Linux netfilter 学习笔记 之四 ip层netfilter的table注册及规则的添加

基于linux2.6.21

既然我们都已经将xt_table、rule、match、target的结构体之间的联系都已经分析清楚了,那我们接下来分析表的注册、表中规则的添加、表中规则的删除、表中规则的替换也应该比较容易了。

在上节分析时,我们应该有注意到一个细节,即xt_table_info->entries[]是指向每一个CPU对应于该xt_table的所有规则的首地址,而一个表里面所有的规则是按照连续内存存取的。由于表里的规则是存储在连续内存里,那么将一个新的规则插入到一个规则链中就变得比较麻烦,所以现有的做法基本上是重新申请一块内存,根据应用层传递过来的新的规则分布,对新的内存进行规则的赋值等操作,最后将原有规则内存释放掉。

 

 

1 ipt_register_table

在分析这个函数之前,我们还需要介绍一个结构体,在我们创建一个xt_table,或者替换掉一个xt_table里的规则时,就会用到这个结构体。

struct ipt_replace

{

/* Which table. */

/*表的名称*/

char name[IPT_TABLE_MAXNAMELEN];

 

    /*该表所支持的hook点*/

unsigned int valid_hooks;

 

/*规则个数*/

unsigned int num_entries;

 

/*所有规则的内存大小*/

unsigned int size;

/*每条规则链相对于第一条规则链的偏移量*/

unsigned int hook_entry[NF_IP_NUMHOOKS];

 

/*这个具体用在什么地方我还没有搞懂,看别人的解释为每一条规则链范围的最大

上限,不过我看初始化时,其与hook_entry在对应规则链上的值是相等的,目前我在代码里发现对underflow的调用,基本上都是将其与hook_entry在对应规则链上的值设置为

相同的,还需要深入分析后确认*/

unsigned int underflow[NF_IP_NUMHOOKS];

 

/* Information about old entries: */

/* Number of counters (must be equal to current number of entries). */

unsigned int num_counters;

/* The old entries' counters. */

struct xt_counters __user *counters;

 

/* The entries (hang off end: not really an array). */

/*

表中的每一个规则的结构为ipt_entry+ipt_entry_match(大于等于0个)+ipt_standard_target而ipt_standard_target由xt_entry_target与verdict 组成

可变长数组,下面内存里存放的就是需要替换到表中的新的规则。

*/

 

struct ipt_entry entries[0];

};

 

 

我们知道内存在初始化时,注册了filter、nat、mangle、raw等xt_table表,注册这些表时,均需要实例化一个ipt_table结构、一个ipt_replace结构,然后调用函数ipt_register_table完成注册,我们现在就开始分析这个函数。该函数的流程图如下:

 

 

 

我们结合数据结构之间的关系,可以大致先猜想一下这个函数的执行流程。

A)需要申请一个xt_table_info结构体,还需要申请一块内存块用于存放所有的规则

B)根据ipt_replace变量,对于创建的xt_table_info及规则内存块进行赋值,创建规则链以及每个规则的match、target的设置

C)将xt_table_info.entries[num_cpu]都执行规则内存块的首地址

D)将该xt_table插入到xt_af[pf].tables链表中。

 

这个只是大致的步骤,内核在注册时,肯定要进行一系统的检查,以保证添加数据的稳定性。

 

 

int ipt_register_table(struct xt_table *table, const struct ipt_replace *repl)

{

int ret;

struct xt_table_info *newinfo;

static struct xt_table_info bootstrap

= { 0, 0, 0, { 0 }, { 0 }, { } };

void *loc_cpu_entry;

 

/*分别申请sizeof(xt_table_info)与repl->size两个内存块。*/

newinfo = xt_alloc_table_info(repl->size);

if (!newinfo)

return -ENOMEM;

 

 /*获取当前cpu所对应的entries指针,

并将repl->entries中的值拷贝到loc_cpu_entry所指向的内存空间中*/

loc_cpu_entry = newinfo->entries[raw_smp_processor_id()];

memcpy(loc_cpu_entry, repl->entries, repl->size);

