netfilter与用户空间通信

在做p2p流控的时候,学习到了linux用户空间与内核通信的方法。在http://www.ibm.com/developerworks/cn/linux/l-netlink/index.html一文中详细介绍了几种方法。我们的内核态环境是有用户上下文的,所以采用的是copy_from_user()/copy_to_user()方法实现内核态和用户态的数据拷贝。但是这两个函数会引发阻塞,所以只能用在有用户上下文的内核环境中,不能用在硬/软中断中。一般将这两个特殊的函数用在系统调用之中,此类函数在使用中穿梭于用户态和内核态。工作原理如下图:

netfilter与用户空间通信_第1张图片 

其中相关的系统调用需要用户自行编写并载入内核。

具体实现是:在内核中用nf_register_sockopt函数注册一个nf_sockopt_ops的结构体,比如说:

  static   struct  nf_sockopt_ops nso  =  {  
     .pf  
=  PF_INET,        //  协议族  
     .set_optmin  =  常数,     //  定义最小set命令字  
     .set_optmax  =  常数 + N,   //  定义最大set命令字  
     . set    =  do_nso_set,    //  定义set处理函数  
     .get_optmin  =  常数,     //  定义最小get命令字  
     .get_optmax  =  常数 + N,   //  定义最大get命令字  
     . get    =  do_nso_get,    //  定义set处理函数  
}; 


其中命令字不能与系统已有的命令字重复。set/get处理函数是直接由用户空间的set/getsockopt函数调用的。

netfilter与用户空间通信_第2张图片 

从这个图里面可以看出来,这种方法的本质就是调用是copy_from_user()/copy_to_user()方法完成内核和用户通信的,这样其实效率不高,多用在传递控制选项信息,不适合用做大量数据的传输。

另外一种方法是用netlink套接字,暂时没有用到,就不做介绍了。

你可能感兴趣的:(filter)