请教linux netfilter 匹配模块代码

Linux386

#include <linux/module.h>
#include <linux/kernel.h>

#include <linux/netfilter_ipv4/ip_tables.h>

#define IPADDR_SRC   0x01     /* Match source IP addr */
#define IPADDR_DST   0x02     /* Match destination IP addr */

#define IPADDR_SRC_INV  0x10  /* Negate the condition */
#define IPADDR_DST_INV  0x20  /* Negate the condition */
/*###############kernel.h##############
#define NIPQUAD(addr) \
        ((unsigned char *)&addr)[0], \
        ((unsigned char *)&addr)[1], \
        ((unsigned char *)&addr)[2], \
        ((unsigned char *)&addr)[3]
#######################################*/

struct ipt_ipaddr {
   u_int32_t src, dst;
};

struct ipt_ipaddr_info {

   struct ipt_ipaddr ipaddr;
   
   /* Flags from above */
   u_int8_t flags;
   
};


static int match(const struct sk_buff *skb,
                 const struct net_device *in,
                 const struct net_device *out,
                 const void *matchinfo,
                 int offset,
                 const void *hdr,
                 u_int16_t datalen,
                 int *hotdrop)
{
   const struct ipt_ipaddr_info *info = matchinfo;
   struct iphdr *iph = skb->nh.iph;

   printk(KERN_INFO "ipt_ipaddr: IN=%s OUT=%s TOS=0x%02X "
                    "TTL=%x SRC=%u.%u.%u.%u DST=%u.%u.%u.%u "
                    "ID=%u IPSRC=%u.%u.%u.%u IPDST=%u.%u.%u.%u\n",

                    in ? (char *)in : "", out ? (char *)out : "", iph->tos,
                    iph->ttl, NIPQUAD(iph->saddr), NIPQUAD(iph->daddr),
                    ntohs(iph->id), NIPQUAD(info->ipaddr.src), NIPQUAD(info->ipaddr.dst)
         );

   if (info->flags & IPADDR_SRC) {
      if ( (ntohl(iph->saddr) != ntohl(info->ipaddr.src)) ^ !!(info->flags & IPADDR_SRC_INV) ) {
         
         printk(KERN_NOTICE "src IP %u.%u.%u.%u is not matching %s.\n",
                            NIPQUAD(info->ipaddr.src),
                            info->flags & IPADDR_SRC_INV ? " (INV)" : "");
         return 0;
      }
   }

   if (info->flags & IPADDR_DST) {
      if ( (ntohl(iph->daddr) != ntohl(info->ipaddr.dst)) ^ !!(info->flags & IPADDR_DST_INV) )  {

         printk(KERN_NOTICE "dst IP %u.%u.%u.%u is not matching%s.\n",
                            NIPQUAD(info->ipaddr.dst),
                            info->flags & IPADDR_DST_INV ? " (INV)" : "");
         return 0;
      }
   }
   
   return 1;
}

static int ipaddr_checkentry(const char *tablename,
                             const struct ipt_ip *ip,
                             void *matchinfo,
                             unsigned int matchsize,
                             unsigned int hook_mask)
{
   const struct ipt_ipaddr_info *info = matchinfo;

   if (hook_mask & ~((1 << NF_IP_LOCAL_IN) | (1 << NF_IP_LOCAL_OUT))) {
      printk(KERN_WARNING "ipt_ipaddr: only valid with the FILTER table.\n");
      return 0;
   }

   if (matchsize != IPT_ALIGN(sizeof(struct ipt_ipaddr_info))) {
      printk(KERN_ERR "ipt_ipaddr: matchsize differ, you may have forgotten to recompile me.\n");
      return 0;
   }

   printk(KERN_INFO "ipt_ipaddr: Registered in the %s table, hook=%x, proto=%u\n",
                    tablename, hook_mask, ip->proto);

   return 1;
}

static struct ipt_match ipaddr_match
= { { NULL, NULL }, "ipaddr", &match, &ipaddr_checkentry, NULL, THIS_MODULE };

static int __init init(void)
{
   printk(KERN_INFO "ipt_ipaddr: init!\n");
   return ipt_register_match(&ipaddr_match);
}

static void __exit fini(void)
{
   printk(KERN_INFO "ipt_ipaddr: exit!\n");
   ipt_unregister_match(&ipaddr_match);
}

module_init(init);
module_exit(fini);

MODULE_LICENSE("GPL");
MODULE_AUTHOR("Nicolas Bouliane && Samuel Jean");
MODULE_DESCRIPTION("netfilter module skeleton");


请问下划线代码具体什么意思？
info->flags 代表什么含义啊？

Godbach

iptables 规则在 IP 地址的匹配方面，是可以通过 ‘!’ 来进行排除某些 IP 的。

因此匹配的时候，要结合着这个标记进行判断

Godbach

结合下面这条规则，对照上面源码分析一下：
iptables -A INPUT -s ! 192.168.1.1 -j DROP

Linux386

回复 2# Godbach


    info->flags 存的值是表示什么，
  
   if(info−>flags & IPADDR_SRC) 两个进行与运算又表示什么意思

   !!(info−>flags & IPADDR_SRC_INV)运算又表示什么意思

if ( (ntohl(iph−>saddr) != ntohl(info−>ipaddr.src)) ^ !!(info−>flags & IPADDR_SRC_INV) )这有什么什么意思

小弟愚笨不知，呵呵，但虚心求教，谢谢！

Godbach

    info->flags 存的值是表示什么，
  
   if(info−>flags & IPADDR_SRC) 两个进行与运算又表示什么意思

   !!(info−>flags & IPADDR_SRC_INV)运算又表示什么意思

if ( (ntohl(iph−>saddr) != ntohl(info−>ipaddr.src)) ^ !!(info−>flags & IPADDR_SRC_INV) )这有什么什么意思

不知 LZ 对 iptables 命令是否熟悉？

Linux386

回复 5# Godbach


    不算很熟，不过和我问的问题有关系吗？

Godbach

以前分析过 iptables 的源码。现在凭印象解释一下你的问题：

    info->flags 存的值是表示什么，

应该是记录这条规则中的一些标记，比如下面判断是要用的，是否指定了源 IP等

  
   if(info−>flags & IPADDR_SRC) 两个进行与运算又表示什么意思

如上面所说的，判断规则是否有 源 IP 需要匹配

   !!(info−>flags & IPADDR_SRC_INV)运算又表示什么意思

这就是要判断如果制定了源 IP 的匹配，是否需要进行翻转，也就是我上一贴中给出了源 IP 前面有 '!' 的情形

if ( (ntohl(iph−>saddr) != ntohl(info−>ipaddr.src)) ^ !!(info−>flags & IPADDR_SRC_INV) )这有什么什么意思

结合这上面的回答，这个你应该可以想出来了。。

Godbach

回复  Godbach


    不算很熟，不过和我问的问题有关系吗？
Linux386 发表于 2010-11-01 22:01

关系很紧密。如果不清楚 iptables 规则的话，建议先了解一下 iptables 的相关知识，比如概念，使用等等。

Linux386

回复 7# Godbach


    非常感谢您的回答！