 

/*表注册时,根据repl的值,为xt_table_info *newinfo变量进行赋值操作*/

ret = translate_table(table->name, table->valid_hooks,

      newinfo, loc_cpu_entry, repl->size,

      repl->num_entries,

      repl->hook_entry,

      repl->underflow);

if (ret != 0) {

xt_free_table_info(newinfo);

return ret;

}

 

/*注册表,并将指针table->private指向newinfo*/

if (xt_register_table(table, &bootstrap, newinfo) != 0) {

xt_free_table_info(newinfo);

return ret;

}

 

return 0;

}

 

这个函数的逻辑还是比较简单的, 主要是调用3个函数来完成上面我们所说的功能,下面一一分析之。

1.1 xt_alloc_table_info

 

该函数的作用就是申请一个xt_table_info,然后根据传递的size值,为指针数组xt_table_info.entries[num_cpu]中的每一个指针申请size大小的内存空间,用于存放规则链中的所有规则。

 

功能:申请一个新的xt_table_info结构大小的内存,且根据size的大小,

为xt_table_info->entries[cpu]数组的每一个成员申请size大小的内存

(即为每一个cpu都申请一个size大小的内存)

size:一个xt_table_info在每一个cpu中所对应的的规则数的总内存。

struct xt_table_info *xt_alloc_table_info(unsigned int size)

{

struct xt_table_info *newinfo;

int cpu;

 

/* Pedantry: prevent them from hitting BUG() in vmalloc.c --RR */

if ((SMP_ALIGN(size) >> PAGE_SHIFT) + 2 > num_physpages)

return NULL;

 

newinfo = kzalloc(sizeof(struct xt_table_info), GFP_KERNEL);

if (!newinfo)

return NULL;

 

newinfo->size = size;

 

for_each_cpu(cpu) {

if (size <= PAGE_SIZE)

newinfo->entries[cpu] = kmalloc_node(size,

GFP_KERNEL,

cpu_to_node(cpu));

else

newinfo->entries[cpu] = vmalloc_node(size,

cpu_to_node(cpu));

 

if (newinfo->entries[cpu] == NULL) {

xt_free_table_info(newinfo);

return NULL;

}

}

 

return newinfo;

}

这个函数还是很简单的,就是申请内存空间

 

1.2 translate_table

这个函数是ipt_register_table最重要的函数,该函数主要实现以下功能:(ipt_entry *)entry0中的值,对每一个规则进行合法性检查,对规则链进行是否有环路检查;

A)初始化newinfo->hook_entry[]、newinfo->underflow[]

B)调用IPT_ENTRY_ITERATE,遍历从entry0开始的所有ipt_entry,对每一个ipt_entry调用函数check_entry_size_and_hooks,判断其首地址边界对其是否正确、该ipt_entry的大小是否超过了最大值、当前ipt_entry相对于首个ipt_entry首地址的偏移量是否与某一个newinfo->hook_entry[]的值相等。

C)调用mark_source_chains链中的规则是否存在检查环路

D)调用IPT_ENTRY_ITERATE,遍历从entry0开始的所有ipt_entry,对每一个ipt_entry调用函数check_entry,对该规则对应的match与target结构进行设置。

E)若以上3步均执行成功,则将该cpu对应的entriers指向的内存空间的内容,拷贝到其他cpu的entries指针指向的内存空间中。

static int

translate_table(const char *name,

unsigned int valid_hooks,

struct xt_table_info *newinfo,

void *entry0,

unsigned int size,

unsigned int number,

const unsigned int *hook_entries,

const unsigned int *underflows)

{

unsigned int i;

int ret;

 

newinfo->size = size;

newinfo->number = number;

 

/*初始化xt_table_info->hook_entry、xt_table_info->underflow中的偏移量*/

for (i = 0; i < NF_IP_NUMHOOKS; i++) {

newinfo->hook_entry[i] = 0xFFFFFFFF;

newinfo->underflow[i] = 0xFFFFFFFF;

