【iptables交流贴】iptables执行的流程分析

shaohui973

谢谢。回复真速度啊

Godbach

回复 161# shaohui973
正好逛论坛，看到问题了，还懂一点，所以就赶紧回复。


   

solitrarychen

回复 162# Godbach
刚开始看iptables,有几个地方我一直没有搞明白，希望你能解答一下。在iptables.c中定义的一个全局变量iptables_command_state cs。cs其中的一个值，cs->invert, 这个值得作用是什么？
为什么要反复判断cs->invert的值，这个值初始化为0，在什么情况下会变为1哪？

还有就是，在docommand()中使用getopt_long()循环判断各种条件的时候，当case 'm': command(&cs);时，在command(&cs)中调用了函数xtables_find_match()，之后xtables_find_match()调用了xtables_fullt_register_pending_match()函数，结果这两个函数相互调用，搞得头好晕啊，一点头绪都没有。

我觉得每一次执行iptables命令时，全局变量 xtables_match* xtable_match这个指针都应该是空的啊？

我看的版本是：
kernel version 3.6.x
iptables version 1.4.16.3

   

Godbach

回复 163# solitrarychen

刚开始看iptables,有几个地方我一直没有搞明白，希望你能解答一下。在iptables.c中定义的一个全局变量iptables_command_state cs。cs其中的一个值，cs->invert, 这个值得作用是什么？
为什么要反复判断cs->invert的值，这个值初始化为0，在什么情况下会变为1哪？

invert 指的是规则中是否使用了 '!'，标识不在对应集合的才匹配

   

Godbach

回复 163# solitrarychen

刚开始看iptables,有几个地方我一直没有搞明白，希望你能解答一下。在iptables.c中定义的一个全局变量iptables_command_state cs。cs其中的一个值，cs->invert, 这个值得作用是什么？
为什么要反复判断cs->invert的值，这个值初始化为0，在什么情况下会变为1哪？

invert 指的是规则中是否使用了 '!'，标识不在对应集合的才匹配

   

solitrarychen

回复 165# Godbach
多谢了，看来独学而无友真是困难啊。我是公司试用阶段，要求我弄懂iptables，并做一个ppt给部门讲解，压力山大啊。突然感觉以前的C都是白学的，内核中的代码真是让人惊叹啊，没想到还能这样用。。。


   

Godbach

回复 166# solitrarychen

内核版精华汇总帖里面找一下，有很多分析 iptables 和 Netfilter 的好文章。

   

sunzhonghai666

学习了！谢谢分享！

4059056

大牛啊

qw10371006

多谢版主大神指导！！有个问题请教一下，根据你所说最后调用iptc_append_entry()函数将规则写入， 但是我追踪此函数到libiptc.h内，缺没发现此函数的具体实现。难道这个函数是库里面提供调用的吗？？？