ...

  4. Linux内核下包过滤框架——iptables&netfilter

    iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转 ...

  5. (一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

    转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之 ...

  6. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  7. Netfilter/iptables的匹配方式及处理方法

    匹配方式: 匹配方式是netfilter筛选数据包的最基本单元. 内置的匹配方式: 1.接口的匹配方式: iptables -t filter -A FORWARD -i eth0 -o eth1 - ...

  8. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  9. Linux数据包路由原理、Iptables/netfilter入门学习

    相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wik ...

随机推荐

  1. [转载]边框回归(Bounding Box Regression)

    [转载]边框回归(Bounding Box Regression) 许多模型中都应用到了这种方法来调整piror使其和ground truth尽量接近,例如之前自己看过的SSD模型 这篇文章写的很好, ...

  2. JavaScript Basics_Fundamentals Part 1_Numbers

    Javascript Numbers 知识描述:JavaScript 只有一种数字类型,即数字(Number).数字可以带小数点,也可以不带,也就是整数和小数. 数字可以带小数点,也可以不带: Exa ...

  3. python现状

    自从官方宣布 2020 年 1 月后不再更新维护 Python2,已经有一大批开源软件将其抛弃.今天,抛弃 Python2 的名单上又多了一个重磅软件.Python2 是 Python 官方在 200 ...

  4. JavaScript 标准内置对象

    JavaScript 标准内置对象或称全局的对象(global objects)不要和 全局对象(global object)混淆.这里说的全局的对象是说在全局作用域里的对象,全局作用域包含了全局对象 ...

  5. 【github】github的使用

    一.上传本地代码 1.在github上新建一个repository(命名为英文) 2.打开cmd,进入上传代码所在目录 3.输入如下命令 第一步:git init --建仓第二步:git add  * ...

  6. 修改一张MyISAM表row_format为fixed为InnoDB表报错处理

    最近优化GTID模式下事务表和非事务表更新报错处理时,发现某几张表更改存储引擎为InnoDB报错如下: mysql> alter table sc_xxx_video_xxxxengine = ...

  7. 前端基础(五):jQuery

    jQuery介绍 jQuery是一个轻量级的.兼容多浏览器的JavaScript库. jQuery使用户能够更方便地处理HTML Document.Events.实现动画效果.方便地进行Ajax交互, ...

  8. Linux的bg和fg命令

    我们都知道,在 Windows 上面,我们要么让一个程序作为服务在后台一直运行,要么停止这个服务.而不能让程序在前台后台之间切换.而 Linux 提供了 fg 和 bg 命令,让我们轻松调度正在运行的 ...

  9. shell变量引用

    var="www.sina.com.cn" echo ${var#*.} #sina.com.cn 从前向后删 echo ${var##*.} #.cn 贪婪模式从前向后删 ech ...

  10. 洛谷P1462 通往奥格瑞玛的道路(SPFA+二分答案)

    题目背景 在艾泽拉斯大陆上有一位名叫歪嘴哦的神奇术士,他是部落的中坚力量 有一天他醒来后发现自己居然到了联盟的主城暴风城 在被众多联盟的士兵攻击后,他决定逃回自己的家乡奥格瑞玛 题目描述 在艾泽拉斯, ...