一、主函数 init为初始化函数,主要完成表的注册,然后再注册与表相对应的HOOK //初始化函数为init: module_init(init); //init 函数负责注册filter表和默认的三个chain static int __init init(void) { int ret; if (forward NF_MAX_VERDICT) { printk("iptables forward must be 0 or 1\n"); return -EINVAL; } /* Entry 1 is the FORWARD hook */ initial_table.entries[1].target.verdict = -forward - 1; /* 注册...
by flyboy - Linux文档专区 - 2007-01-18 12:02:08 阅读(844) 回复(0)
最近在看九贱大牛的netfilter源码分析,才看了一点... 想请教: 1.if( forward <0 || forward >NF_MAX_VERDICT) 这里的 forward怎么定义的 NF_MAX_VERDICT又是什么? 2.initial_table.entry[1].target.verdict=-forward-1; 九贱兄解释的我不是很清楚... 3.关于THIS_MODULE的作用能不能解释一二?是用来计数? 4.在struct ipt_replace 当中【NF_IP_LOCAL_IN]0,[NF_IP_FORWARD} sizeof(....) 为什么hook_entry 数组要这样定...
由于nat表需要ip conntrack模块支持,因此在针对FTP数据连接的nat动作也需要conntrack支持。主要流程如下: netfilter hook将FTP控制连接加入到conntrack pool中,每一个在该conntrack上的数据报会被送至help函数(ip_conntrack_ftp.c),该函数由ip_conntrack_helper_unregister()注册成为该conntrack的helper,探测将会出现的期待连接信息,并注册入期待结构。当该helper函数注册的期待连接到达时(在这里就是FTP数据连接),该连...
由于nat表需要ip conntrack模块支持,因此在针对FTP数据连接的nat动作也需要conntrack支持。主要流程如下: netfilter hook将FTP控制连接加入到conntrack pool中,每一个在该conntrack上的数据报会被送至help函数(ip_conntrack_ftp.c),该函数由ip_conntrack_helper_unregister()注册成为该conntrack的helper,探测将会出现的期待连接信息,并注册入期待结构。当该helper函数注册的期待连接到达时(在这里就是FTP数据连接),该...
由于nat表需要ip conntrack模块支持,因此在针对FTP数据连接的nat动作也需要conntrack支持。主要流程如下: netfilter hook将FTP控制连接加入到conntrack pool中,每一个在该conntrack上的数据报会被送至help函数(ip_conntrack_ftp.c),该函数由ip_conntrack_helper_unregister()注册成为该conntrack的helper,探测将会出现的期待连接信息,并注册入期待结构。当该helper函数注册的期待连接到达时(在这里就是FTP数据连接),该连...
前段时间贴了一篇《iptables源码分析》,虽然后来没有写完,但是我发现有许多朋友都挺喜欢netfilter的,于是我就有一个想法,大家能不能把各自学习的心得贴下来,写成一篇完整的文章呢?? 一来大家可以互相学习、交流、进步; 二来大家一起来完成,也希望能成为CU上一篇经典之作,体现CUer们的互相协作精神!!! 但是关键是要有条理,不要搞乱了,没了体系,就不太好了,对于这一点,还希望版主们如果支持我的意见,多费点神……...
前段时间贴了一篇《iptables源码分析》,虽然后来没有写完,但是我发现有许多朋友都挺喜欢netfilter的,于是我就有一个想法,大家能不能把各自学习的心得贴下来,写成一篇完整的文章呢?? 一来大家可以互相学习、交流、进步; 二来大家一起来完成,也希望能成为CU上一篇经典之作,体现CUer们的互相协作精神!!! 但是关键是要有条理,不要搞乱了,没了体系,就不太好了,对于这一点,还希望版主们如果支持我的意见,多费点神……...
文件:netfilter分析.pdf 大小:308KB 下载: 下载 原文:http://blog.chinaunix.net/u/24896/showart_211278.html 本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u3/98431/showart_1958234.html
一、概述 1. netfilter/IPTables框架简介 netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。 netfilter提供了一个框架,将对网络代码的直接干涉降到最低,并允...
本帖最后由 狼族狼心 于 2010-07-21 11:09 编辑 最近研究了一下netfilter,也做个总结,总结中参考了几位大侠前面发表的文章:独孤九贱,Minit,godbach等,在此先谢谢大家! 文中有些内容是直接对上面几位的Copy,内中注明了出处,希望小小心得能对大家有所帮助! 目 录 1 前言 4 2 学习框架划分 5 3 钩子函数的注册管理 6 3.1 hook的存储机制 6 3.2 hook的...