linux中的netfilter-galaren77-ChinaUnix博客

galaren77的ChinaUnix博客

首页　| 　博文目录　| 　关于我

galaren77

博客访问： 1111135
博文数量： 254
博客积分： 1242
博客等级：少尉
技术积分： 1581
用户组：普通用户
注册时间： 2012-05-03 21:49

文章分类

全部博文（254）

source insi（1）
pathon（12）
git（0）
camera（1）
git/gerrit（1）
android（23）

input（1）
面试（2）
生活（3）
tools（3）
linux维护命令（18）
操作系统（6）
链接lcf（3）
虚拟化（19）
流程（9）
虚拟化（9）
算法（5）
makefile（6）
gcc（18）
编写安全代码（1）
mips（10）
tools（1）
ubuntu（2）
驱动（11）
汇编（5）
ELF（4）
kernel（2）
shell（11）
GDB（10）
c99（18）
LINUX 编程（3）
linux内核（11）
coredump（9）
linux（4）
未分配的博文（13）

文章存档

2017年（16）

2016年（4）

2013年（94）

2012年（140）

我的朋友

最近访客

推荐博文

linux中的netfilter

分类：

2012-08-21 10:11:16

原文地址：linux中的netfilter 作者：kouyanghao

一、概述
netfilter, 是Linux内核(2.4.x和2.6.x)提供的数据包过滤框架，它提供了数据包的过滤 (packet filtering),网络地址转换(NAT and NAPT)和数据包修改(packet mangling)的功能。

在Linux内核中, netfilter是由一系列钩子(hook)组成的，它允许内核模块向网络协议栈注册回调函数。当数据包(skb_buff)在网络协议栈经过hook时，相应的已注册的回调函数将被调用，从而对数据包进行处理。

二、前期准备

由于编译netfilter模块，需要内核源码树。所以需要从下载最新内核源码并进行编译, 这里使用的是2.6.34版本
# uname -r
2.6.34

三、netfilter重要的数据结构和函数

1.数据结构

struct nf_hook_ops {
struct list_head list; //钩子链表

        /* User fills in from here down. */
        nf_hookfn *hook; //钩子处理函数
        struct module *owner; //模块所有者
        u_int8_t pf; //协议族
        unsigned int hooknum; //钩子的位置值
        /* Hooks are ordered in ascending priority. */
        int priority;//钩子优先级
};

(1)list: 双向链表，一般可初始化为{NULL,NULL}
(2)hook: 要注册的hook函数名称
nf_hookfn定义如下
typedef unsigned int nf_hookfn(unsigned int hooknum,
                               struct sk_buff *skb,
                               const struct net_device *in,
                               const struct net_device *out,
                               int (*okfn)(struct sk_buff *));

(3)owner: 模块名称，可初始化为THIS_MODULE
(4)pf: 协议族, 如PF_INET
(5)hooknum: hook编号，当前内核提供了下面几种
enum nf_inet_hooks {
        NF_INET_PRE_ROUTING,
        NF_INET_LOCAL_IN,
        NF_INET_FORWARD,
        NF_INET_LOCAL_OUT,
        NF_INET_POST_ROUTING,
        NF_INET_NUMHOOKS
};
(6)priority：优先级
netfilter_ipv4.h中提供了下面几个值
enum nf_ip_hook_priorities {
        NF_IP_PRI_FIRST = INT_MIN,
        NF_IP_PRI_CONNTRACK_DEFRAG = -400,
        NF_IP_PRI_RAW = -300,
        NF_IP_PRI_SELINUX_FIRST = -225,
        NF_IP_PRI_CONNTRACK = -200,
        NF_IP_PRI_MANGLE = -150,
        NF_IP_PRI_NAT_DST = -100,
        NF_IP_PRI_FILTER = 0,
        NF_IP_PRI_SECURITY = 50,
        NF_IP_PRI_NAT_SRC = 100,
        NF_IP_PRI_SELINUX_LAST = 225,
        NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
        NF_IP_PRI_LAST = INT_MAX,
};

2. 函数
(1)注册hook函数
int nf_register_hook(struct nf_hook_ops *reg);
一般在加载模块时调用

(2)注销hook函数
void nf_unregister_hook(struct nf_hook_ops *reg);
一般在卸载模块时调用

四、测试netfilter模块
test.c

[cpp] view plain copy

#include
#include
#include
#include
MODULE_LICENSE("Dual BSD/GPL");
unsigned int hook_func(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, /
const struct net_device *out, int (*okfn)(struct sk_buff *) );
static struct nf_hook_ops myops = { { NULL, NULL }, hook_func, THIS_MODULE, PF_INET, NF_INET_FORWARD, NF_IP_PRI_FILTER };
unsigned int hook_func(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, /
const struct net_device *out, int (*okfn)(struct sk_buff *) )
{
printk( KERN_ALERT "hook_func is called./n" );
return NF_ACCEPT;
}
int init_module(void)
{
return nf_register_hook(&myops);
}
void cleanup_module(void)
{
nf_unregister_hook(&myops);
}

Makefile 文件:

[cpp] view plain copy

obj-m:=test.o
KDIR:=/lib/modules/`uname -r`/build
PWD:=$(shell pwd)
default:
make -C ${KDIR} M=${PWD} modules
clean:
rm -f *.order *.symvers *.o *.ko *.mod.c

1. 编译模块
# make
make -C /lib/modules/`uname -r`/build M=/root/module/netfilter/test modules
make[1]: Entering directory `/usr/src/linux-2.6.34'
CC [M] /root/module/netfilter/test/test.o
Building modules, stage 2.
MODPOST 1 modules
CC /root/module/netfilter/test/test.mod.o
LD [M] /root/module/netfilter/test/test.ko
make[1]: Leaving directory `/usr/src/linux-2.6.34'

2. 加载模块
# insmod test.ko
# lsmod|grep test
test 582 0

3. 查看输出
有3种方法
(1)直接在终端查看内核输出
(2)#dmesg
(3)#tail /var/log/messages

可看到 hook_func is called.

4. 卸载模块
#rmmod test

阅读(567) | 评论(0) | 转发(0) |

上一篇：.set

下一篇：宏定义 ## #

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6