Linux内核中的IPSEC实现(5)
<table width="760" align="center" bgcolor="#ffffff" border="0" cellpadding="0" cellspacing="0"><tbody><tr><td align="center"><table style="border-collapse: collapse; word-wrap: break-word;" width="740" border="0" cellpadding="0" cellspacing="0"><tbody><tr><td width="740"><div id="art" width="560" style="margin: 15px;"><div align="center"><font size="5">Linux内核中的IPSEC实现(5)</font></div>
<div><br>本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。<br>msn: <a href="mailto:yfydz_no1@hotmail.com" target="_blank">yfydz_no1@hotmail.com</a><br>来源:<a href="http://yfydz.cublog.cn/" target="_blank">http://yfydz.cublog.cn</a></div>
<div><br>7. IPV4下的xfrm支持处理</div>
<div><br>在xfrm中各种和地址相关的操作是和协议族相关的, 因此这部分的具体实现就放在相关的协议族实现中, 然后通过状态和策略信息结构来指引到实际的操作中,完成对普通数据包的IPSEC包装或对IPSEC包的解封装。</div>
<div><br>7.1 IPV4下的xfrm策略</div>
<div><br>IPV4下的xfrm策略在net/ipv4/xfrm4_policy.c文件中定义, 主要是定义IPV4的策略信息结构:</div>
<div><br>static struct xfrm_policy_afinfo xfrm4_policy_afinfo = {<br> .family = AF_INET,<br> .dst_ops = &xfrm4_dst_ops,<br> .dst_lookup = xfrm4_dst_lookup,<br> .get_saddr = xfrm4_get_saddr,<br> .find_bundle = __xfrm4_find_bundle,<br> .bundle_create = __xfrm4_bundle_create,<br> .decode_session = _decode_session4,<br>};</div>
<div><br>在xfrm_policy_register_afinfo()函数中, 还定义了struct xfrm_policy_afinfo结构的其他几个成员函数,因为这几个函数是和协议无关的, 所以在登记函数中定义了:<br> afinfo->garbage_collect = __xfrm_garbage_collect;<br>该函数已经在本系列的第3篇中介绍过了.</div>
<div> </div>
<div>以下是结构中几个函数的定义:</div>
<div>// IPV4的路由查找, 就是普通是路由查找方法<br>// 返回0成功<br>static int xfrm4_dst_lookup(struct xfrm_dst **dst, struct flowi *fl)<br>{<br> return __ip_route_output_key((struct rtable**)dst, fl);<br>}</div>
<div>// 查找地址, 这个函数是在通道模式下, 源地址没明确指定时调用的,查找获取<br>// 外部头中的源地址<br>static int xfrm4_get_saddr(xfrm_address_t *saddr, xfrm_address_t *daddr)<br>{<br> struct rtable *rt;<br>// 通道的流结构定义,用于查找路由<br> struct flowi fl_tunnel = {<br> .nl_u = {<br> .ip4_u = {<br> .daddr = daddr->a4,<br> },<br> },<br> };</div>
<div>// 根据目的地址找路由<br> if (!xfrm4_dst_lookup((struct xfrm_dst **)&rt, &fl_tunnel)) {<br>// 将找到的路由项中的源地址作为通道模式下的外部源地址<br> saddr->a4 = rt->rt_src;<br> dst_release(&rt->u.dst);<br> return 0;<br> }<br> return -EHOSTUNREACH;<br>}</div>
<div><br>// 查找策略中的安全路由, 查找条件是流结构的定义的参数<br>static struct dst_entry *<br>__xfrm4_find_bundle(struct flowi *fl, struct xfrm_policy *policy)<br>{<br> struct dst_entry *dst;</div>
<div> read_lock_bh(&policy->lock);<br>// 遍历策略的安全路由链表<br> for (dst = policy->bundles; dst; dst = dst->next) {<br> struct xfrm_dst *xdst = (struct xfrm_dst*)dst;<br>// 比较网卡位置, 目的地址, 源地址, TOS值是否匹配<br>// 同时检查该安全路由是否可用<br> if (xdst->u.rt.fl.oif == fl->oif && /*XXX*/<br> xdst->u.rt.fl.fl4_dst == fl->fl4_dst &&<br> xdst->u.rt.fl.fl4_src == fl->fl4_src &&<br> xdst->u.rt.fl.fl4_tos == fl->fl4_tos &&<br> xfrm_bundle_ok(policy, xdst, fl, AF_INET, 0)) {<br> dst_clone(dst);<br> break;<br> }<br> }<br> read_unlock_bh(&policy->lock);<br> return dst;<br>}</div>
<div><br>// 解码skb数据, 填充流结构<br>static void<br>_decode_session4(struct sk_buff *skb, struct flowi *fl)<br>{<br> struct iphdr *iph = skb->nh.iph;<br>// xprth是IP头后的上层协议头起始<br> u8 *xprth = skb->nh.raw + iph->ihl*4;<br>// 先将流结构清零<br> memset(fl, 0, sizeof(struct flowi));<br>// 数据包必须不是分片包<br> if (!(iph->frag_off & htons(IP_MF | IP_OFFSET))) {<br> switch (iph->protocol) {<br>// 对UDP(17), TCP(6), SCTP(132)和DCCP(33)协议, 要提取源端口和目的端口<br>// 头4字节是源端口和目的端口<br> case IPPROTO_UDP:<br> case IPPROTO_TCP:<br> case IPPROTO_SCTP:<br> case IPPROTO_DCCP:<br>// 要让skb预留出IP头长度加4字节的长度, 在IP层data应该指向最外面的IP头<br> if (pskb_may_pull(skb, xprth + 4 - skb->data)) {<br> u16 *ports = (u16 *)xprth;<br>// 提取端口参数<br> fl->fl_ip_sport = ports;<br> fl->fl_ip_dport = ports;<br> }<br> break;</div>
<div> case IPPROTO_ICMP:<br>// 对ICMP(1)协议要提取ICMP包的类型和编码, 2字节<br> if (pskb_may_pull(skb, xprth + 2 - skb->data)) {<br> u8 *icmp = xprth;</div>
<div> fl->fl_icmp_type = icmp;<br> fl->fl_icmp_code = icmp;<br> }<br> break;</div>
<div> case IPPROTO_ESP:<br>// 对于ESP(50)协议要提取其中的SPI值, 4字节<br> if (pskb_may_pull(skb, xprth + 4 - skb->data)) {<br> __be32 *ehdr = (__be32 *)xprth;</div>
<div> fl->fl_ipsec_spi = ehdr;<br> }<br> break;</div>
<div> case IPPROTO_AH:<br>// 对于AH(51)协议要提取其中的SPI值, 4字节<br> if (pskb_may_pull(skb, xprth + 8 - skb->data)) {<br> __be32 *ah_hdr = (__be32*)xprth;</div>
<div> fl->fl_ipsec_spi = ah_hdr;<br> }<br> break;</div>
<div> case IPPROTO_COMP:<br>// 对于COMP(108)协议要提取其中CPI值作为SPI值, 2字节<br> if (pskb_may_pull(skb, xprth + 4 - skb->data)) {<br> __be16 *ipcomp_hdr = (__be16 *)xprth;</div>
<div> fl->fl_ipsec_spi = htonl(ntohs(ipcomp_hdr));<br> }<br> break;<br> default:<br> fl->fl_ipsec_spi = 0;<br> break;<br> };<br> }<br>// 填充协议,源地址,目的地址, TOS参数<br> fl->proto = iph->protocol;<br> fl->fl4_dst = iph->daddr;<br> fl->fl4_src = iph->saddr;<br> fl->fl4_tos = iph->tos;<br>}</div>
<div> </div>
