netfilter 自己增加的hook在Prerouting，和iptables默认规则的先后顺序是怎么样的？

chinaunix_clove

在iptables nat 的prerouting有一条规则：
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500

如果此时，增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
    .hook = myFun,
    .pf = PF_INET,
    .hooknum = NF_INET_PRE_ROUTING,
    .priority = NF_IP_PRI_FIRST,
};

这个时候，如果myFun 返回 NF_ACCEPT， 自定义规则和iptables的规则，执行顺序是怎么样的？

PREROUTING 能否增加一条规则来判断url，如下任何一条：
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT

来实现baidu的域名不跳转，其他80端口跳转的功能？

另外：
在mangle增加过一条：
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500

数据包只经过了上面的第一和第三条？

为什么？

Godbach

回复 1# chinaunix_clove

你配置的 nat 规则，最终都会在 PREROUTING 处 nat 注册的 hook 函数中执行。你加自己的 hook 函数的话，根据优先级，如果比 nat 高的话，那么 只有 accept 的报文，才会继续走低优先级的 hook。如果 drop 的话，剩余的 hook 函数就看看不到这个包了。


   

anyhit

回复 1# chinaunix_clove
如果此时，增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
    .hook = myFun,
    .pf = PF_INET,
    .hooknum = NF_INET_PRE_ROUTING,
    .priority = NF_IP_PRI_FIRST,
};

这个时候，如果myFun 返回 NF_ACCEPT， 自定义规则和iptables的规则，执行顺序是怎么样的？
你目的是什么？一般没有这样做的。netfilter的hook对应的是表中的链（也就是容器，而非规则本身）。一般 <hooknum,priority>构成一个唯一组成（如mangle表只有一个preroutng链）。你这个操作完后跟br_nf_ops这个hook有冲突。那么netfilter是否支持真的难说。
如果你仅仅有个规则需要在内核执行。完全可以直接在 netfilter内核对应的hook函数中执行


PREROUTING 能否增加一条规则来判断url，如下任何一条：
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT

来实现baidu的域名不跳转，其他80端口跳转的功能？
你这个规则能敲进去系统？ nat表就是做nat转换的。一般只匹配conntrack的new状态（如-m conntrack --ctstate NEW）。对于http也就是tcp的三次握手阶段的第一个syn包。所以即便这个规则能敲击进去，也不可能匹配到url


另外：
在mangle增加过一条：
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500

数据包只经过了上面的第一和第三条？

为什么？
跟上面一样。第二条应该敲击不进系统。nat表不支持accept。也没必要支持。nat只做 dnat和snat两件事情


综上个人感觉你编码能力也许不赖。但网络不熟悉。建议先花点时间搞清楚 iptables的基本应用再下手不迟

   

anyhit

回复 1# chinaunix_clove
如果此时，增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
    .hook = myFun,
    .pf = PF_INET,
    .hooknum = NF_INET_PRE_ROUTING,
    .priority = NF_IP_PRI_FIRST,
};

这个时候，如果myFun 返回 NF_ACCEPT， 自定义规则和iptables的规则，执行顺序是怎么样的？
你目的是什么？一般没有这样做的。netfilter的hook对应的是表中的链（也就是容器，而非规则本身）。一般 <hooknum,priority>构成一个唯一组成（如mangle表只有一个preroutng链）。你这个操作完后跟br_nf_ops这个hook有冲突。那么netfilter是否支持真的难说。
如果你仅仅有个规则需要在内核执行。完全可以直接在 netfilter内核对应的hook函数中执行


PREROUTING 能否增加一条规则来判断url，如下任何一条：
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT

来实现baidu的域名不跳转，其他80端口跳转的功能？
你这个规则能敲进去系统？ nat表就是做nat转换的。一般只匹配conntrack的new状态（如-m conntrack --ctstate NEW）。对于http也就是tcp的三次握手阶段的第一个syn包。所以即便这个规则能敲击进去，也不可能匹配到url


另外：
在mangle增加过一条：
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500

数据包只经过了上面的第一和第三条？

为什么？
跟上面一样。第二条应该敲击不进系统。nat表不支持accept。也没必要支持。nat只做 dnat和snat两件事情


综上个人感觉你编码能力也许不赖。但网络不熟悉。建议先花点时间搞清楚 iptables的基本应用再下手不迟