电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: Linux Netfilter实现机制和扩展技术-Netfilter-iptables Extensions [打印本页]

作者: look_w 时间: 2018-4-18 17:43 标题: Linux Netfilter实现机制和扩展技术-Netfilter-iptables Extensions

3． Netfilter-iptables ExtensionsNetfilter提供的是一套HOOK框架，其优势是就是易于扩充。可供扩充的Netfilter构件主要包括Table、Match、Target和Connection Track Protocol Helper四类，分别对应四套扩展函数。所有扩展都包括核内、核外两个部分，核内部分置于<kernel-root>/net/ipv4/netfilter/下，模块名为ipt_'name'.o；核外部分置于<iptables-root>/extensions/下，动态链接库名为libipt_'name'.so。
3.1 TableTable在以上章节中已经做过介绍了，它作为规则存储的媒介，决定了该规则何时能起作用。系统提供的filter、nat、mangle涵盖了所有的HOOK点，因此，大部分应用都可以围绕这三个已存在的表进行，但也允许编程者定义自己的拥有特殊目的的表，这时需要参考已有表的struct ipt_table定义创建新的ipt_table数据结构，然后调用ipt_register_table()注册该新表，并调用ipt_register_hook()将新表与Netfilter HOOK相关联。
对表进行扩展的情形并不多见，因此这里也不详述。
3.2 Match & TargetMatch和Target是Netfilter-iptables中最常使用的功能，灵活使用Match和Target，可以完成绝大多数报文处理功能。
3.2.1 Match数据结构
核心用struct ipt_match表征一个Match数据结构：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

struct ipt_match
{
  struct list_head list;
/* 通常初始化成{NULL,NULL}，由核心使用 */
  const char name[IPT_FUNCTION_MAXNAMELEN];
/* Match的名字，同时也要求包含该Match的模块文件名为ipt_'name'.o */
  int (*match)(const struct sk_buff *skb,
      const struct net_device *in,
      const struct net_device *out,
      const void *matchinfo,
      int offset,
      const void *hdr,
      u_int16_t datalen,
      int *hotdrop);
/* 返回非0表示匹配成功，如果返回0且hotdrop设为1，
则表示该报文应当立刻丢弃 */
  int (*checkentry)(const char *tablename,
      const struct ipt_ip *ip,
      void *matchinfo,
      unsigned int matchinfosize,
      unsigned int hook_mask);
/* 在使用本Match的规则注入表中之前调用，进行有效性检查，
/* 如果返回0，规则就不会加入iptables中 */
  void (*destroy)(void *matchinfo, unsigned int matchinfosize);
/* 在包含本Match的规则从表中删除时调用，
与checkentry配合可用于动态内存分配和释放 */
  struct module *me;
/* 表示当前Match是否为模块（NULL为否） */
};

定义好一个ipt_match结构后，可调用ipt_register_match()将本Match注册到ipt_match链表中备用，在模块方式下，该函数通常在init_module()中执行。
3.2.2 Match的用户级设置
要使用核心定义的Match（包括已有的和自定义的），必须在用户级的iptables程序中有所说明，iptables源代码也提供了已知的核心Match，但未知的Match则需要自行添加说明。
在iptables中，一个Match用struct iptables_match表示：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

struct iptables_match
{
  struct iptables_match *next;
/* Match链，初始为NULL */
  ipt_chainlabel name;
/* Match名，和核心模块加载类似，作为动态链接库存在的
Iptables Extension的命名规则为libipt_'name'.so（对于ipv6为libip6t_'name'.so），
以便于iptables主程序根据Match名加载相应的动态链接库 */
  const char *version;
/* 版本信息，一般设为NETFILTER_VERSION */
  size_t size;
/* Match数据的大小，必须用IPT_ALIGN()宏指定对界 */
  size_t userspacesize;
/*由于内核可能修改某些域，因此size可能与确切的用户数据不同，
这时就应该把不会被改变的数据放在数据区的前面部分，
而这里就应该填写被改变的数据区大小；一般来说，这个值和size相同 */
  void (*help)(void);
/* 当iptables要求显示当前match的信息时（比如iptables -m ip_ext -h），
就会调用这个函数，输出在iptables程序的通用信息之后 */
  void (*init)(struct ipt_entry_match *m, unsigned int *nfcache);
/* 初始化，在parse之前调用 */
  int (*parse)(int c, char **argv, int invert, unsigned int *flags,
      const struct ipt_entry *entry,
      unsigned int *nfcache,
      struct ipt_entry_match **match);
/* 扫描并接收本match的命令行参数，正确接收时返回非0，flags用于保存状态信息 */
  void (*final_check)(unsigned int flags);
/* 当命令行参数全部处理完毕以后调用，如果不正确，应该退出（exit_error()） */
  void (*print)(const struct ipt_ip *ip,
      const struct ipt_entry_match *match, int numeric);
/* 当查询当前表中的规则时，显示使用了当前match的规则的额外的信息 */
  void (*save)(const struct ipt_ip *ip,
      const struct ipt_entry_match *match);
/* 按照parse允许的格式将本match的命令行参数输出到标准输出，
用于iptables-save命令 */
  const struct option *extra_opts;
/*  NULL结尾的参数列表，struct option与getopt(3)使用的结构相同 */
  /* 以下参数由iptables内部使用，用户不用关心 */
  unsigned int option_offset;
  struct ipt_entry_match *m;
  unsigned int mflags;
  unsigned int used;
}
struct option {
const char *name;
/* 参数名称，用于匹配命令行输入 */
int has_arg;
/* 本参数项是否允许带参数，0表示没有，1表示有，2表示可有可无 */
int *flag;
/* 指定返回的参数值内容，如果为NULL，则直接返回下面的val值，
否则返回0，val存于flag所指向的位置 */
int val;
/* 缺省的参数值 */
}