<div><br>/* Allocate chain of dst_entry's, attach known xfrm's, calculate<br> * all the metrics... Shortly, bundle a bundle.<br> */<br>// 创建安全路由<br>static int<br>__xfrm4_bundle_create(struct xfrm_policy *policy, struct xfrm_state **xfrm, int nx,<br> struct flowi *fl, struct dst_entry **dst_p)<br>{<br> struct dst_entry *dst, *dst_prev;<br> struct rtable *rt0 = (struct rtable*)(*dst_p);<br> struct rtable *rt = rt0;<br> u32 remote = fl->fl4_dst;<br> u32 local = fl->fl4_src;<br> struct flowi fl_tunnel = {<br> .nl_u = {<br> .ip4_u = {<br> .saddr = local,<br> .daddr = remote,<br> .tos = fl->fl4_tos<br> }<br> }<br> };<br> int i;<br> int err;<br> int header_len = 0;<br> int trailer_len = 0;</div>
<div> dst = dst_prev = NULL;<br> dst_hold(&rt->u.dst);</div>
<div>// 循环次数为策略中SA的数量, 每个SA对应一个安全路由, 一个安全路由对应对数据包的一个<br>// 操作: 如压缩, ESP封装, AH封装等<br> for (i = 0; i < nx; i++) {<br>// 分配安全路由, 安全路由的操作结构是xfrm4_dst_ops<br>// 因为定义了很多不同类型的路由, 每种路由都有各自的操作结构, 这样在上层可用<br>// 统一的接口进行路由处理<br> struct dst_entry *dst1 = dst_alloc(&xfrm4_dst_ops);<br> struct xfrm_dst *xdst;<br> int tunnel = 0;</div>
<div> if (unlikely(dst1 == NULL)) {<br> err = -ENOBUFS;<br> dst_release(&rt->u.dst);<br> goto error;<br> }</div>
<div> if (!dst)<br>// 第一次循环<br> dst = dst1;<br> else {<br>// 将新分配的安全路由作为前一个路由的child<br> dst_prev->child = dst1;<br> dst1->flags |= DST_NOHASH;<br> dst_clone(dst1);<br> }</div>
<div> xdst = (struct xfrm_dst *)dst1;<br>// 安全路由中保留相应的普通路由<br> xdst->route = &rt->u.dst;<br> xdst->genid = xfrm->genid;<br>// 新节点的next是老节点<br> dst1->next = dst_prev;<br>// 现在prev节点位新节点<br> dst_prev = dst1;<br> if (xfrm->props.mode != XFRM_MODE_TRANSPORT) {<br> remote = xfrm->id.daddr.a4;<br> local = xfrm->props.saddr.a4;<br> tunnel = 1;<br> }<br> header_len += xfrm->props.header_len;<br> trailer_len += xfrm->props.trailer_len;</div>
<div>// 如果是通道模式, 需要重新包裹外部IP头, 需要重新寻找外部IP头的路由<br> if (tunnel) {<br> fl_tunnel.fl4_src = local;<br> fl_tunnel.fl4_dst = remote;<br> err = xfrm_dst_lookup((struct xfrm_dst **)&rt,<br> &fl_tunnel, AF_INET);<br> if (err)<br> goto error;<br> } else<br> dst_hold(&rt->u.dst);<br> }<br>// 将最新节点的child指向最后的普通路由<br> dst_prev->child = &rt->u.dst;<br>// 最老一个安全路由的path指向最后的普通路由<br> dst->path = &rt->u.dst;</div>
<div>// 将最老安全路由点作为要返回的路由节点链表头<br> *dst_p = dst;<br>// dst现在是最新节点<br> dst = dst_prev;<br>// prev现在指向最老安全节点<br> dst_prev = *dst_p;<br> i = 0;</div>
<div>/*<br> 为更好理解上面的操作, 用图来表示. 以上循环形成了下图水平方向的一个链表,
链表中的最左边的路由项节点dst为最老的安全路由项, 新分配的安全路由项通过child链接成链表, child通过next指向老节点,
最后一项是数据包封装完后的最后普通路由项.</div>
<div>垂直方向的链表是在xfrm_lookup()中形成的, 是多个策略同时起作用的情况, 一般情况下就只有一个策略, 本文中可不考虑多策略的情况.</div>
<div> <br> rt0.u.dst rt.u.dst rt.u.dst<br> ^ ^ ^<br> route | route | route | <br> | child | child |<br> bundle +-----+ -----> +-----+ -----> +-----+ child<br> policy -------> | dst | <----- | dst | <----- ... | dst | -----> rt.u.dst<br> +-----+ next +-----+ next +-----+<br> |<br> |next<br> |<br> V child child<br> +-----+ -----> +-----+ -----> +-----+ child<br> | dst | <----- | dst | <----- ... | dst | -----> rt.u.dst<br> +-----+ next +-----+ next +-----+<br> |<br> |next<br> |<br> V<br> ....<br>*/</div>
<div>// 对新生成的每个安全路由项填充结构参数<br> for (; dst_prev != &rt->u.dst; dst_prev = dst_prev->child) {<br> struct xfrm_dst *x = (struct xfrm_dst*)dst_prev;<br> x->u.rt.fl = *fl;</div>
<div> dst_prev->xfrm = xfrm;<br> dst_prev->dev = rt->u.dst.dev;<br> if (rt->u.dst.dev)<br> dev_hold(rt->u.dst.dev);<br> dst_prev->obsolete = -1;<br> dst_prev->flags |= DST_HOST;<br> dst_prev->lastuse = jiffies;<br> dst_prev->header_len = header_len;<br> dst_prev->nfheader_len = 0;<br> dst_prev->trailer_len = trailer_len;<br> memcpy(&dst_prev->metrics, &x->route->metrics, sizeof(dst_prev->metrics));</div>
<div> /* Copy neighbout for reachability confirmation */<br> dst_prev->neighbour = neigh_clone(rt->u.dst.neighbour);<br> dst_prev->input = rt->u.dst.input;<br>// 注意安全路由的输出函数是xfrm4_output, 在以后分析路由过程时要用到<br> dst_prev->output = xfrm4_output;<br> if (rt->peer)<br> atomic_inc(&rt->peer->refcnt);<br> x->u.rt.peer = rt->peer;<br> /* Sheit... I remember I did this right. Apparently,<br> * it was magically lost, so this code needs audit */<br> x->u.rt.rt_flags = rt0->rt_flags&(RTCF_BROADCAST|RTCF_MULTICAST|RTCF_LOCAL);<br> x->u.rt.rt_type = rt->rt_type;<br> x->u.rt.rt_src = rt0->rt_src;<br> x->u.rt.rt_dst = rt0->rt_dst;<br> x->u.rt.rt_gateway = rt->rt_gateway;<br> x->u.rt.rt_spec_dst = rt0->rt_spec_dst;<br> x->u.rt.idev = rt0->idev;<br> in_dev_hold(rt0->idev);<br> header_len -= x->u.dst.xfrm->props.header_len;<br> trailer_len -= x->u.dst.xfrm->props.trailer_len;<br> }<br>// 初始化路由项的MTU值<br> xfrm_init_pmtu(dst);<br> return 0;</div>
<div>error:<br> if (dst)<br> dst_free(dst);<br> return err;<br>}</div>
<div> </div>
<div>7.1. 小结</div>
<div><br>IPV4的策略信息结构中的相关成员函数的被调用关系可如下简单表示:</div>
