对于netfilter 可以参考 https://netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO-3.html

netfilter 框架中包含了:filter mat mangle raw security;

在net结构中的成员struct netns_xt xt,是用来存储所有table的,

netns_xt结构的成员如下,其中tables存储了多种协议对应的table链表,每种协议对应一个链表,多种table存储在自己所属协议的链表上;

struct netns_xt {

    struct list_head tables[NFPROTO_NUMPROTO];

    bool notrack_deprecated_warning;

    bool clusterip_deprecated_warning;

#if defined(CONFIG_BRIDGE_NF_EBTABLES) || \

    defined(CONFIG_BRIDGE_NF_EBTABLES_MODULE)

    struct ebt_table *broute_table;

    struct ebt_table *frame_filter;

    struct ebt_table *frame_nat;

#endif

};

每个具体类型的table如下:

/* Furniture shopping... */

struct xt_table {

    struct list_head list;

    /* What hooks you will enter on */

    unsigned int valid_hooks; /* 该表关注的钩子点 */

    /* Man behind the curtain... *//* 私有数据,真正的规则,指向xt_table_info */

    struct xt_table_info *private;

    /* Set this to THIS_MODULE if you are a module, otherwise NULL */

    struct module *me;

    u_int8_t af;        /* address/protocol family */ /* 协议族 */

    int priority;        /* hook order */ /* 优先级 */

    /* called when table is needed in the given netns */

    int (*table_init)(struct net *net);

    /* A unique name... */

    const char name[XT_TABLE_MAXNAMELEN];//表的名字

};

xt_table的private成员又指向了xt_table_info结构,存储真正的规则相关信息,包括入口和偏移

/* The table itself */

struct xt_table_info {

    /* Size per table */

    unsigned int size;  /* 表大小,占用的内存空间 */

    /* Number of entries: FIXME. --RR */

    unsigned int number;  /* 表中规则数量 */

    /* Initial number of entries. Needed for module usage count */

    unsigned int initial_entries;/* 初始的规则数量,用于模块计数 */

    /* Entry points and underflows

*   hook_entries:记录所影响的HOOK的规则入口相对于下面的entries变量的偏移量

*   underflows:与hook_entry相对应的规则表上限偏移量

    */

    unsigned int hook_entry[NF_INET_NUMHOOKS];/* 钩子规则入口,相对于下面的entries偏移量 */

    unsigned int underflow[NF_INET_NUMHOOKS];  /* 与hook_entry相对应的规则表上限偏移量,当无规则录入时,hook_entry和underflow均为0 */

    /*

     * Number of user chains. Since tables cannot have loops, at most

     * @stacksize jumps (number of user chains) can possibly be made.

     */

    unsigned int stacksize;

    void ***jumpstack;

  /* 每个cpu的ipt_entry指针,指向ipt_entry的首地址 */

    unsigned char entries[0] __aligned(8);

};

xt_table_info结构的entries成员指向了匹配规则的入口,入口的每个数组包含了多个rule;

Netfilter 中规则是顺序存储的,一条rule规则主要包括三个部

  • ipt_entry:标准匹配结构,主要包含数据包的源、目的IP,出、入接口和掩码等;
  • ipt_entry_match:扩展匹配。一条rule规则可能有零个或多个ipt_entry_match结构;
  • ipt_entry_target:一条rule规则有且仅有一个target动作。就是当所有的标准匹配和扩展匹配都符合之后才来执行该target。 

      • /*ipt_entry中包含ipt_ip结构,用于标准match,匹配内容为源目的地址,入出口设备,协议等*/
        
/* Yes, Virginia, you have to zero the padding. */
        
struct ipt_ip {
        
    /* Source and destination IP addr */
        
    struct in_addr src, dst; /* 源目的地址 */
        
    /* Mask for src and dest IP addr */
        
    struct in_addr smsk, dmsk;/* 源目的掩码 */
        
    char iniface[IFNAMSIZ], outiface[IFNAMSIZ];  /* 入口出口设备 */
        
    unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ]; /* 入口出口设备掩码 */

    /* Protocol, 0 = ANY */
        
    __u16 proto;/* 协议号 */

    /* Flags word */
        
    __u8 flags;
        
    /* Inverse flags */
        
    __u8 invflags; /* 是否是反转匹配 */
        
};
        /* This structure defines each of the firewall rules.  Consists of 3
        
   parts which are 1) general IP header stuff 2) match specific
        
   stuff 3) the target to perform if the rule matches */
        
struct ipt_entry {
        
    struct ipt_ip ip;

