【iptables交流贴】iptables执行的流程分析

jaycu

原帖由 Godbach 于 2008-8-6 17:50 发表



看一下iptables的应用程序，iptables.c中generate_entry函数，应该可以解答你的问题：
static struct ipt_entry *
generate_entry(const struct ipt_entry *fw,
               struct iptables_match *match ...

Perfect，收到，受益匪浅啊真是

knight_123

真牛X，看源代码是需要勇气的

Godbach

原帖由 knight_123 于 2008-8-7 11:33 发表
真牛X，看源代码是需要勇气的

呵呵。可能起初需要看代码是工作的需要，但是在看代码的过程中一点一点程序的设计方法的时候，就会感悟设计的灵巧，而不觉得看代码是一项没有情趣的事情了。

Godbach

原帖由 jaycu 于 2008-8-7 11:32 发表


Perfect，收到，受益匪浅啊真是

有帮助就好。如果有什么iptables的问题，可以继续在此贴交流。正好一起学习，共同进步。

yui009

好贴，留个脚印

Godbach

研究一下，在iptables中使用-m state扩展的使用，下载的该条规则会默认的加到该CHAIN规则的开始，这样就可以不用匹配后面的规则，也就是所谓了绕过防火墙了。

但这个功能的代码在哪里实现的，也就是当有-m state的时候，就会把这条规则自动的加到CHAIN的开始吗，iptables的代码没找到在哪里。

哪位指点一下。

Godbach

也就是说带-m state的规则在存到某个表里的时候，是不是存到表的最前面了。如果是，代码哪里实现的？

个人觉得这个应该是在iptables里实现的，因为每下一条规则，都相当于把某个表取出来，更新之后，又重新下到内核的，所以应该是在应用层调整好的。但是找了一通，没找到相应的代码。

是不是根本上的理解有问题？

sunorr

我想问一下，iptable的工作原理，是不是就是说，先创建一些规则在用户空间，然后，讲这些规则通过netlink与内核的netfilter通信。然后让netfilter匹配这些规则。

理解不对的话，能捎带的讲一下吗？

Godbach

原帖由 sunorr 于 2008-8-7 16:43 发表
我想问一下，iptable的工作原理，是不是就是说，先创建一些规则在用户空间，然后，讲这些规则通过netlink与内核的netfilter通信。然后让netfilter匹配这些规则。

理解不对的话，能捎带的讲一下吗？

没有用netlink，而是同getsockopt和setsockopt来实现获取规则和下载规则的。

Godbach

看一下偶47楼中间的那部分解释。。。。