一点ebtables的心得-robbielee-ChinaUnix博客

手机平板在线看片-69AVi.commobile.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

robbielee

博客访问： 3083879
博文数量： 94
博客积分： 2599
博客等级：少校
技术积分： 990
用户组：普通用户
注册时间： 2006-08-30 23:23

文章分类

全部博文（94）

多核（1）
Networking&Secur（3）

IPV4/V6 协议栈（1）

IPSEC VPN（0）

L3VPN（0）

BGP（0）

BGP（0）

WLAN（0）

网络安全（2）
OPENSOURCE（4）

openmesh（0）

Asterisk（0）

mdadm（1）

Others（3）

lighttpd（0）

webserver（0）

openwrt/dd-wrt（0）

openswan/freeswa（0）

u-boot（0）

zebra（0）

ACE（0）
中华智慧（1）

易经智慧（0）

养生之道（0）
财经频道（0）
嵌入式系统（45）

Android（19）

IPhone OS（0）

OPhone（0）

ARM（1）

嵌入式硬件（1）

uC/OS-II（0）

vxworks（0）

其他（1）

linux（23）
BSD（1）
杂谈（18）

北京记忆（1）
包罗万象（6）
软件工程（1）

软件测试（1）

项目管理（0）
程序设计语言及方（5）

调试方法（2）

JAVA/J2SE/J2ME（1）

Python（0）

C/C++（2）

设计模式（0）

算法（0）
未分配的博文（9）

文章存档

2012年（1）

2011年（7）

2010年（24）

2009年（61）

2008年（1）

我的朋友

相关博文

一点ebtables的心得

分类： LINUX

2009-09-14 09:47:31

一点ebtables的心得

项目用到了ebtables，抽空研究了以下。可能是因为ebtables在实际运用中使用得比较少的原因吧，提供的接口没有iptables方便。
iptables提供一个libiptc的库，其中提供获取策略列表、修改策略列表、实施策略等相关函数，二次开发者可以很简单使用这些函数运用自定义模块。
两者都提供很好的扩展机制，用于解析自定义的过滤或者目标(ebtables还有watch类型)模块。但很多时候为了效率，并不推荐使用程序里面还使用shell命令，特别像很多新手还喜欢疯狂的使用system()函数－－当然这个函数本身并没有什么问题，但是我们很难获取运行结果－－扯远了。
以前在看iptables代码时没有太认真，而且当时自己也很缺乏这方面的知识，因为ebtables代码比较少，可以比较快的整理出它的整体结构

关于扩展模块支持，最重要的问题还是怎么注册一个解析器，也就是怎么维护这些加载了的插件呢？以前曾经想写具有扩展功能的程序，才发现这的确是个问题。iptables/ebtables都一样－－把管理插件的功能函数放到一个动态库中，在动态库中维护插件列表。在编译是首先编译这个动态库在编译主程序和扩展模块的时候就可以使用这个动态库来编译如此就可以编译通过。在运行期间使用dlopen来加载扩展模块，而模块被加载时系统会自动调用该模块中的void _init(void)函数，只要在这个函数内注册自己就可以达到我们的目的。而在使用dlclose卸载模块时，系统会调用void _fini(void)函数，在这个函数中注销自己

ebtables与内核交互格式:

ebtables中的几个结构说明：

ebt_replace
       name 表名 (filter nat broute)
       valid_hooks 掩码形式表示在使用的钩子
       nentries 策略条目总数
       entries_size 策略总大小 (包括所有ebt_entries和所有ebt_entry的大小)
       hook_entry 最重要的部分确定每个chain(也就是钩子)策略的起始位置
                        本以为会使用偏移量最终发现它使用的实际地址位置
       num_counters 用户态希望计数器数量
       counters 内核返回计数器位置
       entries 策略开始指针没有使用char[0]的标签功能

   老实说个人对这个结构实在不太恭维总体上来说容错还是很不错的几个地方(hook_entry和entries)没有使用偏移量表示而是使用了用户态指针估计是考虑到整个结构比较庞大可以不必使用完全的连续内存吧。这种做法是仁者见仁智者见智了。
   本人认为既然最大内存使用的策略部分已经要求连续内存了又何必对此一举呢？

ebt_entries
       distinguisher 兼容部分直接飘过 zero it
       name chain名称(filter: PREROUTING INPUT OUTPUT POSTROUTING
                              nat: PREROUTING INPUT OUTPUT POSTROUTING broute: BROUTING)
       counter_offset
       policy chain默认的策略可以是accept drop return 就是对待数据包最后方式了
       nentries 本chain的策略总数
       data[0] 这地方就是说明需要连续内存地址了

简单明了的结构但是在这我还是犯了困 counter_offset内核注释是这样的counter offset for this chain 按理说:总的counter是0这地方怎么会不是0呢可惜它就是不是0 它等于前面所有chain的策略总数到现在还是没想明白这是为什么

ebt_entry
       bitmask 有效位置掩码
       invflags 无效位置掩码
       ethproto 以太网协议类型
       in 输入设备名
       logical_in 逻辑输入设备
       out 输出设备名
       logical_out 逻辑输出设备名
       sourcemac 源MAC地址
       sourcemask 源MAC地址掩码
       destmac 目标MAC地址
       destmask 目标MAC地址掩码
       watchers_offset 该策略watcher的偏移地址(这里是相对偏移量)
       target_offset 该策略target的偏移地址
       next_offset 下一条策略的偏移地址(实际上是本策略的总长度)

   每条策略都必须以ebt_entry开头策略可以包含多个match和多个watcher但是只能有一个target
   match是紧跟着ebt_entry 没有设置其的起始
   watcher的位置由watchers_offset指定如果没有那么它应该与target_offset相等
   target任何策略都“必须”有一个target
   这部分与iptables相似只是多了watcher 以及其中的内容不同
   还有一点重大区别是 ebtalbes并没有对match watcher和target的内容长度进行对齐

Linux下实现桥式防火墙的两个组件：

bridge：
ebtables：

阅读(8629) | 评论(1) | 转发(0) |

上一篇：关于linux kernel fastboot /suspend 资料整理

下一篇：虚拟网卡 TUN/TAP 驱动程序设计原理

给主人留下些什么吧！~~

diweiguang2017-07-01 21:41:57

拜读

回复 | 举报

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6