    /* Mark with fields that we care about. */
        
    unsigned int nfcache;

    /* Size of ipt_entry + matches */
        
    /* target区的偏移,通常target区位于match区之后,而match区则在ipt_entry的末尾;
        
初始化为sizeof(struct ipt_entry),即假定没有match */
        
    __u16 target_offset;
        
    /* Size of ipt_entry + matches + target */
        
    /* 下一条规则相对于本规则的偏移,也即本规则所用空间的总和,
        
初始化为sizeof(struct ipt_entry)+sizeof(struct ipt_target),即没有match */

    __u16 next_offset;

    /* Back pointer */
        
    unsigned int comefrom;

    /* Packet and byte counters. *//* 记录该规则处理过的报文数和报文总字节数 */
        
    struct xt_counters counters;

    /* The matches (if any), then the target. *//*target或者是match的起始位置 */
        
    unsigned char elems[0];
        
};
        /*
        
ipt_entry_match将内核态与用户态关联起来,按我的理解,内核和用户在注册和维护match时使用的是各自的match结构ipt_match和iptables_match,
        
但在具体应用到某个规则时则需要统一成ipt_entry_match结构。
        
前面说过,match区存储在ipt_entry的末尾,target在最后,结合ipt_entry_match的定义,可以知道一条具体的规则中存储的数据结构不是:
        
ipt_entry + ipt_match1 + ipt_match2 + ipt_match3 + … + target
        
而是:
        
ipt_entry + ipt_entry_match1 + ipt_entry_match2 + ipt_entry_match3 + … + target
        
*/
        
struct xt_entry_match {
        
    union {
        
        struct {
        
            __u16 match_size;
        
            /* Used by userspace */
        
            char name[XT_EXTENSION_MAXNAMELEN];
        
            __u8 revision;
        
        } user;
        
        struct {
        
            __u16 match_size;
        
            /* Used inside the kernel */
        
            struct xt_match *match;
        
        } kernel;
        
        /* Total length */
        
        __u16 match_size;
        
    } u;
        
    unsigned char data[0];
        
};
        
/*

        在某条规则匹配之后,执行的动作;也分为标准target和扩展target;

        标准target:t->u.kernel.target->target为NULL,则为标准target,根据verdict返回值决定如何进行下一步处理;扩展target:t->u.kernel.target->target不为NULL,则为扩展target,这时候需要执行该target函数

        */
        
struct xt_entry_target {
        
    union {
        
        struct {
        
            __u16 target_size;
        
            /* Used by userspace */
        
            char name[XT_EXTENSION_MAXNAMELEN];
        
            __u8 revision;
        
        } user;
        
        struct {
        
            __u16 target_size;
        
            /* Used inside the kernel */
        
            struct xt_target *target;
        
        } kernel;
        
        /* Total length */
        
        __u16 target_size;
        
    } u;
        
    unsigned char data[0];
           xt_standard_target对xt_entry_target成员进行了封装,增加了verdict,该字段用于返回处理结果
        struct xt_standard_target {
        
    struct xt_entry_target target;
        
    int verdict;
        
};
        };

        target主要用来处理:当某条规则中的所有match都被数据包匹配后该执行什么样的动作来处理这个报文,最后将处理后结果通过verdict值返回给Netfilter框架

linux netfilter rule match target 数据结构的更多相关文章

  1. linux Netfilterr中扩展match target

    Match: netfilter定义了一个通用的match数据结构struct xt_match /* 每个struct xt_match代表一个扩展match,netfilter中各个扩展match ...

  2. linux netfilter ----iptable_filter

    内核中将filter模块被组织成了一个独立的模块,每个这样独立的模块中都有个类似的init()初始化函数:首先来看一下filter模块是如何将自己的钩子函数注册到netfilter所管辖的几个hook ...

