简单解析Linux系统防火墙框架(2)
来源:asp之家 发布时间:2009-07-12 09:26:00
数据报处理(Packet Mangling)
Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用 mangle表,可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。
源码分析
如果我们想加入自己的代码,便要用nf_register_hook函数,其函数原型为:
int nf_register_hook(struct nf_hook_ops *reg)
struct nf_hook_ops
{
struct list_head list;
/* User fills in from here down. */
nf_hookfn *hook;
int pf;
int hooknum;
/* Hooks are ordered in ascending priority. */
int priority;
};
我们的工作便是生成一个struct nf_hook_ops结构的实例,并用nf_register_hook将其HOOK上。其中list项我们总要初始化为{NULL,NULL};由于一般在IP层工作,pf总是PF_INET;hooknum就是我们选择的HOOK点;一个HOOK点可能挂多个处理函数,谁先谁后,便要看优先级,即priority的指定了。Netfilter_IPv4.h中用一个枚举类型指定了内置的处理函数的优先级:
enum nf_IP_hook_priorities {
NF_IP_PRI_FIRST = INT_MIN,
NF_IP_PRI_CONNTRACK = -200,
NF_IP_PRI_MANGLE = -150,
NF_IP_PRI_NAT_DST = -100,
NF_IP_PRI_FILTER = 0,
NF_IP_PRI_NAT_SRC = 100,
NF_IP_PRI_LAST = INT_MAX,
};
Hook是提供的处理函数,也就是我们的主要工作,其原型为:
unsigned int nf_hookfn(unsigned int hooknum,
struct sk_buff **skb,
const struct net_device *in,
const struct net_device *out,
int (*okfn)(struct sk_buff *));
它的五个参数将由NFHOOK宏传进去。nf_register_hook根据reg中注册的协议簇类型和优先级在nf_hooks中找到相应的位置并插入到此表中。_hooks[NPROTO][NF_MAX_HOOKS]在Netfilter初始化时(Netfilter_init/Netfilter.c,而它在sock_init时调用)已经初始为一个空表。
例如IPtable在初始化时(init/IPtable_filter.c)调用nf_register_hook注册他的hook函数。
static struct nf_hook_ops IPt_ops[]
= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_FILTER },
{ { NULL, NULL }, IPt_hook, PF_INET, NF_IP_FORWARD, NF_IP_PRI_FILTER },
{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,
NF_IP_PRI_FILTER }
};
mangle在init/IPtable_mangle.c中注册它自己的hook函数。
static struct nf_hook_ops IPt_ops[]
= { { { NULL, NULL }, IPt_hook, PF_INET, NF_IP_PRE_ROUTING, NF_IP_PRI_MANGLE },
{ { NULL, NULL }, IPt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,
{NF_IP_PRI_MANGLE }
};
NAT在init/IP_nat_standalone.c中注册它自己的hook函数
/*包过滤前,更改目的地址*/
static struct nf_hook_ops IP_nat_in_ops
0
投稿猜你喜欢
1. 下载地址:https://www.vmware.com/go/getfusion2. 安装和安装其他Mac软件一样,双击app文件即可- 一,什么是Sitemaps?Sitemaps协议使您能够告知搜索引擎您网站中可供抓取的网址,使用Sitemaps协议的Sitemaps就是列
- Apache为网络管理员提供了丰富多彩的功能,包括目录索引、目录别名、内容协商、可配置的HTTP错误报告、CGI程序的SetUID执行、子进
- ubuntu(虚拟机)版本16.04 LTS添加swap用free查看swap分区大小free -m创建一个swap文件夹mkdir swa
- 本文介绍了Centos6.9安装vsftpd并配置多用户的方法,分享给大家,具体如下:一、安装vsftpd#安装vsftpdyum -y i
- 白帽SEO工作准确的讲白帽SEO是一些遵守互联网道德准则,遵守搜索引擎约束规范的搜索引擎优化工作者。白帽SEO是相对黑帽SEO而言的。其特点
- 安全专家正在敦促Linux服务器和工作站的用户立即采取措施修补在Linux内核中发现的两个缺陷。这些缺陷可以影响到目前所有版本的Linux,
- 本篇文章讲的是提高WordPress自带的搜索功能的体验,使用Google CSE的可以飘过。随着站内信息的增多,站内搜索成为了每个网站必不
- 什么是SWFUpload?SWFUpload是一个客户端文件上传工具,最初由Vinterwebb.se开发,它通过整合Flash与JavaS
- 昨天登陆我的Google AdSense帐户发现,西联快汇已经支付,支付日期是10月30日,那么今天, 11.2日大家就可以到相
- 初级安全篇1、物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以
- 1、安装前的准备 安装插件前, 您必须要看看您所要安装的插件的运行平台是否是您当前安装的
- 最近在弄一个网站的易用性评估项目,就我个人体会,总结下糟糕的网站用户体验基本上会产生六大感受:1、不安感:网站在流程方面应该让用户在每次点击
- 在用TCP/IP协议族架设的网络中,每一个节点都有一个唯一的IP地址,用来作为它们唯一的标志。然而,如果让使用者来记住这些毫无记忆规律的IP
- 11月18日消息,盛大游戏(NASDAQ: GAME)今天宣布,其18基金旗下新生代网络游戏开发商悠游数码所开发的3D大型多人在线网络游戏《
- 昨日,谷歌AdSense合作规范小组发表博文,针对如何通过构建内容独特而有价值的网站来扩大业务和吸引更多的访问者发表了看法。AdSense合
- 前两天,登陆我们的discuz论坛,跳转到uchome后院的时候,状态不是已经登陆上的,但在uchome里面登陆,跳转到discuz论坛,就
- 我们继续来了解Godaddy主机,今天我们要介绍的是Godaddy主机的管理帐户如何变更。Pending Account Changes页面
- 曾经听过这麽一段歌词“有钱不能买生命,有钱不能买平安”,我觉得这句化非常实在,人活一世只能攥着拳头来,撒开手而去,再多的物质 我们也是带不走
- 10月21日消息,据国外媒体报道,本周二,雅虎公布了第三季度财报,该季度利润超过去年同期的三倍,第三季度净利润同比增长244%,增至1.86
