论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-12-14 17:18 |只看该作者 |倒序浏览

本帖最后由 ellisonfan 于 2011-12-14 17:59 编辑

求助，最近在看ipset2.3的代码，但是怎么与内核通信的没看明白。

我知道一般与内核通信会采取netlink方式，而且似乎ipset后期也是采取这样的方式。但这个版本用的方式实在看不明白，下面是用户空间的代码，希望有高手帮忙解惑

static int kernel_getsocket(void)
{
int sockfd = -1;
sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
if (sockfd < 0)
exit_error(OTHER_PROBLEM,
"You need to be root to perform this command.");
return sockfd;
}

复制代码

static inline int wrapped_getsockopt(void *data, socklen_t *size)
{
int res;
int sockfd = kernel_getsocket();
/* Send! */
res = getsockopt(sockfd, SOL_IP, SO_IP_SET, data, size);
if (res != 0
&& errno == ENOPROTOOPT
&& ipset_insmod("ip_set", "/sbin/modprobe") == 0)
res = getsockopt(sockfd, SOL_IP, SO_IP_SET, data, size);
DP("res=%d errno=%d", res, errno);
return res;
}

复制代码

static inline int wrapped_setsockopt(void *data, socklen_t size)
{
int res;
int sockfd = kernel_getsocket();
/* Send! */
res = setsockopt(sockfd, SOL_IP, SO_IP_SET, data, size);
if (res != 0
&& errno == ENOPROTOOPT
&& ipset_insmod("ip_set", "/sbin/modprobe") == 0)
res = setsockopt(sockfd, SOL_IP, SO_IP_SET, data, size);
DP("res=%d errno=%d", res, errno);
return res;
}

复制代码

static void kernel_getfrom(unsigned cmd, void *data, socklen_t * size)
{
int res = wrapped_getsockopt(data, size);
if (res != 0)
kernel_error(cmd, errno);
}

复制代码

static void kernel_sendto(unsigned cmd, void *data, size_t size)
{
int res = wrapped_setsockopt(data, size);
if (res != 0)
kernel_error(cmd, errno);
}

复制代码

ipset, 内核通信

文库|博客

zhanglin496

丰衣足食

论坛徽章:: 5

2楼 [报告]

发表于 2011-12-14 20:50 |只看该作者

netfilter提供了nf_register_sockopt()和nf_unregister_sockopt()来动态登记或取消sockopt命令字。
应用层通过getsockopt和setsockopt来传递命令

ipset内核层的代码创建了一个nf_sockopt_ops 实例：

static struct nf_sockopt_ops so_set = {
.pf = PF_INET,
.set_optmin = SO_IP_SET,
.set_optmax = SO_IP_SET + 1,
.set = &ip_set_sockfn_set,
.get_optmin = SO_IP_SET,
.get_optmax = SO_IP_SET + 1,
.get = &ip_set_sockfn_get,
#if LINUX_VERSION_CODE < KERNEL_VERSION(2,6,23)
.use = 0,
#else
.owner = THIS_MODULE,
#endif
};

初始化的时候再向内核注册：

static int __init
ip_set_init(void)
{
int res;

/* For the -rt branch, DECLARE_MUTEX/init_MUTEX avoided */
sema_init(&ip_set_app_mutex, 1);

if (max_sets)
ip_set_max = max_sets;
if (ip_set_max >= IP_SET_INVALID_ID)
ip_set_max = IP_SET_INVALID_ID - 1;

ip_set_list = vmalloc(sizeof(struct ip_set *) * ip_set_max);
if (!ip_set_list) {
printk(KERN_ERR "Unable to create ip_set_list\n");
return -ENOMEM;
}
memset(ip_set_list, 0, sizeof(struct ip_set *) * ip_set_max);

INIT_LIST_HEAD(&set_type_list);

res = nf_register_sockopt(&so_set); //向内核注册so_set，后续便可以和应用层通信。
if (res != 0) {
ip_set_printk("SO_SET registry failed: %d", res);
vfree(ip_set_list);
return res;
}

printk("ip_set version %u loaded\n", IP_SET_PROTOCOL_VERSION);
return 0;
}

具体代码可以查看ip_set.c这个文件。我也是新手哈，表述不清楚的地方请见谅。