【iptables交流贴】iptables执行的流程分析

qw10371006

回复 170# qw10371006
#define TC_APPEND_ENTRY                iptc_append_entry  然后找到这句，也就是你文章中提到的函数，但是实现在哪呢


   

qw10371006

回复 171# qw10371006
找到了  我操  我二逼了


   

qw10371006

不好意思版主大神，最后你提及的insert_rules函数还是没找到。。。。。实在拙计了，还有如果我想自己跳过命令行去直接写入规则，应该从哪里开始呢，希望抽空指点下，非常感谢！！

Godbach

回复 173# qw10371006

我当时分析的代码版本，相对于现在已经比较老了。你用的是什么版本？


   

qw10371006

回复 174# Godbach
我用的是3.13版本


   

Godbach

回复 175# qw10371006

那变化挺大了。

iptables 的源码，不太好找函数定义的一个原因，就是它喜欢用各种宏做替代，好像还有拼接之类的。慢慢感受吧。。。


   

qw10371006

回复 176# Godbach
是的 ，多谢版主回复。  其实现在的源码大致的结构跟您本帖讲解的那个版本是差不多的，你总体分了三个步骤来分析。我现在遇到的问题是需要跳过命令行直接自己写入规则，是不是可以直接跳过第二步do_command?  还有就是第三步向内核提交需要参数handle，这个我如何来自己DIY呢？因为在第二步do_commad里面处理过程中有许多设置handle的各项什么的，我有还必要一点一点去设置吗？

   

Godbach

回复 177# qw10371006

DIY 没问题啊。只要你了解了 iptables 最终将配置下发到 kernel 的操作了解了，以及用户态应该用什么样的数据结构搞清楚了，就可以自己直接写程序执行了。



   

qw10371006

回复 178# Godbach

ok，多谢。开始搞起
   

qw10371006

回复 178# Godbach

依葫芦画瓢跟iptables学使用TC_INIT函数去读内核内iptables信息，但只读出了表的大致信息（即SO_GET_INFO标志位返回的信息），后面继续读表的规则内容（即SO_GET_ENTRIES标志位返回）时报getsockopt的参数错误，一直找不到什么原因，郁闷！！！！
   

struct xtc_handle *
TC_INIT(const char *tablename)
{
        struct xtc_handle *h;
        STRUCT_GETINFO info;
        unsigned int tmp;
        socklen_t s;
        int sockfd;
retry:
        iptc_fn = TC_INIT;

        if (strlen(tablename) >= TABLE_MAXNAMELEN) {
                errno = EINVAL;
                return NULL;
        }

        sockfd = socket(TC_AF, SOCK_RAW, IPPROTO_RAW);
        if (sockfd < 0)
                return NULL;

        if (fcntl(sockfd, F_SETFD, FD_CLOEXEC) == -1) {
                fprintf(stderr, "Could not set close on exec: %s\n",
                        strerror(errno));
                abort();
        }

        s = sizeof(info);

        strcpy(info.name, tablename);
        if (getsockopt(sockfd, TC_IPPROTO, SO_GET_INFO, &info, &s) < 0) {    /*此处成功取到表的信息*/
                close(sockfd);
                return NULL;
        }

        DEBUGP("valid_hooks=0x%08x, num_entries=%u, size=%u\n",
                info.valid_hooks, info.num_entries, info.size);

        if ((h = alloc_handle(info.name, info.size, info.num_entries))
            == NULL) {
                close(sockfd);
                return NULL;
        }

        /* Initialize current state */
        h->sockfd = sockfd;
        h->info = info;

        h->entries->size = h->info.size;

        tmp = sizeof(STRUCT_GET_ENTRIES) + h->info.size;
        if (getsockopt(h->sockfd, TC_IPPROTO, SO_GET_ENTRIES, h->entries,               /*此处取规则信息报参数错误*/
                       &tmp) < 0)
                goto error;

#ifdef IPTC_DEBUG2
        {
                int fd = open("/tmp/libiptc-so_get_entries.blob",
                                O_CREAT|O_WRONLY);
                if (fd >= 0) {
                        write(fd, h->entries, tmp);
                        close(fd);
                }
        }
#endif

        if (parse_table(h) < 0)
                goto error;

        CHECK(h);
        return h;
error:
        TC_FREE(h);
        /* A different process changed the ruleset size, retry */
        if (errno == EAGAIN)
                goto retry;
        return NULL;
}