netfilter与用户空间通信

在做p2p流控的时候，学习到了linux用户空间与内核通信的方法。在http://www.ibm.com/developerworks/cn/linux/l-netlink/index.html一文中详细介绍了几种方法。我们的内核态环境是有用户上下文的，所以采用的是copy_from_user()/copy_to_user()方法实现内核态和用户态的数据拷贝。但是这两个函数会引发阻塞，所以只能用在有用户上下文的内核环境中，不能用在硬/软中断中。一般将这两个特殊的函数用在系统调用之中，此类函数在使用中穿梭于用户态和内核态。工作原理如下图：

 

其中相关的系统调用需要用户自行编写并载入内核。

具体实现是：在内核中用nf_register_sockopt函数注册一个nf_sockopt_ops的结构体，比如说：

  static   struct  nf_sockopt_ops nso  =  {  
     .pf   =  PF_INET,        //  协议族  
     .set_optmin  =  常数,     //  定义最小set命令字  
     .set_optmax  =  常数 + N,   //  定义最大set命令字  
     . set    =  do_nso_set,    //  定义set处理函数  
     .get_optmin  =  常数,     //  定义最小get命令字  
     .get_optmax  =  常数 + N,   //  定义最大get命令字  
     . get    =  do_nso_get,    //  定义set处理函数  
}; 

其中命令字不能与系统已有的命令字重复。set/get处理函数是直接由用户空间的set/getsockopt函数调用的。

 

从这个图里面可以看出来，这种方法的本质就是调用是copy_from_user()/copy_to_user()方法完成内核和用户通信的，这样其实效率不高，多用在传递控制选项信息，不适合用做大量数据的传输。

另外一种方法是用netlink套接字，暂时没有用到，就不做介绍了。