初始化

iptable_mangle_table_init函数通过调用ipt_register_table完成mangle表注册和钩子函数注册的功能;该流程与iptable_filter的函数调用的函数一致,此处不再重复分析,详情请移步<iptable_filter分析>;

 static int __net_init iptable_mangle_table_init(struct net *net)

 {

     struct ipt_replace *repl;

     int ret;

     /* 已经初始化 */

     if (net->ipv4.iptable_mangle)

         return ;

     /* 分配初始化用于下面注册的结构 */

     repl = ipt_alloc_initial_table(&packet_mangler);

     if (repl == NULL)

         return -ENOMEM;

     /* 注册表和钩子函数 */

     ret = ipt_register_table(net, &packet_mangler, repl, mangle_ops,

                  &net->ipv4.iptable_mangle);

     kfree(repl);

     return ret;

 }
钩子函数

从下面的钩子函数可以看到其分布于全部5个钩子点;

 #define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \

                 ( << NF_INET_LOCAL_IN) | \

                 ( << NF_INET_FORWARD) | \

                 ( << NF_INET_LOCAL_OUT) | \

                 ( << NF_INET_POST_ROUTING))
 static const struct xt_table packet_mangler = {

     .name        = "mangle",

     .valid_hooks    = MANGLE_VALID_HOOKS,

     .me        = THIS_MODULE,

     .af        = NFPROTO_IPV4,

     .priority    = NF_IP_PRI_MANGLE,

     .table_init    = iptable_mangle_table_init,

 };

iptable_mangle_hook为mangle钩子函数,如果当前是处于LOCAL_OUT钩子点,则需要调用ip_mangle_out函数,其他店则调用ipt_do_table进行规则匹配;ipt_do_table函数此处不再重复分析,详情请移步<iptable_filter分析>;

 static unsigned int

 iptable_mangle_hook(void *priv,

              struct sk_buff *skb,

              const struct nf_hook_state *state)

 {

     /* LOCAL_OUT钩子点,调用mangle_out */

     if (state->hook == NF_INET_LOCAL_OUT)

         return ipt_mangle_out(skb, state);

     /* 规则匹配 */

     return ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

 }

ipt_mangle_out首先保存ip头部的一些信息,然后调用ipt_do_table进行规则匹配,规则之后检查ip头中的保存字段是否发生变化,如果发生变化,则需要重新查路由;

 static unsigned int

 ipt_mangle_out(struct sk_buff *skb, const struct nf_hook_state *state)

 {

     unsigned int ret;

     const struct iphdr *iph;

     u_int8_t tos;

     __be32 saddr, daddr;

     u_int32_t mark;

     int err;

     /* root is playing with raw sockets. */

     /* 原始套接字 */

     if (skb->len < sizeof(struct iphdr) ||

         ip_hdrlen(skb) < sizeof(struct iphdr))

         return NF_ACCEPT;

     /* Save things which could affect route */

     mark = skb->mark;

     iph = ip_hdr(skb);

     saddr = iph->saddr;

     daddr = iph->daddr;

     tos = iph->tos;

     /* 进行规则匹配 */

     ret = ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

     /* Reroute for ANY change. */

     /* 经过规则后 */

     if (ret != NF_DROP && ret != NF_STOLEN) {

         iph = ip_hdr(skb);

         /* 判断ip头中的字段是否有改变 */

         if (iph->saddr != saddr ||

             iph->daddr != daddr ||

             skb->mark != mark ||

             iph->tos != tos) {

             /* 重新查路由 */

             err = ip_route_me_harder(state->net, skb, RTN_UNSPEC);

             if (err < )

                 ret = NF_DROP_ERR(err);

         }

     }

     return ret;

 }

Netfilter 之 iptable_mangle的更多相关文章

  1. netfilter分析

    转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPT ...

  2. (转)Netfilter分析

    看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846 ...

  3. 【操作系统之十三】Netfilter与iptables

    一.Netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装. ...

  4. Linux内核下包过滤框架——iptables&netfilter

    iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转 ...

  5. (一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

    转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之 ...

  6. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  7. Netfilter/iptables的匹配方式及处理方法

    匹配方式: 匹配方式是netfilter筛选数据包的最基本单元. 内置的匹配方式: 1.接口的匹配方式: iptables -t filter -A FORWARD -i eth0 -o eth1 - ...

  8. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  9. Linux数据包路由原理、Iptables/netfilter入门学习

    相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wik ...

随机推荐

  1. 出现 HTTP 错误 500.19 错误代码 0x800700b7

    这个内容出现主要问题是在IIS上,我们一般程序开发 iis中默认的路径只是http://localhost/,相当于环境变量中已定义好了,如果自己创建的项目直接将路径定义到这,就会替换图二中的路径,然 ...

  2. HTML类

    class Html: def __init__(self,name): self.name = name @staticmethod def full_name(): print('全称:Hype ...

  3. TypeScript入门三:TypeScript函数类型

    TypeScript函数类型 TypeScript函数的参数 TypeScript函数的this与箭头函数 TypeScript函数重载 一.TypeScript函数类型 在上一篇博客中已经对声明Ty ...

  4. linux 目录结构及VIM

    目录结构及VIM 文件系统 说明: 文件系统就是操作管理存储设备或分区上的文件的方法和数据结构,也就是存储设备上组织文件的方式. 操作系统中负责管理和存储文件信息的软件机构叫文件管理系统,简称为文件系 ...

  5. ASR测试方法---字错率(WER)、句错率(SER)统计

    一.基础概念 1.1.语音识别(ASR) 语音识别(speech recognition)技术,也被称为自动语音识别(英语:Automatic Speech Recognition, ASR), 狭隘 ...

  6. redis __详解 (转载自作者:孤独烟 出处: http://rjzheng.cnblogs.com/)

    https://www.cnblogs.com/rjzheng/p/9096228.html [原创]分布式之redis复习精讲 引言 为什么写这篇文章? 博主的<分布式之消息队列复习精讲> ...

  7. 多容器共享volume

    目标: pod中 包含两个容器: tomcat和busybox, 设置volume:app-logs, 用于tomcat向其中写日志, busybox读日志文件 apiVersion: apps/v1 ...

  8. (转)android(SignalA)接收.net(SignalR)推送过来的消息

    从网络上搜索到的Demo,自己进行了稍微的改动 Signala类库从https://github.com/erizet/SignalA获得,不过相关引用有错误,需要手动修正. 下载相关源码 packa ...

  9. 关于Java的Object.clone()方法与对象的深浅拷贝

    文章同步更新在个人博客:关于Java的Object.clone()方法与对象的深浅拷贝 引言 在某些场景中,我们需要获取到一个对象的拷贝用于某些处理.这时候就可以用到Java中的Object.clon ...

  10. wmware虚拟化的启动问题

    2019-05-09,14点14 vmware出现VMware提示:已将该虚拟机配置为使用 64 位客户机操作系统.但是,无法执行 64 位操作.解决方案 进入bios里面intel 虚拟化技术 先设 ...