皮皮网

【录播课堂网站源码】【描述源码怎么制作】【eclipse显示class源码】zeromq源码下载

时间:2024-12-26 23:51:12 来源:股彩黎明指标源码 作者:lakka源码安装

1.linux Netfilter在网络层的源码实现详细分析(iptables)

zeromq源码下载

linux Netfilter在网络层的实现详细分析(iptables)

       Linux netfilter在网络层的实现细节分析主要基于Linux内核版本4..0-。

       我绘制了一张Linux内核协议栈网络层netfilter(iptables)的下载全景图,其中包含了许多内容,源码以下将详细讲解。下载

       INGRESS入口钩子是源码在Linux内核4.2中引入的。与其他netfilter钩子不同,下载录播课堂网站源码入口钩子附加到特定的源码网络接口。可以使用带有ingress钩子的下载nftables来实施非常早期的过滤策略,甚至在prerouting之前生效。源码请注意,下载在这个非常早期的源码阶段,碎片化的下载数据报尚未重新组装,例如匹配ip saddr和daddr适用于所有ip数据包,源码但匹配传输层的下载头部(如udp dport)仅适用于未分段的数据包或第一个片段,因此入口钩子提供了一种替代tc入口过滤的源码方法,但仍需tc进行流量整形。

       Netfilter/iptables由table、chain和规则组成。

       iptables的描述源码怎么制作链(chain)

       netfilter在网络层安装了5个钩子,对应5个链,还可以通过编写内核模块来扩展这些链的功能。

       ⑴五个链(chain)及对应钩子

       以下是网络层五条链的位置图:

       ①网络数据包的三种流转路径

       ②源码中网络层的5个hook的定义

       include\uapi\linux etfilter_ipv4.h

       在include\uapi\linux etfilter.h中有对应的hook点定义:

       注:在4.2及以上版本内核中又增加了一个hook点NF_NETDEV_INGRESS:

       为NFPROTO_INET系列添加了NF_INET_INGRESS伪钩子。这是将这个新钩子映射到现有的NFPROTO_NETDEV和NF_NETDEV_INGRESS钩子。该钩子不保证数据包仅是inet,用户必须明确过滤掉非ip流量。这种基础结构使得在nf_tables中支持这个新钩子变得更容易。

       iptables的表

       ⑴五张表(table)

       以下是五张表分布在对应链上的图:

       相关视频推荐

       免费学习地址:Linux C/C++开发(后端/音视频/游戏/嵌入式/高性能网络/存储/基础架构/安全)

       需要C/C++ Linux服务器架构师学习资料加qun 获取(资料包括C/C++,Linux,eclipse显示class源码golang技术,Nginx,ZeroMQ,MySQL,Redis,fastdfs,MongoDB,ZK,流媒体,云盘源码appCDN,P2P,K8S,Docker,TCP/IP,协程,DPDK,ffmpeg等),免费分享

       ⑵源码中IP层的佳游339源码表的定义

       netfilter中的表的定义

       include\linux etfilter\x_tables.h

       网络层各hook点的优先级

       数值越低优先级越高:

       include\uapi\linux etfilter_ipv4.h

       下面我们看下netfilter/iptables的这几张表在内核源码中的定义。

       ①raw表

       源码里RAW_VALID_HOOKS宏可以看出raw表只有NF_INET_PRE_ROUTING、NF_INET_LOCAL_OUT链有效。

       ②mangle表

       源码中valid_hooks参数可以看出mangle表对NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING五条链都有效。

       ③nat表

       valid_hooks变量可以看出nat表只有NF_INET_PRE_ROUTING、NF_INET_POST_ROUTING、NF_INET_LOCAL_OUT、NF_INET_LOCAL_IN四条链有效。

       ④filter表

       源码中valid_hooks参数可以看出filter表对NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT三条链有效。

       网络层的五张表在内核中对应了五个内核模块:

       3、Netfilter在网络层安装的5个hook点

       下面我们看下网络层的各个hook点安装的位置:

       ⑴、NF_INET_PRE_ROUTING

       它是所有传入数据包到达的第一个hook点,它是在路由子系统中执行查找之前。这个钩子在IPv4的ip_rcv()方法中,在IPv6的ipv6_rcv()方法中。

       ①net\ipv4\ip_input.c

       ②net\ipv4\xfrm4_input.c

       ⑵、NF_INET_LOCAL_IN

       这个钩子在IPv4的ip_local_deliver()方法中,在IPv6的ip6_input()方法中。所有路由到本地主机的数据包都会到达此hook点,它是在首先通过NF_INET_PRE_ROUTING hook点并在路由子系统中执行查找之后进到这里。

       net\ipv4\ip_input.c

       ⑶、NF_INET_FORWARD

       ①net\ipv4\ip_forward.c

       ②net\ipv4\ipmr.c

       ⑷、NF_INET_LOCAL_OUT

       ①net\ipv4\ip_output.c

       ②net\ipv4\raw.c

       ⑸、NF_INET_POST_ROUTING

       net\ipv4\ip_output.c

       以上我们看到xfrm中也有安装相关hook点,这里引用官方资料介绍下什么是xfrm:

       xfrm是IP层的一个框架,用于封装实现IPSec协议。

       简单来说,xfrm就是IP层的一个框架,用于封装实现IPSec协议。

       到此,我们基于源码分析介绍完了Netfilter在网络层的实现。

关键词:读取子框架 源码

copyright © 2016 powered by 皮皮网   sitemap