关于netfilter的LOG调用路径

asweisun_shan

我现在要调查一个问题，想知道用户层执行什么操作/编写什么程序
可以调用nf_log_bind_pf()函数。

我查阅了Godbach (哥德巴赫)的【Linux内核IP Queue机制的分析】系列文章，没有找到我要的答案。
谢谢。。

调用流程：
nfnetlink_rcv
|------netlink_rcv_skb
   |------nfnetlink_rcv_msg
      |------ nfnl_callback->call（nfulnl_recv_config）
         |------nf_log_bind_pf(command=NFULNL_CFG_CMD_PF_BIND)


初始化函数：
nfnetlink_log_init
|-----nfnetlink_subsys_register

bekars

nfnetlink_rcv 算是接口吗？
asweisun_shan 发表于 2011-07-19 16:44

nfnl = netlink_kernel_create(&init_net, NETLINK_NETFILTER, NFNLGRP_MAX,
                                     nfnetlink_rcv, NULL, THIS_MODULE);

中注册了nfnetlink_rcv为接收函数

你自己写一个netlink的应用层实现，可以用libnfnetlink库，然后跟踪nfnetlink_rcv的调用应该可以

asweisun_shan

nfnetlink_rcv 算是接口吗？

没有看nf_log_bind_pf函数做什么用的

说个方法：
在内核代码里搜索调用nf_log_bind_pf的函数，用cscope ...
bekars 发表于 2011-07-19 11:59

bekars

没有看nf_log_bind_pf函数做什么用的

说个方法：
在内核代码里搜索调用nf_log_bind_pf的函数，用cscope可以做到，然后往上找到系统调用接口就知道怎么调用的了。

asweisun_shan

只加载模块，不会调用到nf_log_bind_pf函数。

回复 5# Godbach

Godbach

可以直接用 modprobe 加载

[root@Kernel-Test netfilter]# modprobe nfnetlink_log

下面是系统日志
Jul 15 22:34:40 Kernel-Test kernel: Netfilter messages via NETLINK v0.30.

加载后的模块信息

[root@Kernel-Test netfilter]# lsmod
Module                  Size  Used by
nfnetlink_log          14308  0
nfnetlink               8728  1 nfnetlink_log

Godbach

回复 3# asweisun_shan
嗯，看了一下代码及说明

   1 /*
   2  * This is a module which is used for logging packets to userspace via
   3  * nfetlink.
   4  *
   5  * (C) 2005 by Harald Welte <laforge@netfilter.org>
   6  *
   7  * Based on the old ipv4-only ipt_ULOG.c:
   8  * (C) 2000-2004 by Harald Welte <laforge@netfilter.org>

应该就是一个通用的 记录通过 nfnetlink 发送数据包到用户空间的模块

asweisun_shan

CONFIG_NETFILTER_NETLINK_LOG
RHEL5, RHEL6， 最新内核都有这个功能。

回复 2# Godbach

Godbach

回复 1# asweisun_shan
你说的不是 iptables 的 LOG 模块吧