免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: jiufei19
打印 上一主题 下一主题

关于netfilter中ip_packet_match函数的问题【已解决】 [复制链接]

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
11 [报告]
发表于 2010-06-21 16:01 |只看该作者
本帖最后由 jiufei19 于 2010-06-21 16:03 编辑

谢谢,正如斑竹指出的那样,我也反映过来这个问题了,不过烦请看看我刚才在8楼的回帖,是否理解正确了。或者更明确下我的疑惑,各个规则是分不同的链存储的吗?还是统一在一个数组里面?

我现在看到的代码似乎是所有规则都在一起,而没有分不同的链存储,我理解是否正确?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
12 [报告]
发表于 2010-06-21 16:04 |只看该作者
或者更明确下我的疑惑,各个规则是分不同的链存储的吗?还是统一在一个数组里面?

那就需要了解一下内核态对于iptables规则是如何存储的。这个九贱兄是有iptables的分析文章的。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
13 [报告]
发表于 2010-06-21 16:08 |只看该作者
我现在看到的代码似乎是所有规则都在一起,而没有分不同的链存储,我理解是否正确?

我以前也分析过iptables的规则,以及在内核态的存储。实际在匹配过程中,还是要根据不同的hook点来读取对应规则的。

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
14 [报告]
发表于 2010-06-21 16:12 |只看该作者
回复 13# Godbach


    恩,我就是在疑惑这个问题,我整理下代码,将调用序列的关键点列出,稍后发出来,再请斑竹帮忙指正!

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
15 [报告]
发表于 2010-06-21 17:02 |只看该作者
回复 14# jiufei19


    找到答案了,原来是阅读源码不仔细导致的:

ipt_do_table(pskb, hook, in, out, &packet_filter)
          |
          |-->e = get_entry(table_base, private->hook_entry[hook]);

显然,这里取规则的地方是根据具体的hook点来进行的,也就是说不同的链的规则是分开存储的,再次感谢斑竹!

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
16 [报告]
发表于 2010-06-21 17:06 |只看该作者
呵呵,不用客气。
实际上不管规则时分开存储还是连续存储,匹配的时候是肯定要根据hook点来找到这个点上的所有规则,理解了这个问题就可以了。
数据包如果是本地发出的,那么应该先经过LOCALOUT,就查找LOCALOUT处的规则。不用考虑LOCALIN的问题。

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
17 [报告]
发表于 2010-06-21 17:17 |只看该作者
回复 16# Godbach


    是的,现在剩下的问题就是去理解下面这个宏了:

   #define FWINV(bool,invflg) ((bool) ^ !!(ipinfo->invflags & invflg))

    我先自己仔细理解下,有疑问再来求助!

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
18 [报告]
发表于 2010-06-21 22:35 |只看该作者
本帖最后由 jiufei19 于 2010-06-22 09:06 编辑

回复 17# jiufei19


    仔细阅读了九贱前辈的关于netfilter的帖子后,基本上懂了如下宏的作用
#define FWINV(bool,invflg) ((bool) ^ !!(ipinfo->invflags & invflg))

即若规则中设置了“!”,则!!(ipinfo->invflags & invflg))的结果就是1,否则为0。于是该宏实际就是:

bool ^ 0 => bool自身

或者,

bool ^ 1 = > 取bool自身结果的相反值

这个逻辑能够理解,但是仍然看不懂如下代码:
if (FWINV((ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr,
   110           IPT_INV_SRCIP)


我这里看不懂的地方主要是:

1、smsk.s_addr是什么意思? 是否就是指iptables命令中指定的掩码,例如192.168.0.115/24中的24bit掩码?
2、ip->saddr & ipinfo->smsk.s_addr 所得结果是什么? 如果是1中所说的掩码,那么这个按位于的结果就是网络号了?
3、(ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr 这个判断的含义又是什么?网络号!= 规则中设定的源ip是什么意思,这是肯定的呀?

例如假定当前这个规则是LOCAL_IN的规则,并且假定设置了如下iptables命令:

sudo iptables -A INPUT -s ! 192.168.0.115 -j DROP

那么这句规则表示凡不是来自192.168.0.115的分组均丢弃,那么这个规则如何对应到上面第3点的判断呢?
>> 从上面的if()那句源码的字面意义上讲:到达分组的源ip地址经过掩码处理后与规则中的源ip不匹配并且规则中没有包含对ip地址的取反!操作时,此FWINV(...)返回为真;或者规则中包含了对匹配地址的取反!操作,但到达分组的源ip与规则中的源ip地址相等,于是此FWINV(...)返回也为真。
>> 虽然字面这样理解没有问题,但是我怎么也无法将其和一个具体规则结合起来(例如上面举例的规则)


望斑竹和同仁帮忙解惑,谢谢啦!

论坛徽章:
1
IT运维版块每日发帖之星
日期:2015-11-17 06:20:00
19 [报告]
发表于 2010-06-22 09:38 |只看该作者
回复 18# jiufei19


        自己顶下!

   刚才的问题好像是因为自己对iptables命令不熟悉导致的,在iptables命令中可以使用网络号,例如下面的命令:

   sudo iptables -A INPUT -s 192.168.1.0/24 -j DROP

    该命令建立了一条规则,丢弃所有来自192.168.1.0/24网络发来的分组,于是若收到一个来自192.168.1.3的分组,则根据刚才的第3点:
   
    (ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr
   
    可以知道上式不成立,因此表示此分组的源ip匹配规则

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
20 [报告]
发表于 2010-06-22 10:26 |只看该作者
LZ的钻研精神值得学习啊。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP