【iptables交流贴】iptables执行的流程分析

jaycu

不错不错，我也刚看完九贱的iptables源码，理解不透彻，正好可以好好学习一下嘿嘿。

Godbach

原帖由 jaycu 于 2008-8-5 14:29 发表
不错不错，我也刚看完九贱的iptables源码，理解不透彻，正好可以好好学习一下嘿嘿。

呵呵，我也是看的时候总觉得有点模糊。最后就干脆从执行一条命令来分析iptables的整个代码。有什么问题，咱们可以一起交流。

ruochen

非常谢谢

备注一下
以后好找

恋夏寒

好文，顶，MARK:wink: :wink: :wink:

晓雨飘飘

谢谢楼主，受益匪浅呀

xerin

写的很好啊，我是新手，虽然很多地方没看懂，还是觉得对我以后的学习很有帮助。

jaycu

Godbach 兄，我有个关于netfilter的问题想请教你。就是netfilter中的规则ipt_entry和ipt_entry_match是如何联系在一起的？
      首先在ipt_do_table函数中对sk_buff依照规则ipt_entry进行匹配match，然后调用其target函数。其中宏IPT_MATCH_ITERATE(e, do_match,*pskb, in, out, offset, &hotdrop)是用来根据ipt_entry来遍历其ipt_entry_match的，遍历的同时调用do_match函数进行实际的match。
       后来我看了ipt_register_match(ipt_match XXX)函数，这个函数完成对match的注册，但是它的注册实际上是把这个ipt_match添加到一个struct xt_af {
        struct mutex mutex;
        struct list_head match;
        struct list_head target;
        struct list_head tables;
        struct mutex compat_mutex;
};
的 match 中，跟规则ipt_entry无关啊。。。。

        ipt_entry遍历ipt_entry_match是依靠其内部的target_offset等偏移量来实现的，可是偏移量是在哪里设置好的？我没找到相关的函数。。。
        上面有可能讲得不对，望同志们看看哪里我理解错了。我其实就是想知道新建一个规则ipt_entry时，它的ipt_entry_match是如何设置的，是怎么跟target_offset这些偏移量对应的。。。

Godbach

原帖由 jaycu 于 2008-8-6 16:24 发表
Godbach 兄，我有个关于netfilter的问题想请教你。就是netfilter中的规则ipt_entry和ipt_entry_match是如何联系在一起的？
      首先在ipt_do_table函数中对sk_buff依照规则ipt_entry进行匹配match，然后调用 ...

这个地方我也正在看。我觉得应该是在设置规则的时候，iptables会根据你的match来设置target_offset的。具体内核的代码，我也得在找一下。具体原理应该是这样。

兄弟可以参考一下iptable_filter.c中

1. static struct
   
2. {
   
3.         struct ipt_replace repl;
   
4.         struct ipt_standard entries[3];
   
5.         struct ipt_error term;
   
6. } initial_table __initdata

复制代码

这个地方是初始化一张表，即filter表。那这里已经设置的target_offset, next_offset。
默认的是没有match, 一个target。这个地方会不会对你的理解有所帮助。

[ 本帖最后由 Godbach 于 2008-8-6 17:09 编辑 ]

jaycu

原帖由 Godbach 于 2008-8-6 17:08 发表



这个地方我也正在看。我觉得应该是在设置规则的时候，iptables会根据你的match来设置target_offset的。具体内核的代码，我也得在找一下。具体原理应该是这样。

兄弟可以参考一下iptable_filter.c中
s ...

好的，谢谢，我再好好看看

songpure520

学习了！！貌似看的不是很明白！！看来要多看几遍啊！