【iptables交流贴】iptables执行的流程分析

sunorr

原帖由 flw2 于 2008-8-7 18:21 发表


net/core/dev.c
int netif_receive_skb(struct sk_buff *skb)
{
        struct packet_type *ptype, *pt_prev;
        struct net_device *orig_dev;
        int ret = NET_RX_DROP;
        unsi ...

受教，等火候到了，也去里面看看去～

sunorr

原帖由 Godbach 于 2008-8-7 18:17 发表


iptables-restore的具体功能我们有研究。
iptc_commit这个函数还出现在了iptables_standalone.c，这个文件才是整个iptables命令行的入口，有main函数。

恩，恩，明白啦～回家咯，跟大家求教太开心了～

Godbach

原帖由 sunorr 于 2008-8-7 18:30 发表

恩，恩，明白啦～回家咯，跟大家求教太开心了～

呵呵，有时间多上来一起交流啊。

偶也回去了，有什么问题晚上再上来研究。

flw2

原帖由 Godbach 于 2008-8-7 18:25 发表


版主能否帮忙解释一下偶在46.47楼的问题。也就是带有-m state的规则，是否被调整到对应CHAIN的规则的开始处？

我还没你熟悉
是自己选择插在CHAIN的头部的
       iptables [-t table] -I chain [rulenum] rule-specification [options]

Godbach

原帖由 flw2 于 2008-8-7 20:38 发表

我还没你熟悉
是自己选择插在CHAIN的头部的
       iptables [-t table] -I chain [rulenum] rule-specification [options]

哦，原来是这样啊。也就是如果使用规则的时候，iptables —A的话，就会自动加载后面了。所谓的先检查状态，必须是添加规则的时候加到前面的，不是被程序自动调整到前面的啊。

flw2

-m state对内核来说一点特殊的地方都没有

Godbach

原帖由 flw2 于 2008-8-7 23:15 发表
-m state对内核来说一点特殊的地方都没有

应该有个地方有用吧。应该告诉系统如果连接跟踪模块没有加载的话，得先加载这个模块吧。其他的好像确实和别的都一样，没什么特殊的

chenyq83

谢谢lz，等明天有时间要好好研究研究.我们公司就是研究防火墙的，对于我对防火墙的深入了解肯定帮助不小！

sunorr

原帖由 chenyq83 于 2008-8-8 00:13 发表
谢谢lz，等明天有时间要好好研究研究.我们公司就是研究防火墙的，对于我对防火墙的深入了解肯定帮助不小！

能透漏下你们防火墙细节不？

z0800

,又是一大热帖啊。