<div>xfrm_lookup: find xfrm_dst for the skb, create dst_list<br> -> xfrm_find_bundle<br> -> afinfo->find_bundle() == __xfrm4_find_bundle<br> -> xfrm_tmpl_resolve<br> -> xfrm_tmpl_resolve_one<br> -> xfrm_get_saddr<br> -> afinfo->get_saddr == xfrm4_get_saddr<br> -> xfrm4_dst_lookup<br> -> xfrm_bundle_create<br> -> afinfo->bundle_create() == __xfrm4_bundle_create<br> -> xfrm_dst_lookup()<br> -> afinfo->dst_lookup() == xfrm4_dst_lookup</div>
<div><br>xfrm4_policy_check<br> -> xfrm_policy_check<br> -> __xfrm_policy_check<br> -> xfrm_decode_session<br> -> afinfo->decode_session() == _decode_session4</div>
<div><br>7.2 IPV4安全路由操作</div>
<div><br>路由操作是针对每种类型的路由定义的一个操作结构, 对上层隐藏了不同路由处理内部的处理方法, 对于IPSEC的IPV4安全路由(xfrm_dst)的操作结构定义如下:</div>
<div>/* net/ipv4/xfrm4_policy.c */<br>static struct dst_ops xfrm4_dst_ops = {<br> .family = AF_INET,<br> .protocol = __constant_htons(ETH_P_IP),<br> .gc = xfrm4_garbage_collect,<br> .update_pmtu = xfrm4_update_pmtu,<br> .destroy = xfrm4_dst_destroy,<br> .ifdown = xfrm4_dst_ifdown,<br> .gc_thresh = 1024,<br> .entry_size = sizeof(struct xfrm_dst),<br>};</div>
<div><br>在xfrm_policy_register_afinfo()函数中, 还定义了安全路由操作结构的其他几个成员函数,因为这几个函数是和协议无关的, 所以在登记函数中定义了:</div>
<div> dst_ops->kmem_cachep = xfrm_dst_cache;<br> dst_ops->check = xfrm_dst_check;<br> dst_ops->negative_advice = xfrm_negative_advice;<br> dst_ops->link_failure = xfrm_link_failure;</div>
<div> </div>
<div>// 安全路由垃圾搜集, 就是调用安全策略信息结构的垃圾搜集函数<br>static inline int xfrm4_garbage_collect(void)<br>{<br> xfrm4_policy_afinfo.garbage_collect();<br> return (atomic_read(&xfrm4_dst_ops.entries) > xfrm4_dst_ops.gc_thresh*2);<br>}</div>
<div><br>// 更新路由的MTU<br>static void xfrm4_update_pmtu(struct dst_entry *dst, u32 mtu)<br>{<br> struct xfrm_dst *xdst = (struct xfrm_dst *)dst;<br> struct dst_entry *path = xdst->route;<br>// 调用的是安全路由的原始普通路由的MTU更新操作<br> path->ops->update_pmtu(path, mtu);<br>}</div>
<div><br>// 释放安全路由<br>static void xfrm4_dst_destroy(struct dst_entry *dst)<br>{<br> struct xfrm_dst *xdst = (struct xfrm_dst *)dst;<br>// 释放inet网卡引用<br> if (likely(xdst->u.rt.idev))<br> in_dev_put(xdst->u.rt.idev);<br>// 释放对方IP的引用<br> if (likely(xdst->u.rt.peer))<br> inet_putpeer(xdst->u.rt.peer);<br>// 释放安全路由<br> xfrm_dst_destroy(xdst);<br>}</div>
<div><br> static inline void xfrm_dst_destroy(struct xfrm_dst *xdst)<br> {<br> // 释放和安全路由相关的普通路由<br> dst_release(xdst->route);<br> // 释放SA<br> if (likely(xdst->u.dst.xfrm))<br> xfrm_state_put(xdst->u.dst.xfrm);<br> }</div>
<div><br>// 网卡down时的回调操作<br>static void xfrm4_dst_ifdown(struct dst_entry *dst, struct net_device *dev,<br> int unregister)<br>{<br> struct xfrm_dst *xdst;</div>
<div> if (!unregister)<br> return;</div>
<div> xdst = (struct xfrm_dst *)dst;<br>// 该安全路由对应的网卡是当前停掉的网卡<br> if (xdst->u.rt.idev->dev == dev) {<br> struct in_device *loopback_idev = in_dev_get(&loopback_dev);<br> BUG_ON(!loopback_idev);</div>
<div> do {<br>// 释放安全路由网卡<br> in_dev_put(xdst->u.rt.idev);<br>// 安全路由网卡采用自身的回环网卡<br> xdst->u.rt.idev = loopback_idev;<br> in_dev_hold(loopback_idev);<br>// 子路由<br> xdst = (struct xfrm_dst *)xdst->u.dst.child;<br> } while (xdst->u.dst.xfrm);</div>
<div> __in_dev_put(loopback_idev);<br> }</div>
<div> xfrm_dst_ifdown(dst, dev);<br>}</div>
<div> </div>
<div>7.3 IPV4下的xfrm状态</div>
<div><br>IPV4下的xfrm状态在net/ipv4/xfrm4_state.c文件中定义, 主要是定义IPV4的状态信息结构:</div>
<div>static struct xfrm_state_afinfo xfrm4_state_afinfo = {<br> .family = AF_INET,<br> .init_flags = xfrm4_init_flags,<br> .init_tempsel = __xfrm4_init_tempsel,<br>};</div>
<div><br>该结构中在IPV4下只定义了两个处理函数:</div>
<div><br>// 初始化状态标志<br>static int xfrm4_init_flags(struct xfrm_state *x)<br>{<br> if (ipv4_config.no_pmtu_disc)<br> x->props.flags |= XFRM_STATE_NOPMTUDISC;<br> return 0;<br>}</div>
<div><br>// 初始化模板选择子<br>static void<br>__xfrm4_init_tempsel(struct xfrm_state *x, struct flowi *fl,<br> struct xfrm_tmpl *tmpl,<br> xfrm_address_t *daddr, xfrm_address_t *saddr)<br>{<br>// 填写选择子信息<br>// 源地址<br> x->sel.daddr.a4 = fl->fl4_dst;<br>// 目的地址<br> x->sel.saddr.a4 = fl->fl4_src;<br>// 目的端口, 掩码<br> x->sel.dport = xfrm_flowi_dport(fl);<br> x->sel.dport_mask = htons(0xffff);<br>// 源端口掩码<br> x->sel.sport = xfrm_flowi_sport(fl);<br> x->sel.sport_mask = htons(0xffff);<br>// 源目的地址长度<br> x->sel.prefixlen_d = 32;<br> x->sel.prefixlen_s = 32;<br>// 协议<br> x->sel.proto = fl->proto;<br>// 网卡位置<br> x->sel.ifindex = fl->oif;<br>// 状态ID值<br> x->id = tmpl->id;<br> if (x->id.daddr.a4 == 0)<br> x->id.daddr.a4 = daddr->a4;<br>// 支持结构中的参数<br>// 源地址<br> x->props.saddr = tmpl->saddr;<br> if (x->props.saddr.a4 == 0)<br> x->props.saddr.a4 = saddr->a4;<br>// 模式<br> x->props.mode = tmpl->mode;<br>// 请求ID<br> x->props.reqid = tmpl->reqid;<br>// 协议族<br> x->props.family = AF_INET;<br>}</div>
<div><br>7.3小结</div>
<div><br>IPV4的状态信息结构中的相关成员函数的被调用关系可如下简单表示:</div>
<div>xfrm_init_state()<br> -> afinfo->init_flags() == xfrm4_init_flags</div>