}

 

duprintf("translate_table: size %u\n", newinfo->size);

i = 0;

/*

功能如函数名称:

遍历所有的ipt_entry:

1、检查从entry0到entry0 + size之间每一个ipt_entry变量的大小是否符 合要求,以及每一个ipt_entry的起始地址的对齐

2、判断相邻的ipt_entry的offset值是否正确,在正确的情况下将offset 值设置到相应的newinfo->hook_entry[]、newinfo->underflow[]

*/

ret = IPT_ENTRY_ITERATE(entry0, newinfo->size,

check_entry_size_and_hooks,

newinfo,

entry0,

entry0 + size,

hook_entries, underflows, &i);

if (ret != 0)

return ret;

 

if (i != number) {

duprintf("translate_table: %u not %u entries\n",

 i, number);

return -EINVAL;

}

 

/*对于本表支持的规则链,若出现规则链相应的hook_entry[i]未被赋值

则返回出错*/

for (i = 0; i < NF_IP_NUMHOOKS; i++) {

/* Only hooks which are valid */

if (!(valid_hooks & (1 << i)))

continue;

if (newinfo->hook_entry[i] == 0xFFFFFFFF) {

duprintf("Invalid hook entry %u %u\n",

 i, hook_entries[i]);

return -EINVAL;

}

if (newinfo->underflow[i] == 0xFFFFFFFF) {

duprintf("Invalid underflow %u %u\n",

 i, underflows[i]);

return -EINVAL;

}

}

/*检查首地址从entry0处开始的所有规则链中,是否存在环路链,

若存在,则返回0;

若不存在,则返回1。*/

if (!mark_source_chains(newinfo, valid_hooks, entry0))

return -ELOOP;

 

/* Finally, each sanity check must pass */

i = 0;

 

/*

遍历链表中的所有ipt_entry,对每一个ipt_entry,执行以下动作

1、遍历该ipt_entry下的所有match,根据每个match的用户层的match名称,

  在kernel的xt[af].match链表中查找名称相同的match变量,将地址赋值   给m->u.kernel.match ,当满足合法性检查时,继续操作;若不满足合法性   检查,则会返回失败,并释放创建的struct xt_table_info newinfo,说明   创建ipt_table失败

2、遍历xt[af].target,查找符合条件的target,并赋值给t->u.kernel.target

*/

ret = IPT_ENTRY_ITERATE(entry0, newinfo->size,

check_entry, name, size, &i);

 

if (ret != 0) {

IPT_ENTRY_ITERATE(entry0, newinfo->size,

  cleanup_entry, &i);

return ret;

}

 

/*在经过了规则链的环路检查,规则的边界检查,match与target的赋值后,

对于每一个cpu所对应的newinfo->entries,将新值进行拷贝*/

/* And one copy for every other CPU */

for_each_cpu(i) {

if (newinfo->entries[i] && newinfo->entries[i] != entry0)

memcpy(newinfo->entries[i], entry0, newinfo->size);

}

 

return ret;

}

上面的函数分别调用了函数check_entry_size_and_hooks、mark_source_chains、check_entry,下面分析这几个函数。

 

1.2.1 check_entry_size_and_hooks

该函数完成以下功能:

A)判断其首地址边界对其是否正确

B)该ipt_entry的大小是否超过了最大值

C)当前ipt_entry相对于首个ipt_entry首地址的偏移量是否与某一个hook_entry[]或者underflows[]的值相等

 

static inline int

check_entry_size_and_hooks(struct ipt_entry *e,

   struct xt_table_info *newinfo,

   unsigned char *base,

   unsigned char *limit,

   const unsigned int *hook_entries,

   const unsigned int *underflows,

   unsigned int *i)

{

unsigned int h;

/*首先判断ipt_entry e的取值是否正确*/

if ((unsigned long)e % __alignof__(struct ipt_entry) != 0

    || (unsigned char *)e + sizeof(struct ipt_entry) >= limit) {

duprintf("Bad offset %p\n", e);

return -EINVAL;

