关于netfilter中ip_packet_match函数的问题【已解决】 [复制链接]

论坛徽章:: 36

12楼 [报告]

发表于 2010-06-21 16:04 |只看该作者

或者更明确下我的疑惑，各个规则是分不同的链存储的吗？还是统一在一个数组里面？

那就需要了解一下内核态对于iptables规则是如何存储的。这个九贱兄是有iptables的分析文章的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 36

13楼 [报告]

发表于 2010-06-21 16:08 |只看该作者

我现在看到的代码似乎是所有规则都在一起，而没有分不同的链存储，我理解是否正确？

我以前也分析过iptables的规则，以及在内核态的存储。实际在匹配过程中，还是要根据不同的hook点来读取对应规则的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

14楼 [报告]

发表于 2010-06-21 16:12 |只看该作者

回复 13# Godbach

恩，我就是在疑惑这个问题，我整理下代码，将调用序列的关键点列出，稍后发出来，再请斑竹帮忙指正！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

15楼 [报告]

发表于 2010-06-21 17:02 |只看该作者

回复 14# jiufei19

找到答案了，原来是阅读源码不仔细导致的：

ipt_do_table(pskb, hook, in, out, &packet_filter)
|
|-->e = get_entry(table_base, private->hook_entry[hook]);

显然，这里取规则的地方是根据具体的hook点来进行的，也就是说不同的链的规则是分开存储的，再次感谢斑竹！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 36

16楼 [报告]

发表于 2010-06-21 17:06 |只看该作者

呵呵，不用客气。
实际上不管规则时分开存储还是连续存储，匹配的时候是肯定要根据hook点来找到这个点上的所有规则，理解了这个问题就可以了。
数据包如果是本地发出的，那么应该先经过LOCALOUT，就查找LOCALOUT处的规则。不用考虑LOCALIN的问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

17楼 [报告]

发表于 2010-06-21 17:17 |只看该作者

回复 16# Godbach

是的，现在剩下的问题就是去理解下面这个宏了：

#define FWINV(bool,invflg) ((bool) ^ !!(ipinfo->invflags & invflg))

我先自己仔细理解下，有疑问再来求助！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

18楼 [报告]

发表于 2010-06-21 22:35 |只看该作者

本帖最后由 jiufei19 于 2010-06-22 09:06 编辑

回复 17# jiufei19

仔细阅读了九贱前辈的关于netfilter的帖子后，基本上懂了如下宏的作用
#define FWINV(bool,invflg) ((bool) ^ !!(ipinfo->invflags & invflg))

即若规则中设置了“！”，则!!(ipinfo->invflags & invflg))的结果就是1，否则为0。于是该宏实际就是：

bool ^ 0 => bool自身

或者，

bool ^ 1 = > 取bool自身结果的相反值

这个逻辑能够理解，但是仍然看不懂如下代码：
if (FWINV((ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr,
110 IPT_INV_SRCIP)

我这里看不懂的地方主要是：

1、smsk.s_addr是什么意思？是否就是指iptables命令中指定的掩码，例如192.168.0.115/24中的24bit掩码？
2、ip->saddr & ipinfo->smsk.s_addr 所得结果是什么？如果是1中所说的掩码，那么这个按位于的结果就是网络号了？
3、(ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr 这个判断的含义又是什么？网络号！= 规则中设定的源ip是什么意思，这是肯定的呀？

例如假定当前这个规则是LOCAL_IN的规则，并且假定设置了如下iptables命令：

sudo iptables -A INPUT -s ! 192.168.0.115 -j DROP

那么这句规则表示凡不是来自192.168.0.115的分组均丢弃，那么这个规则如何对应到上面第3点的判断呢？
>> 从上面的if()那句源码的字面意义上讲：到达分组的源ip地址经过掩码处理后与规则中的源ip不匹配并且规则中没有包含对ip地址的取反!操作时，此FWINV(...)返回为真；或者规则中包含了对匹配地址的取反!操作，但到达分组的源ip与规则中的源ip地址相等，于是此FWINV(...)返回也为真。
>> 虽然字面这样理解没有问题，但是我怎么也无法将其和一个具体规则结合起来（例如上面举例的规则）

望斑竹和同仁帮忙解惑，谢谢啦！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

19楼 [报告]

发表于 2010-06-22 09:38 |只看该作者

回复 18# jiufei19

自己顶下！

刚才的问题好像是因为自己对iptables命令不熟悉导致的，在iptables命令中可以使用网络号，例如下面的命令：

sudo iptables -A INPUT -s 192.168.1.0/24 -j DROP

该命令建立了一条规则，丢弃所有来自192.168.1.0/24网络发来的分组，于是若收到一个来自192.168.1.3的分组，则根据刚才的第3点：

(ip->saddr & ipinfo->smsk.s_addr) != ipinfo->src.s_addr

可以知道上式不成立，因此表示此分组的源ip匹配规则

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？