<div><br>xfrm_state_find()<br> -> xfrm_init_tempsel()<br> -> afinfo->init_tempsel() == __xfrm4_init_tempsel</div>
<div><br>7.4 模式</div>
<div><br>xfrm4支持3种模式: 通道, 传输和BEET模式, 分别在xfrm4_mode_tunnel.c, xfrm4_mode_transport.c和xfrm4_mode_beet.c中定义.</div>
<div>每个模式都通过结构struct xfrm_mode定义:<br>struct xfrm_mode {<br> int (*input)(struct xfrm_state *x, struct sk_buff *skb);<br> int (*output)(struct xfrm_state *x,struct sk_buff *skb);</div>
<div> struct module *owner;<br> unsigned int encap;<br>};</div>
<div>其中input函数在数据接收时调用, output函数数据发出时调用, encap参数表示是否封装.</div>
<div><br>7.4.1 通道</div>
<div>通道模式通过以下结构定义:</div>
<div>/* net/ipv4/xfrm4_mode_transport.c */</div>
<div>static struct xfrm_mode xfrm4_tunnel_mode = {<br> .input = xfrm4_tunnel_input,<br> .output = xfrm4_tunnel_output,<br> .owner = THIS_MODULE,<br> .encap = XFRM_MODE_TUNNEL,<br>};</div>
<div><br>// 通道模式下的接收函数, 解封装<br>static int xfrm4_tunnel_input(struct xfrm_state *x, struct sk_buff *skb)<br>{<br> struct iphdr *iph = skb->nh.iph;<br> int err = -EINVAL;</div>
<div>// IP协议为IPPROTO_IPIP(4)<br> if (iph->protocol != IPPROTO_IPIP)<br> goto out;<br>// 需要在skb头留出IP头的长度(20字节)<br> if (!pskb_may_pull(skb, sizeof(struct iphdr)))<br> goto out;</div>
<div>// 如果是clone包,重新拷贝一个<br> if (skb_cloned(skb) &&<br> (err = pskb_expand_head(skb, 0, 0, GFP_ATOMIC)))<br> goto out;<br>// 复制dscp字段<br> if (x->props.flags & XFRM_STATE_DECAP_DSCP)<br> ipv4_copy_dscp(iph, skb->h.ipiph);<br>// 非XFRM_STATE_NOECN时进行ECN解封装<br> if (!(x->props.flags & XFRM_STATE_NOECN))<br> ipip_ecn_decapsulate(skb);<br>// 将硬件地址挪到数据包缓冲区前<br> skb->mac.raw = memmove(skb->data - skb->mac_len,<br> skb->mac.raw, skb->mac_len);<br>// 网络部分数据头<br> skb->nh.raw = skb->data;<br> err = 0;</div>
<div>out:<br> return err;<br>}</div>
<div><br>// 通道模式下的数据发出函数, 进行封装<br>static int xfrm4_tunnel_output(struct xfrm_state *x, struct sk_buff *skb)<br>{<br> struct dst_entry *dst = skb->dst;<br> struct iphdr *iph, *top_iph;<br> int flags;</div>
<div> iph = skb->nh.iph;<br> skb->h.ipiph = iph;<br>// 数据头部增加外部IP头的长度<br> skb->nh.raw = skb_push(skb, x->props.header_len);<br> top_iph = skb->nh.iph;<br>// 填写外部IP头参数<br> top_iph->ihl = 5;<br> top_iph->version = 4;</div>
<div> /* DS disclosed */<br>// 重新计算TOS<br> top_iph->tos = INET_ECN_encapsulate(iph->tos, iph->tos);</div>
<div> flags = x->props.flags;<br> if (flags & XFRM_STATE_NOECN)<br> IP_ECN_clear(top_iph);<br>// 处理分片包情况<br> top_iph->frag_off = (flags & XFRM_STATE_NOPMTUDISC) ?<br> 0 : (iph->frag_off & htons(IP_DF));<br> if (!top_iph->frag_off)<br> __ip_select_ident(top_iph, dst->child, 0);<br>// TTL<br> top_iph->ttl = dst_metric(dst->child, RTAX_HOPLIMIT);<br>// 外部源地址用proposal中的源地址<br> top_iph->saddr = x->props.saddr.a4;<br>// 外部目的地址是SA中的目的地址<br> top_iph->daddr = x->id.daddr.a4;<br>// 外部IP头内的协议号为IPIP(4)<br> top_iph->protocol = IPPROTO_IPIP;<br>// IP选项部分设置为0<br> memset(&(IPCB(skb)->opt), 0, sizeof(struct ip_options));<br> return 0;<br>}</div>
<div><br>7.4.2 传输</div>
<div><br>传输模式下不添加新的IP头, 其实几乎什么都不用做, 老点的2.6内核中就没有专门为传输模式定义.<br>传输模式结构定义为:</div>
<div>/* net/ipv4/xfrm4_mode_transport.c */</div>
<div>static struct xfrm_mode xfrm4_transport_mode = {<br> .input = xfrm4_transport_input,<br> .output = xfrm4_transport_output,<br> .owner = THIS_MODULE,<br> .encap = XFRM_MODE_TRANSPORT,<br>};</div>
<div><br>/* Remove encapsulation header.<br> *<br> * The IP header will be moved over the top of the encapsulation header.<br> *<br> * On entry, skb->h shall point to where the IP header should be and skb->nh<br> * shall be set to where the IP header currently is. skb->data shall point<br> * to the start of the payload.<br> */<br>// 传输模式下的数据输入函数<br>static int xfrm4_transport_input(struct xfrm_state *x, struct sk_buff *skb)<br>{<br>// data指向负载头, h指向IP头, 但很多情况下两者相同<br> int ihl = skb->data - skb->h.raw;</div>
<div>// 如果h和nh不同, 将nh所指向IP头部分移动到h处<br> if (skb->h.raw != skb->nh.raw)<br> skb->nh.raw = memmove(skb->h.raw, skb->nh.raw, ihl);<br>// 增加数据包长度, 重新对数据包长度赋值<br> skb->nh.iph->tot_len = htons(skb->len + ihl);<br> skb->h.raw = skb->data;<br> return 0;<br>}</div>
<div> </div>
<div>/* Add encapsulation header.<br> *<br> * The IP header will be moved forward to make space for the encapsulation<br> * header.<br> *<br> * On exit, skb->h will be set to the start of the payload to be processed<br> * by x->type->output and skb->nh will be set to the top IP header.<br> */<br>// 传输模式下的数据发出函数<br>static int xfrm4_transport_output(struct xfrm_state *x, struct sk_buff *skb)<br>{<br> struct iphdr *iph;<br> int ihl;<br>// nh和赋值给h<br> iph = skb->nh.iph;<br> skb->h.ipiph = iph;<br>// ip头长度<br> ihl = iph->ihl * 4;<br>// 重新计算h位置<br> skb->h.raw += ihl;<br>// 重新计算新的nh位置,增加proposal中的头长度, 拷贝原来的IP头数据<br> skb->nh.raw = memmove(skb_push(skb, x->props.header_len), iph, ihl);<br> return 0;<br>}</div>
<div><br>7.4.3 BEET</div>
<div><br>封装成BEETPH(94)包, 非标准IPSEC, 略.</div>