}

/*

判断ipt_entry->next_offset,是否满足要求。对于一个ipt_entry来说,至少要包含一个

ipt_entry和一个ipt_entry_target。

*/

if (e->next_offset

    < sizeof(struct ipt_entry) + sizeof(struct ipt_entry_target)) {

duprintf("checking: element %p size %u\n",

 e, e->next_offset);

return -EINVAL;

}

 

/* Check hooks & underflows */

/*为当前ipt_entry对应的hook_entries[h]进行赋值,这个主要是

用来检查hook_entries里的偏移量是否真的是指向了这个ipt_entry的首地址

如果是指向了就对newinfo->hook_entry[h]进行赋值,否则就不赋值。*/

for (h = 0; h < NF_IP_NUMHOOKS; h++) {

   if ((unsigned char *)e - base == hook_entries[h])

newinfo->hook_entry[h] = hook_entries[h];

if ((unsigned char *)e - base == underflows[h])

newinfo->underflow[h] = underflows[h];

}

 

/* FIXME: underflows must be unconditional, standard verdicts

           < 0 (not IPT_RETURN). --RR */

 

/* Clear counters and comefrom */

/*清空统计计数*/

e->counters = ((struct xt_counters) { 0, 0 });

e->comefrom = 0;

 

(*i)++;

return 0;

}

 

1.2.2 mark_source_chains

 

 

功能:判断一个规则链中的所有规则有没有出现环路。

在这个函数里,e->comefrom被用来存储是否成环标志,出了这个函数以后

这个值就不是用来存储是否成环的标志了。

 

原理:在一个规则链中,在从头到尾遍历所有规则时,将每一个ipt_entry->comefrom 的 NF_IP_NUMHOOKS位置1;当遍历到链的最后一个规则后,则从尾到头遍历所有规则,并依次清空ipt_entry->comefrom 的 NF_IP_NUMHOOKS位。这样的话,如果规则链中有环路的话,则第一次从头到尾遍历时,就成环了,无法执行从尾到头遍历清空ipt_entry->comefrom 的 NF_IP_NUMHOOKS位,这样在第二次到达某一个ipt_entry时,判断ipt_entry->comefrom 的 NF_IP_NUMHOOKS时就为1了,此时就知道该规则链出现环路了。

static int

mark_source_chains(struct xt_table_info *newinfo,

   unsigned int valid_hooks, void *entry0)

{

unsigned int hook;

 

/* No recursion; use packet counter to save back ptrs (reset

   to 0 as we leave), and comefrom to save source hook bitmask */

for (hook = 0; hook < NF_IP_NUMHOOKS; hook++) {

unsigned int pos = newinfo->hook_entry[hook];

 

/*获取当前要遍历的规则链的首条规则地址*/

struct ipt_entry *e

= (struct ipt_entry *)(entry0 + pos);

/*仅遍历该表支持的hook链*/

if (!(valid_hooks & (1 << hook)))

continue;

 

/* Set initial back pointer. */

/*初始返回地址即设置为首条规则的偏移地址*/

e->counters.pcnt = pos;

 

/*遍历该规则链的所有规则*/

for (;;) {

struct ipt_standard_target *t

= (void *)ipt_get_target(e);

 

/*该规则链中存在闭环,返回0*/

if (e->comefrom & (1 << NF_IP_NUMHOOKS)) {

printk("iptables: loop hook %u pos %u %08X.\n",

       hook, pos, e->comefrom);

return 0;

}

 

/*进入规则前置位NF_IP_NUMHOOKS*/

e->comefrom

|= ((1 << hook) | (1 << NF_IP_NUMHOOKS));

 

/* Unconditional return/END. */

/*

我的理解:

首先根据t->target.u.user.name为IPT_STANDARD_TARGET,能确定 这是一个标准target(对于标准的ipt_standard_target,可以根据 ipt_standard_target->verdict的值来确定这是