  3. linux netfilter nat2

    linux netfilter nat1 后面在上传

  4. linux netfilter nat1

    linux netfilter nat1 2020整理云笔记上传

  5. Linux内核中常用的数据结构和算法(转)

    知乎链接:https://zhuanlan.zhihu.com/p/58087261 Linux内核代码中广泛使用了数据结构和算法,其中最常用的两个是链表和红黑树. 链表 Linux内核代码大量使用了 ...

  6. Linux tgtadm: Setup iSCSI Target ( SAN )

    Linux target framework (tgt) aims to simplify various SCSI target driver (iSCSI, Fibre Channel, SRP, ...

  7. Linux VFS的主要的数据结构

    先说明一下,linux内核中各种数据结构也不停的在变,所以不同版本的内核各个数据结构的定义可能会差别很大,这一组关于linux 文件系统的文章中的代码都摘自linux-2.6.34.1. VFS依赖于 ...

  8. linux驱动移植的重要数据结构

    转载:http://www.embeddedlinux.org.cn/html/jishuzixun/201304/14-2538.html 对于嵌入式 Linux 系统来说,有各种体系结构的处理器和 ...

  9. linux netfilter 五个钩子点

    参考http://www.linuxtcpipstack.com/685.html#NF_INET_PRE_ROUTING https://opengers.github.io/openstack/o ...

随机推荐

  1. 如何修改或新增visual studio 的模板

    在 visual studio 中添加模板,我这里是新增mvc.net的模板 vs2017在文件夹=>(举例说明,请替换为相应的安装目录) D:\Program Files (x86)\Micr ...

  2. Git hub加载慢?下载慢?浏览慢?几个小技巧让你一键起飞!

    记得,那是一个风和日丽,艳阳高照的夜晚,只因为当初的一次回眸,于是便决然走向了程序员的道路,从此,CV大法心中记,代码伴我身. 这一天,正当我打开电脑准备开开心心的使用CV大法完成任务的时候,却恼人的 ...

  3. 【C/C++】用C语言编写爬虫—爬虫程序优化要点

    写一个网络爬虫   用C语言来写一个网络爬虫,来获取一个网站上感兴趣的信息,抓取自己需要的一切. #include<cspider/spider.h>/* 自定义的解析函数,d为获取到的h ...

  4. 旋转子段 (思维stl)

    题目: 大概意思就是给你一个序列,你可以选择一段区间使它左右翻折一遍,然后呢,从1到n找一遍,看a[i]==i的数最多是多少. 其实刚才我已经把暴力思路说出来了,枚举每一个区间长度,枚举每一个左端点, ...

  5. spring boot:swagger3的安全配置(swagger 3.0.0 / spring security / spring boot 2.3.3)

    一,swagger有哪些环节需要注意安全? 1,生产环境中,要关闭swagger application.properties中配置: springfox.documentation.swagger- ...

  6. Elasticsearch(5):添加文档

      1 ES数据读写流程¶ ES中,每个索引都将被划分为若干分片,每个分片可以有多个副本.这些副本共同组成复制组,复制组中的分片在添加或删除文档时必须保持同步,否则,从一个副本中读取的数据将与从另一个 ...

  7. 虚拟环境与local_settings

    虚拟环境(virtualenv) 对于同时管理多个不同的项目时,使用虚拟环境是必须的. 虚拟环境就是用来为一个项目新建一个全新的纯净的python运行环境,该环境与系统的python环境相互隔离,且虚 ...

  8. 如何使用FastCGI处理自定义HTTP头

    对于如何使用FastCGI处理自定义HTTP头这里记录一下注意事项: 在FastCGI中,自定义头可以从环境变量获得: 获取时名字前面要加HTTP_,字母要全部大写: 发送头不能有下划线_,否则该字段 ...

  9. 缩略图调查——抖音客户端/PC/iphone

    最近对抖音有点上瘾,经常看到这样的视频列表: 由于抖音平台的限制,用户最多只能上传60s的视频,因此分段为3个视频.而在视频列表的缩略图模式下,三个视频的封面恰好组合成一张图像.这种方式比较符合审美标 ...

  10. 样式操作-核心DOM

    1.核心DOM 只能操作行内(内嵌)样式-->style里面的所有内容(核心DOM) //麻烦获取 console.log(div.getAttribute("style") ...