當(dāng)前位置 : 首頁>軟件學(xué)院>操作系統(tǒng)>linux系統(tǒng)>正文

簡單解析Linux系統(tǒng)防火墻框架

http://m.yibo1263.com　2009-7-10 8:28:41 　來源:網(wǎng)絡(luò)整理　編輯:葉子

數(shù)據(jù)報處理(Packet Mangling)

Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進(jìn)行注冊。使用 mangle表，可以實現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些帶外數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段。

源碼分析

如果我們想加入自己的代碼，便要用nf_register_hook函數(shù)，其函數(shù)原型為：

int nf_register_hook(struct nf_hook_ops *reg)　
struct nf_hook_ops　
{　
struct list_head list;　
/* User fills in from here down. */　
nf_hookfn *hook;　
int pf;　
int hooknum;　
/* Hooks are ordered in ascending priority. */　
int priority;　
};

我們的工作便是生成一個struct nf_hook_ops結(jié)構(gòu)的實例，并用nf_register_hook將其HOOK上。其中l(wèi)ist項我們總要初始化為{NULL,NULL}；由于一般在IP層工作，pf總是PF_INET；hooknum就是我們選擇的HOOK點;一個HOOK點可能掛多個處理函數(shù)，誰先誰后，便要看優(yōu)先級，即priority的指定了。Netfilter_IPv4.h中用一個枚舉類型指定了內(nèi)置的處理函數(shù)的優(yōu)先級：

enum nf_IP_hook_priorities {　
NF_IP_PRI_FIRST = INT_MIN,　
NF_IP_PRI_CONNTRACK = -200,　
NF_IP_PRI_MANGLE = -150,　
NF_IP_PRI_NAT_DST = -100,　
NF_IP_PRI_FILTER = 0,　
NF_IP_PRI_NAT_SRC = 100,　
NF_IP_PRI_LAST = INT_MAX,　
};

Hook是提供的處理函數(shù)，也就是我們的主要工作，其原型為：

unsigned int nf_hookfn(unsigned int hooknum,　
struct sk_buff **skb,　
const struct net_device *in,　
const struct net_device *out,　
int (*okfn)(struct sk_buff *));

它的五個參數(shù)將由NFHOOK宏傳進(jìn)去。nf_register_hook根據(jù)reg中注冊的協(xié)議簇類型和優(yōu)先級在nf_hooks中找到相應(yīng)的位置并插入到此表中。_hooks[NPROTO][NF_MAX_HOOKS]在Netfilter初始化時（Netfilter_init/Netfilter.c，而它在sock_init時調(diào)用）已經(jīng)初始為一個空表。

例如IPtable在初始化時（init/IPtable_filter.c）調(diào)用nf_register_hook注冊他的hook函數(shù)。

static struct nf_hook_ops IPt_ops[]　
= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_FILTER },　
{ { NULL, NULL }, IPt_hook, PF_INET, NF_IP_FORWARD, NF_IP_PRI_FILTER },　
{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,　
NF_IP_PRI_FILTER }　
};

mangle在init/IPtable_mangle.c中注冊它自己的hook函數(shù)�！�

static struct nf_hook_ops IPt_ops[]　
= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_PRE_ROUTING, NF_IP_PRI_MANGLE },　
{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,　
{NF_IP_PRI_MANGLE }　
};

NAT在init/IP_nat_standalone.c中注冊它自己的hook函數(shù)

/*包過濾前，更改目的地址*/
static struct nf_hook_ops IP_nat_in_ops

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·在Linux系統(tǒng)下配置雙網(wǎng)卡路由表

·教你完全免費(fèi)自建Linux系統(tǒng)防火墻

·在linux系統(tǒng)下構(gòu)建入侵檢測系統(tǒng)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费