一个标准的target,还是跳转到用户自定义链的target)

此处verdict 小于0,说明这是一个标准target,而 unconditional(&e->ip),说明没有匹配规则,即为内建链最后一条默 认规则。(对于每一个表的每一个内建链来说,最后一条规则链为默认 链,且为DROP或者ACCEPT规则,而对于用户自定义链来说,最后一 条规则一般为RETURN规则)

*/

if (e->target_offset == sizeof(struct ipt_entry)

    && (strcmp(t->target.u.user.name,

       IPT_STANDARD_TARGET) == 0)

    && t->verdict < 0

    && unconditional(&e->ip)) {

unsigned int oldpos, size;

 

/* Return: backtrack through the last

   big jump. */

do {

/*清除NF_IP_NUMHOOKS*/

e->comefrom ^= (1<<NF_IP_NUMHOOKS);

#ifdef DEBUG_IP_FIREWALL_USER

if (e->comefrom

    & (1 << NF_IP_NUMHOOKS)) {

duprintf("Back unset "

 "on hook %u "

 "rule %u\n",

 hook, pos);

}

#endif 

oldpos = pos;

pos = e->counters.pcnt;

e->counters.pcnt = 0;

 

/* We're at the start. */

/*

此处的判断很巧妙,

1、在for (;;)开始前,我们将初始的规则的counters.pcnt 设置为其自己的偏移

2、然后,在for循环中,就是一直遍历规则链的最后一条规   则,并置位每条规则的NF_IP_NUMHOOKS。

3、在确定为规则链的最后一条规则时,则根据pos指针与 e->counters.pcnt 从最后一条规则链,递减遍历每一条 规则,并清除规则的NF_IP_NUMHOOKS

4、当递减遍历到第一条规则时,根据第二条的 e->counters.pcnt 与起始规则的e->counters.pcnt 相 等的关系,则成功退出do while循环,且完成对每一条 规则是否为循环的判断。

按照我们的分析, 如果一条链中的规则出现了环,则不会是 在最后一条规则里出现了环路,因为最后一条规则都是默认 规则,是没有跳转的。这样的话,上面的判断思路就合理了, 当链中出现环路时,则for (;;)只就不会进入结尾规则的处 理语句内,这样的话,若成环,则在对某个规则进行第二次 访问时,便会进入if (e->comefrom & (1 << NF_IP_NUMHOOKS) 代码段,发现环路,函数返回0;若没有环路,则最后都会进 入结尾规则的处理语句内,清除每条规则的NF_IP_NUMHOOKS,

程序返回1。

*/

 

if (pos == oldpos)

goto next;

 

e = (struct ipt_entry *)

(entry0 + pos);

} while (oldpos == pos + e->next_offset);

 

/* Move along one */

size = e->next_offset;

e = (struct ipt_entry *)

(entry0 + pos + size);

e->counters.pcnt = pos;

pos += size;

} else {

/*对于非规则链尾的规则,主要有两种,分类方法为:

1、跳转到用户自定义链的规则

2、不需要跳转的标准target规则与扩张target规则

*/

int newpos = t->verdict;

 

 

 

if (strcmp(t->target.u.user.name,

   IPT_STANDARD_TARGET) == 0

    && newpos >= 0) {

/* This a jump; chase it. */

duprintf("Jump rule %u -> %u\n",

 pos, newpos);

} else {

/* ... this is a fallthru */

/*对于不需要跳转到用户自定义链的规则来说,下一条规则的地址

即可根据e->next_offset计算出来*/

newpos = pos + e->next_offset;

}

e = (struct ipt_entry *)

(entry0 + newpos);

e->counters.pcnt = pos;//设置返回地址

pos = newpos;

}

}

next:

duprintf("Finished chain %u\n", hook);

}

return 1;

}

 

1.2.3 check_entry

 

该函数完成的功能如下: 