<div><br>7.4.4 小结</div>
<div>和xfrm_mode相关的xfrm函数有:<br>登记: int xfrm_register_mode(struct xfrm_mode *mode, int family);<br>撤销: int xfrm_unregister_mode(struct xfrm_mode *mode, int family)<br>获取: struct xfrm_mode *xfrm_get_mode(unsigned int encap, int family)<br>释放: void xfrm_put_mode(struct xfrm_mode *mode)</div>
<div><br>xfrm_mode的输入输出函数调用:</div>
<div>xfrm4_rcv_encap()<br> -> x->mode->input</div>
<div>xfrm4_output_one()<br> -> x->mode->output</div>
<div> </div>
<div>7.5 数据接收</div>
<div><br>IPV4的IPSEC数据接收处理在net/ipv4/xfrm4_input.c中定义, 作为AH和ESP协议数据接收处理函数.</div>
<div><br>/* net/ipv4/xfrm4_input.c */</div>
<div>int xfrm4_rcv(struct sk_buff *skb)<br>{<br> return xfrm4_rcv_encap(skb, 0);<br>}</div>
<div><br>实际就是xfrm4_rcv_encap,封装类型参数设置为0,在NAT-T时IPSEC数据被封装在UDP包中时, 该参数才非0.</div>
<div>int xfrm4_rcv_encap(struct sk_buff *skb, __u16 encap_type)<br>{<br> int err;<br> __be32 spi, seq;<br> struct xfrm_state *xfrm_vec;<br> struct xfrm_state *x;<br> int xfrm_nr = 0;<br> int decaps = 0;</div>
<div>// 获取skb中的spi和序列号信息<br> if ((err = xfrm4_parse_spi(skb, skb->nh.iph->protocol, &spi, &seq)) != 0)<br> goto drop;</div>
<div>// 进入循环进行解包操作<br> do {<br> struct iphdr *iph = skb->nh.iph;</div>
<div>// 循环解包次数太深的话放弃<br> if (xfrm_nr == XFRM_MAX_DEPTH)<br> goto drop;<br>// 根据地址, SPI和协议查找SA<br> x = xfrm_state_lookup((xfrm_address_t *)&iph->daddr, spi, iph->protocol, AF_INET);<br> if (x == NULL)<br> goto drop;</div>
<div>// 以下根据SA定义的操作对数据解码<br> spin_lock(&x->lock);<br> if (unlikely(x->km.state != XFRM_STATE_VALID))<br> goto drop_unlock;</div>
<div>// 检查由SA指定的封装类型是否和函数指定的封装类型相同<br> if ((x->encap ? x->encap->encap_type : 0) != encap_type)<br> goto drop_unlock;</div>
<div>// SA重放窗口检查<br> if (x->props.replay_window && xfrm_replay_check(x, seq))<br> goto drop_unlock;</div>
<div>// SA生存期检查<br> if (xfrm_state_check_expire(x))<br> goto drop_unlock;<br>// type可为esp,ah,ipcomp, ipip等, 对输入数据解密<br> if (x->type->input(x, skb))<br> goto drop_unlock;</div>
<div> /* only the first xfrm gets the encap type */<br> encap_type = 0;<br>// 更新重放窗口<br> if (x->props.replay_window)<br> xfrm_replay_advance(x, seq);<br>// 包数,字节数统计<br> x->curlft.bytes += skb->len;<br> x->curlft.packets++;</div>
<div> spin_unlock(&x->lock);</div>
<div>// 保存数据解封用的SA, 增加SA数量计数<br> xfrm_vec = x;<br>// mode可为通道,传输等模式, 对输入数据解封装<br> if (x->mode->input(x, skb))<br> goto drop;</div>
<div>// 如果是IPSEC通道模式,将decaps参数置1,否则表示是传输模式<br> if (x->props.mode == XFRM_MODE_TUNNEL) {<br> decaps = 1;<br> break;<br> }<br>// 看内层协议是否还要继续解包, 不需要解时返回1, 需要解时返回0, 错误返回负数<br>// 协议类型可以多层封装的,比如用AH封装ESP, 就得先解完AH再解ESP<br> if ((err = xfrm_parse_spi(skb, skb->nh.iph->protocol, &spi, &seq)) < 0)<br> goto drop;<br> } while (!err);</div>
<div> /* Allocate new secpath or COW existing one. */<br>// 为skb包建立新的安全路径(struct sec_path)<br> if (!skb->sp || atomic_read(&skb->sp->refcnt) != 1) {<br> struct sec_path *sp;<br> sp = secpath_dup(skb->sp);<br> if (!sp)<br> goto drop;<br> if (skb->sp)<br> secpath_put(skb->sp);<br> skb->sp = sp;<br> }<br> if (xfrm_nr + skb->sp->len > XFRM_MAX_DEPTH)<br> goto drop;<br>// 将刚才循环解包用到的SA拷贝到安全路径<br>// 因此检查一个数据包是否是普通明文包还是解密后的明文包就看skb->sp参数是否为空<br> memcpy(skb->sp->xvec + skb->sp->len, xfrm_vec,<br> xfrm_nr * sizeof(xfrm_vec));<br> skb->sp->len += xfrm_nr;</div>
<div> nf_reset(skb);</div>
<div> if (decaps) {<br>// 通道模式<br> if (!(skb->dev->flags&IFF_LOOPBACK)) {<br> dst_release(skb->dst);<br> skb->dst = NULL;<br> }<br>// 重新进入网卡接收函数<br> netif_rx(skb);<br> return 0;<br> } else {<br>// 传输模式<br>#ifdef CONFIG_NETFILTER<br>// 如果定义NETFILTER, 进入PRE_ROUTING链处理,然后进入路由选择处理<br>// 其实现在已经处于INPUT点, 但解码后需要将该包作为一个新包看待<br>// 可能需要进行目的NAT操作, 这时候可能目的地址就会改变不是到自身<br>// 的了, 因此需要将其相当于是放回PRE_PROUTING点去操作, 重新找路由<br>// 这也说明可以制定针对解码后明文包的NAT规则,在还是加密包的时候不匹配<br>// 但解码后能匹配上<br> __skb_push(skb, skb->data - skb->nh.raw);<br> skb->nh.iph->tot_len = htons(skb->len);<br> ip_send_check(skb->nh.iph);<br> NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, skb->dev, NULL,<br> xfrm4_rcv_encap_finish);<br> return 0;<br>#else<br>// 内核不支持NETFILTER, 该包肯定就是到自身的了<br>// 返回IP协议的负值, 表示重新进行IP层协议的处理<br>// 用解码后的内层协议来处理数据<br> return -skb->nh.iph->protocol;<br>#endif<br> }</div>
<div>drop_unlock:<br> spin_unlock(&x->lock);<br> xfrm_state_put(x);<br>drop:<br> while (--xfrm_nr >= 0)<br> xfrm_state_put(xfrm_vec);</div>
<div> kfree_skb(skb);<br> return 0;<br>}</div>
<div>// 解析AH,ESP数据包中的SPI和序号<br>static int xfrm4_parse_spi(struct sk_buff *skb, u8 nexthdr, __be32 *spi, __be32 *seq)<br>{<br> switch (nexthdr) {<br>// 如果只是普通的IPIP包, SPI为源地址, 序号位0<br> case IPPROTO_IPIP:<br> *spi = skb->nh.iph->saddr;<br> *seq = 0;<br> return 0;<br> }<br>// 否则解析AH/ESP/COMP协议头中的SPI和序号<br> return xfrm_parse_spi(skb, nexthdr, spi, seq);<br>}</div>
<div>// 接收封装完成处理函数<br>static inline int xfrm4_rcv_encap_finish(struct sk_buff *skb)<br>{<br> struct iphdr *iph = skb->nh.iph;</div>