如对于--opt <value>参数来讲，在struct option中定义为{"opt",1,0,'1'}，表示opt带参数值，如果出现-opt <value>参数，则返回'1'用于parse()中的int c参数。
实际使用时，各个函数都可以为空，只要保证name项与核心的对应Match名字相同就可以了。在定义了iptables_match之后，可以调用register_match()让iptables主体识别这个新Match。当iptables命令中第一次指定使用名为ip_ext的Match时，iptables主程序会自动加载libipt_ip_ext.so，并执行其中的_init()接口，所以register_match()操作应该放在_init()中执行。
3.2.3 Target数据结构
Target数据结构struct ipt_target和struct ipt_match基本相同，不同之处只是用target函数指针代替match函数指针：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

struct ipt_target
{
……
unsigned int (*target)(struct sk_buff **pskb,
            unsigned int hooknum,
            const struct net_device *in,
            const struct net_device *out,
            const void *targinfo,
            void *userdata);
/* 如果需要继续处理则返回IPT_CONTINUE（-1），
否则返回NF_ACCEPT、NF_DROP等值，
它的调用者根据它的返回值来判断如何处理它处理过的报文*/
……
}

与ipt_register_match()对应，Target使用ipt_register_target()来进行注册，但文件命名、使用方法等均与Match相同。
3.2.4 Target的用户级设置
Target的用户级设置使用struct iptables_target结构，与struct iptables_match完全相同。register_target()用于注册新Target，方法也与Match相同。
3.3 Connection Track Protocol Helper前面提到，NAT仅对一个连接（TCP或UDP）的第一个报文进行处理，之后就依靠Connection Track机制来完成对后续报文的处理。Connection Track是一套可以和NAT配合使用的机制，用于在传输层（甚至应用层）处理与更高层协议相关的动作。
关于Connection Track，Netfilter中的实现比较复杂，而且实际应用频率不高，因此这里就不展开了，以后专文介绍。
3.4 iptables patch机制对于Netfilter-iptables扩展工作，用户当然可以直接修改源代码并编译安装，但为了标准化和简便起见，在iptables源码包提供了一套patch机制，希望用户按照其格式要求进行扩展，而不必分别修改内核和iptables代码。
和Netfilter-iptables的结构特点相适应，对iptables进行扩展也需要同时修改内核和iptables程序代码，因此patch也分为两个部分。在iptables-1.2.8中，核内补丁由patch-o-matic包提供，iptables-1.2.8的源码中的extensions目录则为iptables程序本身的补丁。
patch-o-matic提供了一个'runme'脚本来给核心打patch，按照它的规范，核内补丁应该包括五个部分，且命名有一定的规范，例如，如果Target名为ip_ext，那么这五个部分的文件名和功能分别为：

ip_ext.patch
主文件，内容为diff格式的核心.c、.h源文件补丁，实际使用时类似给内核打patch（patch -p0 <ip_ext.patch）；
ip_ext.patch.config.in
对<kernel-root>/net/ipv4/netfilter/Config.in文件的修改，第一行是原Config.in中的一行，以指示补丁添加的位置，后面则是添加在以上匹配行之后的内容。这个补丁的作用是使核心的配置界面中支持新增加的补丁选项；
ip_ext.patch.configure.help
对<kernel-root>/Documentation/Configure.help的修改，第一行为原Configure.help中的一行帮助索引，以下几行的内容添加在这一行相关的帮助之后。这个补丁的作用是补充内核配置时对新增加的选项的说明；
ip_ext.patch.help
用于runme脚本显示本patch的帮助信息；
ip_ext.patch.makefile
对<kernel-root>/net/ipv4/netfilter/Makefile的修改，和前两个文件的格式相同，用于在指定的位置上添加用于生成ipt_ip_ext.o的make指令。

示例可以参看patch-o-matic下的源文件。
iptables本身的扩展稍微简单一些，那就是在extensions目录下增加一个libipt_ip_ext.c的文件，然后在本子目录的Makefile的PF_EXT_SLIB宏中附加一个ip_ext字符串。
第一次安装时，可以在iptables的根目录下运行make pending-patches命令，此命令会自动调用runme脚本，将所有patch-o-matic下的patch文件打到内核中，之后需要重新配置和编译内核。
如果只需要安装所要求的patch，可以在patch-o-matic目录下直接运行runme ip_ext，它会完成ip_ext patch的安装。之后，仍然要重编内核以使patch生效。
iptables本身的make/make install过程可以编译并安装好libipt_ip_ext.so，之后，新的iptables命令就可以通过加载libipt_ip_ext.so来识别ip_ext target了。
Extensions还可以定义头文件，一般这个头文件核内核外都要用，因此，通常将其放置在<kernel-root>/include/linux/netfilter_ipv4/目录下，在.c文件里指定头文件目录为linux/netfilter_ipv4/。
灵活性是Netfilter-iptables机制的一大特色，因此，扩展Netfilter-iptables也是它的应用的关键。为了与此目标相适应，Netfilter-iptables在结构上便于扩展，同时也提供了一套扩展的方案，并有大量扩展样例可供参考。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)