1. 调用ip_checkentry对ipt_entry->ip的flag与invflag的值进行合法性检查

2. 遍历ipt_entry中的所有ipt_entry_match,调用函数check_match, 查找match,并对

   m->u.kernel.match 进行赋值,若m->u.kernel.match->checkentry存在,则调用其进行合法性检查

3. 调用ipt_get_target获取该ipt_entry的ipt_entry_target,根据target的name与revision调用xt_find_target查找

   符合条件的xt_target,若没有找到则返回失败;若查找到则:

   a)对t->u.kernel.target 进行赋值

   b) 若是标准target,则调用standard_check检查该标准target进行合法性检查;

       若是扩展target,则当t->u.kernel.target->checkentry存在时,则调用t->u.kernel.target->checkentry

       进行合法性检查。

   

*/

static inline int

check_entry(struct ipt_entry *e, const char *name, unsigned int size,

    unsigned int *i)

{

struct ipt_entry_target *t;

struct ipt_target *target;

int ret;

unsigned int j;

 

if (!ip_checkentry(&e->ip)) {

duprintf("ip_tables: ip check failed %p %s.\n", e, name);

return -EINVAL;

}

 

j = 0;

ret = IPT_MATCH_ITERATE(e, check_match, name, &e->ip, e->comefrom, &j);

if (ret != 0)

goto cleanup_matches;

 

t = ipt_get_target(e);

target = try_then_request_module(xt_find_target(AF_INET,

     t->u.user.name,

     t->u.user.revision),

 "ipt_%s", t->u.user.name);

if (IS_ERR(target) || !target) {

duprintf("check_entry: `%s' not found\n", t->u.user.name);

ret = target ? PTR_ERR(target) : -ENOENT;

goto cleanup_matches;

}

t->u.kernel.target = target;

 

if (t->u.kernel.target == &ipt_standard_target) {

if (!standard_check(t, size)) {

ret = -EINVAL;

goto cleanup_matches;

}

} else if (t->u.kernel.target->checkentry

   && !t->u.kernel.target->checkentry(name, e, t->data,

      t->u.target_size

      - sizeof(*t),

      e->comefrom)) {

module_put(t->u.kernel.target->me);

duprintf("ip_tables: check failed for `%s'.\n",

 t->u.kernel.target->name);

ret = -EINVAL;

goto cleanup_matches;

}

 

(*i)++;

return 0;

 

 cleanup_matches:

IPT_MATCH_ITERATE(e, cleanup_match, &j);

return ret;

}

上面的函数调用了函数check_match与standard_check,下面分析下这两个函数。

1.2.3.1 check_match

/*

功能:根据m->u.user.name,在kernel的xt[af].match链表中,查找符合要求的match,

            若查找到,则将match的首地址赋给m->u.kernel.match 

*/

static inline int

check_match(struct ipt_entry_match *m,

    const char *name,

    const struct ipt_ip *ip,

    unsigned int hookmask,

    unsigned int *i)

{

struct ipt_match *match;

 

match = try_then_request_module(xt_find_match(AF_INET, m->u.user.name,

   m->u.user.revision),

"ipt_%s", m->u.user.name);

if (IS_ERR(match) || !match) {

duprintf("check_match: `%s' not found\n", m->u.user.name);

return match ? PTR_ERR(match) : -ENOENT;

}

m->u.kernel.match = match;

 

if (m->u.kernel.match->checkentry

    && !m->u.kernel.match->checkentry(name, ip, m->data,

      m->u.match_size - sizeof(*m),

      hookmask)) {

module_put(m->u.kernel.match->me);

duprintf("ip_tables: check failed for `%s'.\n",

 m->u.kernel.match->name);

return -EINVAL;

}

 

(*i)++;

return 0;

}

 

1.2.3.2 standard_check

/*

功能:合法性检查

1. 首先判断ipt_entry_target->u.target_size 的大小是否等于sizeof(struct ipt_standard_target)