<div>// 如果没有路由, 重新查找路由<br> if (skb->dst == NULL) {<br> if (ip_route_input(skb, iph->daddr, iph->saddr, iph->tos,<br> skb->dev))<br> goto drop;<br> }<br>// 调用相关的路由输入函数<br> return dst_input(skb);<br>drop:<br> kfree_skb(skb);<br> return NET_RX_DROP;<br>}</div>
<div> </div>
<div>调用关系:</div>
<div>ip_rcv<br> -> (AH/ESP) net_protocol->handler == xfrm4_rcv<br> -> xfrm4_rcv_encap<br> -> xfrm4_parse_spi<br> -> xfrm_parse_spi<br> -> xfrm4_rcv_encap_finish</div>
<div> </div>
<div>7.6 数据发送</div>
<div><br>IPV4的IPSEC数据发送处理在net/ipv4/xfrm4_output.c中定义,作为安全路由的输出函数:</div>
<div><br>int xfrm4_output(struct sk_buff *skb)<br>{<br>// 就是一个条件HOOK, 当skb包不带IPSKB_REROUTED标志时进入POSTROUTING点的NAT操作<br>// 这是数据在xfrm策略中多个bundle时会多次调用, 也就是数据在封装完成前可以进行<br>// 源NAT操作<br>// HOOK出口函数为xfrm4_output_finish<br> return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,<br> xfrm4_output_finish,<br> !(IPCB(skb)->flags & IPSKB_REROUTED));<br>}</div>
<div><br>// 发送结束处理<br>static int xfrm4_output_finish(struct sk_buff *skb)<br>{<br> struct sk_buff *segs;</div>
<div>#ifdef CONFIG_NETFILTER<br>// 如果内核定义了NETFILTER, 当到达最后一个路由(普通路由)时, 设置IPSKB_REROUTED<br>// 标志, 进行普通路由发出函数(ip_output), 设置该标志后不进行源NAT操作<br> if (!skb->dst->xfrm) {<br> IPCB(skb)->flags |= IPSKB_REROUTED;<br> return dst_output(skb);<br> }<br>#endif<br>// 如果skb包不是是gso, 转xfrm4_output_finish2<br>// gso是什么意思现在还不知道, 以后再仔细分析<br> if (!skb_is_gso(skb))<br> return xfrm4_output_finish2(skb);</div>
<div>// 处理gso数据包, 最终也是使用xfrm4_output_finish2处理数据包<br> skb->protocol = htons(ETH_P_IP);<br> segs = skb_gso_segment(skb, 0);<br> kfree_skb(skb);<br> if (unlikely(IS_ERR(segs)))<br> return PTR_ERR(segs);</div>
<div> do {<br> struct sk_buff *nskb = segs->next;<br> int err;</div>
<div> segs->next = NULL;<br> err = xfrm4_output_finish2(segs);</div>
<div> if (unlikely(err)) {<br> while ((segs = nskb)) {<br> nskb = segs->next;<br> segs->next = NULL;<br> kfree_skb(segs);<br> }<br> return err;<br> }</div>
<div> segs = nskb;<br> } while (segs);</div>
<div> return 0;<br>}</div>
<div> </div>
<div>// 第2级发送结束处理<br>static int xfrm4_output_finish2(struct sk_buff *skb)<br>{<br> int err;<br>// 根据安全路由包装要发送数据<br> while (likely((err = xfrm4_output_one(skb)) == 0)) {<br>// 处理成功<br>// 释放skb中的netfilter信息<br> nf_reset(skb);<br>// 重新将该包作为初始发送包, 进入OUTPUT点处理, 注意这是个函数而不是宏<br>// 如果内核没定义NETFILTER, 该函数只是个空函数<br>// 返回1表示NF_ACCEPT<br> err = nf_hook(PF_INET, NF_IP_LOCAL_OUT, &skb, NULL,<br> skb->dst->dev, dst_output);<br> if (unlikely(err != 1))<br> break;<br>// 如果已经没有SA, 就只是个普通包了, 路由发送(ip_output)返回, 退出循环<br> if (!skb->dst->xfrm)<br> return dst_output(skb);</div>
<div>// 如果还有SA, 目前还只是中间状态, 还可以进行SNAT操作, 进入POSTROUTING点处理<br> err = nf_hook(PF_INET, NF_IP_POST_ROUTING, &skb, NULL,<br> skb->dst->dev, xfrm4_output_finish2);<br> if (unlikely(err != 1))<br> break;<br> }</div>
<div> return err;<br>}</div>
<div><br>// 按安全路由链表的安全路由处理数据, 该链表反映了多个SA对数据包进行处理<br>// 链表是在__xfrm4_bundle_create函数中建立的<br>static int xfrm4_output_one(struct sk_buff *skb)<br>{<br>// 安全路由<br> struct dst_entry *dst = skb->dst;<br>// 相关SA<br> struct xfrm_state *x = dst->xfrm;<br> int err;<br>// skb包校验和 检查<br> if (skb->ip_summed == CHECKSUM_PARTIAL) {<br> err = skb_checksum_help(skb);<br> if (err)<br> goto error_nolock;<br> }</div>
<div>// 如果是通道模式, 检查skb数据长度, 并进行相关处理, 通道模式下封装后的数据包长度可能<br>// 会超过1500字节的<br> if (x->props.mode == XFRM_MODE_TUNNEL) {<br> err = xfrm4_tunnel_check_size(skb);<br> if (err)<br> goto error_nolock;<br> }</div>
<div> do {<br> spin_lock_bh(&x->lock);<br>// SA合法性检查<br> err = xfrm_state_check(x, skb);<br> if (err)<br> goto error;<br>// 调用模式输出函数, 如通道封装, 此时外部IP头协议为IPIP<br> err = x->mode->output(x, skb);<br> if (err)<br> goto error;</div>
<div>// 调用协议输出, 如对应ESP协议来说是esp4_output, 此时外部IP头协议会改为ESP<br> err = x->type->output(x, skb);<br> if (err)<br> goto error;<br>// 更新SA中的当前生命期结构中的包和字节计数<br> x->curlft.bytes += skb->len;<br> x->curlft.packets++;</div>
<div> spin_unlock_bh(&x->lock);<br>// 转移到下一个子路由 <br> if (!(skb->dst = dst_pop(dst))) {<br> err = -EHOSTUNREACH;<br> goto error_nolock;<br> }<br>// dst和x参数更新为子路由中的安全路由和SA<br> dst = skb->dst;<br> x = dst->xfrm;<br>// 循环条件是SA非空, 而且SA提议模式不是通道模式<br> } while (x && (x->props.mode != XFRM_MODE_TUNNEL));<br>// skb中设置IPSKB_XFRM_TRANSFORMED标志<br>// 有该标志的数据包将NAT操作后将不进行一些特殊检查<br> IPCB(skb)->flags |= IPSKB_XFRM_TRANSFORMED;<br> err = 0;</div>
<div>out_exit:<br> return err;<br>error:<br> spin_unlock_bh(&x->lock);<br>error_nolock:<br> kfree_skb(skb);<br> goto out_exit;<br>}</div>
<div><br>IPSEC输出函数调用关系:</div>
<div>dst_output<br> -> xfrm_dst->output == xfrm4_output<br> -> NF_HOOK(POSTROUTING)<br> -> xfrm4_output_finish<br> -> xfrm4_output_finish2<br> -> xfrm4_output_one</div>
<div><br>7.7 NAT-T支持</div>
<div><br>在支持NAT穿越的IPSEC处理中,是通过UDP数据包来封装IPSEC数据(ESP数据包),因此在对UDP处理时需要进行特殊处
理。由于IKE同样是用UDP处理的, 区分是IKE包还是封装的ESP包就看数据头部头4字节表示的SPI值, SPI为0表示是IKE包,
由IKE用户空间程序接收进行处理, SPI非0表示是UDP封装的ESP包, 需进行ESP解封。</div>
