初始化

iptable_mangle_table_init函数通过调用ipt_register_table完成mangle表注册和钩子函数注册的功能;该流程与iptable_filter的函数调用的函数一致,此处不再重复分析,详情请移步<iptable_filter分析>;

 static int __net_init iptable_mangle_table_init(struct net *net)

 {

     struct ipt_replace *repl;

     int ret;

     /* 已经初始化 */

     if (net->ipv4.iptable_mangle)

         return ;

     /* 分配初始化用于下面注册的结构 */

     repl = ipt_alloc_initial_table(&packet_mangler);

     if (repl == NULL)

         return -ENOMEM;

     /* 注册表和钩子函数 */

     ret = ipt_register_table(net, &packet_mangler, repl, mangle_ops,

                  &net->ipv4.iptable_mangle);

     kfree(repl);

     return ret;

 }
钩子函数

从下面的钩子函数可以看到其分布于全部5个钩子点;

 #define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \

                 ( << NF_INET_LOCAL_IN) | \

                 ( << NF_INET_FORWARD) | \

                 ( << NF_INET_LOCAL_OUT) | \

                 ( << NF_INET_POST_ROUTING))
 static const struct xt_table packet_mangler = {

     .name        = "mangle",

     .valid_hooks    = MANGLE_VALID_HOOKS,

     .me        = THIS_MODULE,

     .af        = NFPROTO_IPV4,

     .priority    = NF_IP_PRI_MANGLE,

     .table_init    = iptable_mangle_table_init,

 };

iptable_mangle_hook为mangle钩子函数,如果当前是处于LOCAL_OUT钩子点,则需要调用ip_mangle_out函数,其他店则调用ipt_do_table进行规则匹配;ipt_do_table函数此处不再重复分析,详情请移步<iptable_filter分析>;

 static unsigned int

 iptable_mangle_hook(void *priv,

              struct sk_buff *skb,

              const struct nf_hook_state *state)

 {

     /* LOCAL_OUT钩子点,调用mangle_out */

     if (state->hook == NF_INET_LOCAL_OUT)

         return ipt_mangle_out(skb, state);

     /* 规则匹配 */

     return ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

 }

ipt_mangle_out首先保存ip头部的一些信息,然后调用ipt_do_table进行规则匹配,规则之后检查ip头中的保存字段是否发生变化,如果发生变化,则需要重新查路由;

 static unsigned int

 ipt_mangle_out(struct sk_buff *skb, const struct nf_hook_state *state)

 {

     unsigned int ret;

     const struct iphdr *iph;

     u_int8_t tos;

     __be32 saddr, daddr;

     u_int32_t mark;

     int err;

     /* root is playing with raw sockets. */

     /* 原始套接字 */

     if (skb->len < sizeof(struct iphdr) ||

         ip_hdrlen(skb) < sizeof(struct iphdr))

         return NF_ACCEPT;

     /* Save things which could affect route */

     mark = skb->mark;

     iph = ip_hdr(skb);

     saddr = iph->saddr;

     daddr = iph->daddr;

     tos = iph->tos;

     /* 进行规则匹配 */

     ret = ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

     /* Reroute for ANY change. */

     /* 经过规则后 */

     if (ret != NF_DROP && ret != NF_STOLEN) {

         iph = ip_hdr(skb);

         /* 判断ip头中的字段是否有改变 */

         if (iph->saddr != saddr ||

             iph->daddr != daddr ||

             skb->mark != mark ||

             iph->tos != tos) {

             /* 重新查路由 */

             err = ip_route_me_harder(state->net, skb, RTN_UNSPEC);

             if (err < )

                 ret = NF_DROP_ERR(err);

         }

     }

     return ret;

 }

Netfilter 之 iptable_mangle的更多相关文章

  1. netfilter分析

    转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPT ...

  2. (转)Netfilter分析

    看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846 ...

  3. 【操作系统之十三】Netfilter与iptables

    一.Netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装. ...

  4. Linux内核下包过滤框架——iptables&netfilter

    iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转 ...

  5. (一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

    转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之 ...

  6. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  7. Netfilter/iptables的匹配方式及处理方法

    匹配方式: 匹配方式是netfilter筛选数据包的最基本单元. 内置的匹配方式: 1.接口的匹配方式: iptables -t filter -A FORWARD -i eth0 -o eth1 - ...

  8. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  9. Linux数据包路由原理、Iptables/netfilter入门学习

    相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wik ...

随机推荐

  1. boost random library的使用

      生成满足一定分布的随机数,是统计模拟.系统仿真等应用中最基本的要求.matlab中提供了函数可以生成各种常见分布的随机数,c++使用boost random库也可以很容易实现. 一.例子 boos ...

  2. Springboot+mybatis+druid 配置多数据源

    项目结构 application.yml配置文件 spring: application: name: service datasource: primary: jdbc-url: jdbc:orac ...

  3. 启动tomcat提示某个端口被占用

    原文参见:https://www.cnblogs.com/liuyanxia/p/6755520.html 解决办法 找出占用1099端口的进程,进入windows命令,查看什么进程占用了1099端口 ...

  4. asp.net 简单的身份验证

    1 通常我们希望已经通过身份验证的才能够登录到网站的后台管理界面,对于asp.net 介绍一种简单的身份验证方式 首先在webconfig文件中添加如下的代码 <!--身份验证--> &l ...

  5. 2.XML语言

    XML语言 常见应用: XML技术除用于 /*保存有关系的数据*/之外,它还经常作软件配置文件,以描述程序模块之间的关系. 在一个系统软件中,为提高系统的灵活性,它所启动的模块通常由其配置文件决定 例 ...

  6. Ubuntu Nginx Uwsgi Python布置服务器Django项目

     1 安装python 3.6 ubuntu预装了2.7,不需要卸载预装库,直接安装python3.6(其实现在的阿里云18.04会给你自动装python2.7.15和3.6.8) 你可以分别查看一下 ...

  7. 5.安装bacula-web(监控页面)

    1.   安装bacula-web(监控页面) 用途:监控bacula状态. http://docs.bacula-web.org/en/master/index.html bacula-web-7. ...

  8. 我的第一个Node.js项目

    Node.js的安装通常有两种方式:自己编译源代码和使用编译好的文件,我这里使用编译好的文件目前我的home目录下有刚下载来的node-v4.2.3-linux-x641.首先解压缩 tar xvf ...

  9. vsftpd的安装和配置

    1  安装vsftpd sudo apt-get install vsftpd 2  测试是否安装成功 sudo service vsftpd restart 如果有反应即成功 3  彻底卸载vsft ...

  10. JavaScript 对象中this的指向问题

    this运行在哪个对象下,就指向哪个对象.