2. 满足1是则对ipt_standard_target.verdict(这个值的作用我们在分析数据结构时已经分析

    的很详细了)进行判断。

    若verdict大于0,则说明该规则为跳转到一个用户自定义链的规则,此时

    则需要判断该verdict的值是否大于max_offset值,若大于说明有错误。

    若verdict小于0,则判断其值是否小于 -NF_MAX_VERDICT - 1(因为目前支持的最大跳转target

    为NF_MAX_VERDICT,所以此处作此判断),若小于的话,说明用户层传递的target有问题。

    返回0(0为检查失败)

*/

static inline int

standard_check(const struct ipt_entry_target *t,

       unsigned int max_offset)

{

struct ipt_standard_target *targ = (void *)t;

 

/* Check standard info. */

if (t->u.target_size

    != IPT_ALIGN(sizeof(struct ipt_standard_target))) {

duprintf("standard_check: target size %u != %u\n",

 t->u.target_size,

 IPT_ALIGN(sizeof(struct ipt_standard_target)));

return 0;

}

 

if (targ->verdict >= 0

    && targ->verdict > max_offset - sizeof(struct ipt_entry)) {

duprintf("ipt_standard_check: bad verdict (%i)\n",

 targ->verdict);

return 0;

}

 

if (targ->verdict < -NF_MAX_VERDICT - 1) {

duprintf("ipt_standard_check: bad negative verdict (%i)\n",

 targ->verdict);

return 0;

}

return 1;

}

 


1.3 xt_register_table

该函数实现xt_table插入到xt[table->af].tables链表,并更新xt_table->private指针

功能: 将一个新的xt_table插入到xt[table->af].tables链表中。

1.获取xt[table->af].mutex信号量

2.调用list_named_find,查找新的xt_table是否已存在xt[table->af].tables链表中,若

   存在,则返回存在标志;若不存在,则执行3

3.调用xt_replace_table,替换xt_table中的private

4.更新新的xt_table->private->initial_entries的值

5.将该xt_table插入到xt[table->af].tables链表中

*/

int xt_register_table(struct xt_table *table,

      struct xt_table_info *bootstrap,

      struct xt_table_info *newinfo)

{

int ret;

struct xt_table_info *private;

 

ret = down_interruptible(&xt[table->af].mutex);

if (ret != 0)

return ret;

 

/* Don't autoload: we'd eat our tail... */

if (list_named_find(&xt[table->af].tables, table->name)) {

ret = -EEXIST;

goto unlock;

}

 

/* Simplifies replace_table code. */

table->private = bootstrap;

if (!xt_replace_table(table, 0, newinfo, &ret))

goto unlock;

 

private = table->private;

duprintf("table->private->number = %u\n", private->number);

 

/* save number of initial entries */

private->initial_entries = private->number;

 

rwlock_init(&table->lock);

list_prepend(&xt[table->af].tables, table);

 

ret = 0;

 unlock:

up(&xt[table->af].mutex);

return ret;

}

 

 

2 do_replace

当用户层通过iptables -A添加一条规则或者通过iptables -D删除一条规则时,最终都会调用函数do_replace函数实现新的规则的添加或者规则的删除(其实就是替换xt_table->private,即需要创建一个新的xt_table_info和一个新的内存块,用于存放新的所有的规则)。

 

do_replace的定义如下,主要就是拷贝用户侧传递的ipt_replace值(注册新的xt_table时,也是传递ipt_replace的变量);然后调用函数xt_alloc_table_info申请内存空间;接着调用函数translate_table对新申请的内存空间中的每一个规则进行设置操作;最后调用xt_replace_table替换xt_table->private。

与表的注册函数相比,少了将xt_table插入到xt[table->af].tables链表的步骤,其他的与表注册大致是相同的,所以此处不对do_replace进行详细分析。 

 

static int

do_replace(void __user *user, unsigned int len)

{

int ret;

struct ipt_replace tmp;

struct ipt_table *t;

struct xt_table_info *newinfo, *oldinfo;

struct xt_counters *counters;

void *loc_cpu_entry, *loc_cpu_old_entry;