<div><br>7.7.1 接收数据</div>
<div><br>被UDP封装的IPSEC包在接收时会先按普通UDP包接收,在UDP处理中再解开该包后进行IPSEC处理</div>
<div>/* net/ipv4/udp.c */<br>// 正常接收的UDP包都将进入该函数<br>static int udp_queue_rcv_skb(struct sock * sk, struct sk_buff *skb)<br>{<br> struct udp_sock *up = udp_sk(sk);<br> int rc;</div>
<div> /*<br> * Charge it to the socket, dropping if the queue is full.<br> */<br>// 检查针对该sock,skb包的输入方法上的是否有安全策略<br> if (!xfrm4_policy_check(sk, XFRM_POLICY_IN, skb)) {<br> kfree_skb(skb);<br> return -1;<br> }<br> nf_reset(skb);</div>
<div>// 检查该SOCK是否是IPSEC封装的,该参数通过setsockopt系统调用的UDP_ENCAP选项设置<br>// 一般是IKE程序在打开UDP4500端口时设置的<br> if (up->encap_type) {<br> /*<br> * This is an encapsulation socket, so let's see if this is<br> * an encapsulated packet.<br> * If it's a keepalive packet, then just eat it.<br> * If it's an encapsulateed packet, then pass it to the<br> * IPsec xfrm input and return the response<br> * appropriately. Otherwise, just fall through and<br> * pass this up the UDP socket.<br> */<br> int ret;<br>// 进入UDP封装接收, 判断是否是ESP包<br>// 返回值小于0表示是IPSEC包, 大于0表示是普通UDP包, 等于0表示是错误包<br> ret = udp_encap_rcv(sk, skb);<br> if (ret == 0) {<br> /* Eat the packet .. */<br> kfree_skb(skb);<br> return 0;<br> }<br> if (ret < 0) {<br>// 进行IPSEC接收处理<br> /* process the ESP packet */<br> ret = xfrm4_rcv_encap(skb, up->encap_type);<br> UDP_INC_STATS_BH(UDP_MIB_INDATAGRAMS);<br> return -ret;<br> }<br> /* FALLTHROUGH -- it's a UDP Packet */<br> }<br>// 以下按普通UDP包接收处理, 分析略<br> if (sk->sk_filter && skb->ip_summed != CHECKSUM_UNNECESSARY) {<br> if (__udp_checksum_complete(skb)) {<br> UDP_INC_STATS_BH(UDP_MIB_INERRORS);<br> kfree_skb(skb);<br> return -1;<br> }<br> skb->ip_summed = CHECKSUM_UNNECESSARY;<br> }</div>
<div> if ((rc = sock_queue_rcv_skb(sk,skb)) < 0) {<br> /* Note that an ENOMEM error is charged twice */<br> if (rc == -ENOMEM)<br> UDP_INC_STATS_BH(UDP_MIB_RCVBUFERRORS);<br> UDP_INC_STATS_BH(UDP_MIB_INERRORS);<br> kfree_skb(skb);<br> return -1;<br> }<br> UDP_INC_STATS_BH(UDP_MIB_INDATAGRAMS);<br> return 0;<br>}</div>
<div><br>/* return:<br> * 1 if the the UDP system should process it<br> * 0 if we should drop this packet<br> * -1 if it should get processed by xfrm4_rcv_encap<br> */<br>static int udp_encap_rcv(struct sock * sk, struct sk_buff *skb)<br>{<br>#ifndef CONFIG_XFRM<br>// 在内核不支持IPSEC情况下直接返回1<br> return 1; <br>#else<br> struct udp_sock *up = udp_sk(sk);<br> struct udphdr *uh;<br> struct iphdr *iph;<br> int iphlen, len;<br> <br> __u8 *udpdata;<br> __be32 *udpdata32;<br>// sock的封装标志值<br> __u16 encap_type = up->encap_type;</div>
<div> /* if we're overly short, let UDP handle it */<br>// UDP数据包中数据部分的长度<br> len = skb->len - sizeof(struct udphdr);<br> if (len <= 0)<br> return 1;</div>
<div> /* if this is not encapsulated socket, then just return now */<br>// 没定义封装处理, 返回1, 普通处理<br> if (!encap_type)<br> return 1;</div>
<div> /* If this is a paged skb, make sure we pull up<br> * whatever data we need to look at. */<br> if (!pskb_may_pull(skb, sizeof(struct udphdr) + min(len, 8)))<br> return 1;</div>
<div> /* Now we can get the pointers */<br> uh = skb->h.uh;<br> udpdata = (__u8 *)uh + sizeof(struct udphdr);<br> udpdata32 = (__be32 *)udpdata;</div>
<div> switch (encap_type) {<br> default:<br>// 在UDP中封装ESP<br> case UDP_ENCAP_ESPINUDP:<br> /* Check if this is a keepalive packet. If so, eat it. */<br> if (len == 1 && udpdata == 0xff) {<br>// 只是普通UDP的IPSEC通道保活包, 直接丢弃<br> return 0;<br> } else if (len > sizeof(struct ip_esp_hdr) && udpdata32 != 0 ) {<br>// 头4字节非零, ESP包,需要下一步解析<br> /* ESP Packet without Non-ESP header */<br> len = sizeof(struct udphdr);<br> } else<br>// 这是IKE包,按普通UDP接收处理<br> /* Must be an IKE packet.. pass it through */<br> return 1;<br> break;<br> case UDP_ENCAP_ESPINUDP_NON_IKE:<br> /* Check if this is a keepalive packet. If so, eat it. */<br> if (len == 1 && udpdata == 0xff) {<br>// IPSEC通道保活包, 丢弃<br> return 0;<br> } else if (len > 2 * sizeof(u32) + sizeof(struct ip_esp_hdr) &&<br> udpdata32 == 0 && udpdata32 == 0) {<br>// 头4字节非零, ESP包,需要下一步解析<br> <br> /* ESP Packet with Non-IKE marker */<br> len = sizeof(struct udphdr) + 2 * sizeof(u32);<br> } else<br>// 这是IKE数据包,由<br> /* Must be an IKE packet.. pass it through */<br> return 1;<br> break;<br> }</div>
<div> /* At this point we are sure that this is an ESPinUDP packet,<br> * so we need to remove 'len' bytes from the packet (the UDP<br> * header and optional ESP marker bytes) and then modify the<br> * protocol to ESP, and then call into the transform receiver.<br> */<br>// 如果是clone包需要复制成独立包<br> if (skb_cloned(skb) && pskb_expand_head(skb, 0, 0, GFP_ATOMIC))<br> return 0;</div>
<div>// 检查数据长度<br> /* Now we can update and verify the packet length... */<br> iph = skb->nh.iph;<br> iphlen = iph->ihl << 2;<br> iph->tot_len = htons(ntohs(iph->tot_len) - len);<br> if (skb->len < iphlen + len) {<br> /* packet is too small!?! */<br> return 0;<br> }</div>
