【iptables交流贴】iptables执行的流程分析

Godbach

原帖由 songpure520 于 2008-8-6 17:40 发表
学习了！！貌似看的不是很明白！！看来要多看几遍啊！

惭愧，可能很多地方写的不是很清楚。

Godbach

原帖由 jaycu 于 2008-8-6 17:36 发表


好的，谢谢，我再好好看看

你可以看一看iptables应用代码中添加一条规则时，有多个match的话，程序是如何处理的

Godbach

原帖由 jaycu 于 2008-8-6 17:36 发表


好的，谢谢，我再好好看看

看一下iptables的应用程序，iptables.c中generate_entry函数，应该可以解答你的问题：

1. static struct ipt_entry *
   
2. generate_entry(const struct ipt_entry *fw,
   
3.                struct iptables_match *matches,
   
4.                struct ipt_entry_target *target)
   
5. {
   
6.         unsigned int size;
   
7.         struct iptables_match *m;
   
8.         struct ipt_entry *e;
   
9. 
   
10.         size = sizeof(struct ipt_entry);
    
11.         for (m = matches; m; m = m->next) {
    
12.                 if (!m->used)
    
13.                         continue;
    
14. 
    
15.                 size += m->m->u.match_size;
    
16.         }
    
17. 
    
18.         e = fw_malloc(size + target->u.target_size);
    
19.         *e = *fw;
    
20.         e->target_offset = size;
    
21.         e->next_offset = size + target->u.target_size;
    
22. 
    
23.         size = 0;
    
24.         for (m = matches; m; m = m->next) {
    
25.                 if (!m->used)
    
26.                         continue;
    
27. 
    
28.                 memcpy(e->elems + size, m->m, m->m->u.match_size);
    
29.                 size += m->m->u.match_size;
    
30.         }
    
31.         memcpy(e->elems + size, target, target->u.target_size);
    
32. 
    
33.         return e;
    
34. }

复制代码

Godbach

当你添加一条规则是，解析完命令行，以及相关的检测，就会通过该函数生成一个规则项，那么该函数会根据规则中的相应信息，设置规则的target_offset, next_offset等。

最后该规则经过处理后，通过setsockopt下载到内核中。

dreamice

原帖由 jaycu 于 2008-8-6 16:24 发表
Godbach 兄，我有个关于netfilter的问题想请教你。就是netfilter中的规则ipt_entry和ipt_entry_match是如何联系在一起的？
      首先在ipt_do_table函数中对sk_buff依照规则ipt_entry进行匹配match，然后调用 ...

entry，match和target是filter表最难理解的几个地方。首先，需要理解的是，一个entry对应一个match，一个match对应一个或者多个target。match是通过访问entry的偏移地址来访问的，target紧接在match后面。我现在手上没有代码，不能结合代码来阐述这个问题。但这条线必须要认识清楚。

Godbach

原帖由 dreamice 于 2008-8-6 17:56 发表


entry，match和target是filter表最难理解的几个地方。首先，需要理解的是，一个entry对应一个match，一个match对应一个或者多个target。match是通过访问entry的偏移地址来访问的，target紧接在match后面。我 ...

一个entry也可以一个标准match，然后还可能有多个扩展match。
所以一条规则的大小一般是sizeof(ipt_entry)+n * match + target

[ 本帖最后由 Godbach 于 2008-8-6 18:03 编辑 ]

Godbach

标准match即struct ipt_entry结构中的struct ipt_ip结构体

feiyueheu

好东西,顶上去.有机会好好看看了

dreamice

不好意思，刚好说反了，多个match和一个target。

ljily000

好贴，谢谢LZ



:wink: