Chinaunix首页 | 论坛 | 博客

linux开发专注者(坚持原创)linuxfocus.blog.chinaunix.net

首页 |  博文目录 |  关于我

GFree_Wind

  • 博客访问: 8099266
  • 博文数量: 159
  • 博客积分: 10424
  • 博客等级: 少将
  • 技术积分: 14615
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-14 12:45
个人简介

啦啦啦~~~

文章分类

全部博文(159)

文章存档

2015年(5)

2014年(1)

2013年(5)

2012年(10)

2011年(116)

2010年(22)

我的朋友
最近访客
推荐博文
相关博文
netfilter源码学习(2)——框架hook处理(2)

分类: LINUX

2011-12-18 22:38:50

作者:gfree.wind@gmail.com
博客:blog.focus-linux.net   linuxfocus.blog.chinaunix.net 
 
本文的copyleft归gfree.wind@gmail.com所有,使用GPL发布,可以自由拷贝,转载。但转载请保持文档的完整性,注明原作者及原链接,严禁用于任何商业用途。
======================================================================================================

向netfilter添加新的hook有两个函数,nf_register_hook和nf_register_hooks。其中后者是通过调用前者实现的。
下面看nf_register_hook
  1. int nf_register_hook(struct nf_hook_ops *reg)
  2. {
  3.     struct nf_hook_ops *elem;
  4.     int err;

  6.     err = mutex_lock_interruptible(&nf_hook_mutex);
  7.     if (err < 0)
  8.         return err;
  9.     list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
  10.         if (reg->priority < elem->priority)
  11.             break;
  12.     }
  13.     list_add_rcu(&reg->list, elem->list.prev);
  14.     mutex_unlock(&nf_hook_mutex);
  15.     return 0;
  16. }

  18. int nf_register_hook(struct nf_hook_ops *reg)
  19. {
  20.     struct nf_hook_ops *elem;
  21.     int err;

  23.     err = mutex_lock_interruptible(&nf_hook_mutex);
  24.     if (err < 0)
  25.         return err;
     
     /*
     通过reg->pf即协议,和reg->hooknum即挂载点,来确定二维数组nf_hooks的节点。 
     每个节点为某一协议的某一挂载点的netfiler匹配规则的链表。
     */
  1.     list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
  2.         /* 匹配规则按优先级排序,数值越小,优先级越高 */
  3.         if (reg->priority < elem->priority)
  4.             break;
  5.     }
  6.     /* 将新的规则hook加入到list中 */
  7.     list_add_rcu(&reg->list, elem->list.prev);
  8.     mutex_unlock(&nf_hook_mutex);
  9.     return 0;
  10. }
这个注册函数很简单,找个例子看看,文件net/ipv4/netfilter/nf_defrag_ipv4.c中:
  1. /* 定义两个hook结构实例 */
  2. static struct nf_hook_ops ipv4_defrag_ops[] = {
  3.     {
  4.         .hook        = ipv4_conntrack_defrag,
  5.         .owner        = THIS_MODULE,
  6.         .pf        = PF_INET,
  7.         .hooknum    = NF_INET_PRE_ROUTING,
  8.         .priority    = NF_IP_PRI_CONNTRACK_DEFRAG,
  9.     },
  10.     {
  11.         .hook = ipv4_conntrack_defrag,
  12.         .owner = THIS_MODULE,
  13.         .pf = PF_INET,
  14.         .hooknum = NF_INET_LOCAL_OUT,
  15.         .priority = NF_IP_PRI_CONNTRACK_DEFRAG,
  16.     },
  17. };

  19. static int __init nf_defrag_init(void)
  20. {
  21.     /* 通过该函数,加入两个新的hook,在PF_INET下的pre_routing和local out两个挂载点 */
  22.     return nf_register_hooks(ipv4_defrag_ops, ARRAY_SIZE(ipv4_defrag_ops));
  23. }
下面看一下ipv4_defrag_ops作为一个hook函数的例子。
  1. static unsigned int ipv4_conntrack_defrag(unsigned int hooknum,
  2.                      struct sk_buff *skb,
  3.                      const struct net_device *in,
  4.                      const struct net_device *out,
  5.                      int (*okfn)(struct sk_buff *))
  6. {
  7.     struct sock *sk = skb->sk;
  8.     struct inet_sock *inet = inet_sk(skb->sk);

  10.     /* 对应的socket为PF_INET,且指定该socket为nodefrag,则hook返回NF_ACCEPT */
  11.     if (sk && (sk->sk_family == PF_INET) &&
  12.      inet->nodefrag)
  13.         return NF_ACCEPT;

  15. #if defined(CONFIG_NF_CONNTRACK) || defined(CONFIG_NF_CONNTRACK_MODULE)
  16. #if !defined(CONFIG_NF_NAT) && !defined(CONFIG_NF_NAT_MODULE)
  17.     /* Previously seen (loopback)? Ignore. Do this before
  18.      fragment check. */
  19.     if (skb->nfct && !nf_ct_is_template((struct nf_conn *)skb->nfct))
  20.         return NF_ACCEPT;
  21. #endif
  22. #endif
  23.     /* Gather fragments. */
  24.     /* 
  25.     当IP报文中的标志中的IP_MF或者IP_OFFSET被置位,则表示该IP报文为分片。
  26.     第一个分片,IP_MF为1,IP_OFFSET为0;
  27.     中间的分片,IP_MF和IP_OFFSET均不为0;
  28.     最后一个分片,IP_MF为0,IP_OFFSET不为0;
  29.     */
  30.     if (ip_hdr(skb)->frag_off & htons(IP_MF | IP_OFFSET)) {
  31.         enum ip_defrag_users user = nf_ct_defrag_user(hooknum, skb);
  32.         if (nf_ct_ipv4_gather_frags(skb, user))
  33.             return NF_STOLEN; //哦~~,这里出现了NF_STOLEN,不过今天没时间了
  34.     }
  35.     return NF_ACCEPT;
  36. }
今天看到的netfilter的代码都比较简单——其实netfilter的代码都比较简单。争取再有一两篇博文,基本上netfilter就可以结束了。
阅读(6364) | 评论(4) | 转发(6) |
0

上一篇:netfilter源码学习(1)——框架hook处理(1)

下一篇:netfilter源码学习(3)——框架hook处理(3)

给主人留下些什么吧!~~

GFree_Wind2014-05-09 23:28:55

雷鸣之:GFree_Wind你好,我有一个问题想问你下,希望大神指点:
问题1:我用nf_hook写了个截获数据包程序,用skb_copy复制skb,并对复制后的nskb修改数据部分,然后直接通过dev_queue_xmit()将nskb发送出去,但是总是出错,这是为什么呢?
问题2:内核中nf_hook函数定义的参数struct **skb,但我用struct *skb代替可以吗?

没有具体代码,说不好你为什么出错,并且你都没说你出什么错误了。
nf_hook是框架定的回调类型,不可能改变的。
另外参数是struct *skb不是struct **skb吧

回复 | 举报

雷鸣之2014-05-07 21:38:14

GFree_Wind你好,我有一个问题想问你下,希望大神指点:
问题1:我用nf_hook写了个截获数据包程序,用skb_copy复制skb,并对复制后的nskb修改数据部分,然后直接通过dev_queue_xmit()将nskb发送出去,但是总是出错,这是为什么呢?
问题2:内核中nf_hook函数定义的参数struct **skb,但我用struct *skb代替可以吗?

回复 | 举报

GFree_Wind2011-12-20 10:15:55

我是月老: LZ加油继续写啊.....
呵呵,大家鼓励,我一定加油

回复 | 举报

我是月老2011-12-20 04:49:49

LZ加油继续写啊

回复 | 举报
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6