 

if (copy_from_user(&tmp, user, sizeof(tmp)) != 0)

return -EFAULT;

 

/* Hack: Causes ipchains to give correct error msg --RR */

if (len != sizeof(tmp) + tmp.size)

return -ENOPROTOOPT;

 

/* overflow check */

if (tmp.size >= (INT_MAX - sizeof(struct xt_table_info)) / NR_CPUS -

SMP_CACHE_BYTES)

return -ENOMEM;

if (tmp.num_counters >= INT_MAX / sizeof(struct xt_counters))

return -ENOMEM;

 

newinfo = xt_alloc_table_info(tmp.size);

if (!newinfo)

return -ENOMEM;

 

/* choose the copy that is our node/cpu */

loc_cpu_entry = newinfo->entries[raw_smp_processor_id()];

if (copy_from_user(loc_cpu_entry, user + sizeof(tmp),

   tmp.size) != 0) {

ret = -EFAULT;

goto free_newinfo;

}

 

counters = vmalloc(tmp.num_counters * sizeof(struct xt_counters));

if (!counters) {

ret = -ENOMEM;

goto free_newinfo;

}

 

ret = translate_table(tmp.name, tmp.valid_hooks,

      newinfo, loc_cpu_entry, tmp.size, tmp.num_entries,

      tmp.hook_entry, tmp.underflow);

if (ret != 0)

goto free_newinfo_counters;

 

duprintf("ip_tables: Translated table\n");

 

t = try_then_request_module(xt_find_table_lock(AF_INET, tmp.name),

    "iptable_%s", tmp.name);

if (!t || IS_ERR(t)) {

ret = t ? PTR_ERR(t) : -ENOENT;

goto free_newinfo_counters_untrans;

}

 

/* You lied! */

if (tmp.valid_hooks != t->valid_hooks) {

duprintf("Valid hook crap: %08X vs %08X\n",

 tmp.valid_hooks, t->valid_hooks);

ret = -EINVAL;

goto put_module;

}

 

oldinfo = xt_replace_table(t, tmp.num_counters, newinfo, &ret);

if (!oldinfo)

goto put_module;

 

/* Update module usage count based on number of rules */

duprintf("do_replace: oldnum=%u, initnum=%u, newnum=%u\n",

oldinfo->number, oldinfo->initial_entries, newinfo->number);

if ((oldinfo->number > oldinfo->initial_entries) || 

    (newinfo->number <= oldinfo->initial_entries)) 

module_put(t->me);

if ((oldinfo->number > oldinfo->initial_entries) &&

    (newinfo->number <= oldinfo->initial_entries))

module_put(t->me);

 

/* Get the old counters. */

get_counters(oldinfo, counters);

/* Decrease module usage counts and free resource */

loc_cpu_old_entry = oldinfo->entries[raw_smp_processor_id()];

IPT_ENTRY_ITERATE(loc_cpu_old_entry, oldinfo->size, cleanup_entry,NULL);

xt_free_table_info(oldinfo);

if (copy_to_user(tmp.counters, counters,

 sizeof(struct xt_counters) * tmp.num_counters) != 0)

ret = -EFAULT;

vfree(counters);

xt_table_unlock(t);

return ret;

 

 put_module:

module_put(t->me);

xt_table_unlock(t);

 free_newinfo_counters_untrans:

IPT_ENTRY_ITERATE(loc_cpu_entry, newinfo->size, cleanup_entry,NULL);

 free_newinfo_counters:

vfree(counters);

 free_newinfo:

xt_free_table_info(newinfo);

return ret;

}

 

 

至此,完成了xt_table表的注册的函数的分析和规则添加的简要分析,在我们熟悉xt_table、ipt_entry_match、ip_standard_target、ip_entry_target等数据结构之间的联系的基础上,分析xt_table表的注册与规则添加还是比较顺手的,看来理解数据结构真的很重要啊。

你可能感兴趣的:(Linux netfilter 学习笔记 之四 ip层netfilter的table注册及规则的添加)