<div> /* pull the data buffer up to the ESP header and set the<br> * transport header to point to ESP. Keep UDP on the stack<br> * for later.<br> */<br>// 修改IP上层头位置<br> skb->h.raw = skb_pull(skb, len);<br>// 更改IP头协议类型为ESP包, 返回-1<br> /* modify the protocol (it's ESP!) */<br> iph->protocol = IPPROTO_ESP;</div>
<div> /* and let the caller know to send this into the ESP processor... */<br> return -1;<br>#endif<br>}</div>
<div><br>函数调用关系:</div>
<div>udp_rcv<br> ->udp_queue_rcv_skb<br> -> udp_encap_rcv<br> -> xfrm4_policy_check<br> -> xfrm_policy_check<br> -> __xfrm_policy_check<br> </div>
<div>7.7.2 ESP包的UDP封装</div>
<div><br>对于ESP包的UDP封装处理, 在下一节ESP协议数据包的输出处理中介绍.</div>
<div><br>...... 待续 ......</div>
</div>
</td></tr>
</tbody></table>
<p style="line-height: 150%; margin: 5px;">
</p>
</td></tr>
<tr><td height="25" align="center">
<font color="#295200">发表于: 2007-06-17,修改于: 2007-06-17 16:02,已浏览3682次,有评论1条</font> <a href="http://blogold.chinaunix.net/u2/star.php?blogid=12313&artid=323050" id="star" title="推荐这篇文章" target="_blank">推荐</a>
<a href="http://blogold.chinaunix.net/u2/complaint.php?blogid=12313&artid=323050" id="complaint" title="投诉这篇文章" target="_blank">投诉</a>
</td></tr>
<tr><td height="9" align="center"><img src="http://blogold.chinaunix.net/templates/default/images/line1.gif" alt="" height="13" width="702" border="0"></td></tr>
<tr><td>
<table style="border-collapse: collapse; color: rgb(2, 54, 141);" width="95%" align="center" border="0" cellpadding="0" cellspacing="0">
<tbody><tr height="25">
<td width="25"><img src="http://blogold.chinaunix.net/templates/default/images/dot3.gif" alt="" height="16" width="16" border="0"></td>
<td width="220">网友:<b>
<a href="jump/byuser.php?username=jewsus" target="_blank" title="查看jewsus的BLOG" target="_blank">jewsus</a>
</b> </td><td style="color: rgb(170, 170, 170);" width="455" align="right">时间:2008-11-26 18:06:30 IP地址:122.9.55.★</td></tr>
<tr><td colspan="3" height="1" bgcolor="#91bbed"><br></td></tr>
<tr><td colspan="3" height="5"><br></td></tr>
<tr>
<td colspan="3">
<table style="border-collapse: collapse; word-wrap: break-word; color: rgb(2, 54, 141);" width="500" border="0" cellpadding="0" cellspacing="0">
<tbody><tr height="30"><td valign="top" width="20"><br></td><td valign="top" width="480">
Linux内核中ipsec的dst_output处理过程,当执行第一个dst_output时,这时会进入 xfrm4_outpot,下面是这个函数的代码:<br>
<br>
int xfrm4_output(struct sk_buff *skb)<br>
{<br>
return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, skb->dst->dev,<br>
xfrm4_output_finish,<br>
!(IPCB(skb)->flags & IPSKB_REROUTED));<br>
}<br>
<br>
<br>
static int xfrm4_output_finish(struct sk_buff *skb)<br>
{<br>
int err;<br>
<br>
#ifdef CONFIG_NETFILTER<br>
if (!skb->dst->xfrm) {<br>
IPCB(skb)->flags |= IPSKB_REROUTED;<br>
return dst_output(skb);<br>
}<br>
#endif<br>
while (likely((err = xfrm4_output_one(skb)) == 0)) {<br>
nf_reset(skb);<br>
<br>
err = nf_hook(PF_INET, NF_IP_LOCAL_OUT, &skb, NULL,<br>
skb->dst->dev, dst_output);<br>
if (unlikely(err != 1))<br>
break;<br>
<br>
if (!skb->dst->xfrm)<br>
return dst_output(skb);<br>
<br>
err = nf_hook(PF_INET, NF_IP_POST_ROUTING, &skb, NULL,<br>
skb->dst->dev, xfrm4_output_finish);<br>
if (unlikely(err != 1))<br>
break;<br>
}<br>
<br>
return err;<br>
}<br>
<br>
static int xfrm4_output_one(struct sk_buff *skb)<br>
{<br>
struct dst_entry *dst = skb->dst;<br>
struct xfrm_state *x = dst->xfrm;<br>
int err;<br>
<br>
if (skb->ip_summed == CHECKSUM_HW) {<br>
err = skb_checksum_help(skb, 0);<br>
if (err)<br>
goto error_nolock;<br>
}<br>
<br>
if (x->props.mode) {<br>
err = xfrm4_tunnel_check_size(skb);<br>
if (err)<br>
goto error_nolock;<br>
}<br>
<br>
do {<br>
spin_lock_bh(&x->lock);<br>
err = xfrm_state_check(x, skb);<br>
if (err)<br>
goto error;<br>
<br>
xfrm4_encap(skb);<br>
<br>
err = x->type->output(x, skb);<br>
if (err)<br>
goto error;<br>
<br>
x->curlft.bytes += skb->len;<br>
x->curlft.packets++;<br>
<br>
spin_unlock_bh(&x->lock);<br>
<br>
if (!(skb->dst = dst_pop(dst))) {<br>
err = -EHOSTUNREACH;<br>
goto error_nolock;<br>
}<br>
dst = skb->dst;<br>
x = dst->xfrm;<br>
} while (x && !x->props.mode);<br>
<br>
IPCB(skb)->flags |= IPSKB_XFRM_TRANSFORMED;<br>
err = 0;<br>
<br>
out_exit:<br>
return err;<br>
error:<br>
spin_unlock_bh(&x->lock);<br>
error_nolock:<br>
kfree_skb(skb);<br>
goto out_exit;<br>
}<br>
<br>
这段代码中嵌套调用了很多NF_HOOK_COND nf_hook函数,他最终是怎么推出循环调用到最后的ip_output的呢?在xfrm4_output_finish首先运行 xfrm4_output_one执行了esp_output和ah_output进行了完整性认证,为什么后面还可以调用 nf_hook(PF_INET, NF_IP_LOCAL_OUT, &skb, NULL,<br>
skb->dst->dev, dst_output);和nf_hook(PF_INET, NF_IP_POST_ROUTING, &skb, NULL,<br>
skb->dst->dev, xfrm4_output_finish);进行NAT操作?我觉得在这里没必要调用nf_hook函数去走重新遍历hook链表。</td></tr></tbody></table></td></tr></tbody></table></td></tr></tbody></table>
页:
[1]