netfilter与用户空间通信

在做p2p流控的时候，学习到了linux用户空间与内核通信的方法。在http://www.ibm.com/developerworks/cn/linux/l-netlink/index.html一文中详细介绍了几种方法。我们的内核态环境是有用户上下文的，所以采用的是copy_from_user()/copy_to_user()方法实现内核态和用户态的数据拷贝。但是这两个函数会引发阻塞，所以只能用在有用户上下文的内核环境中，不能用在硬/软中断中。一般将这两个特殊的函数用在系统调用之中，此类函数在使用中穿梭于用户态和内核态。工作原理如下图：

 

其中相关的系统调用需要用户自行编写并载入内核。

具体实现是：在内核中用nf_register_sockopt函数注册一个nf_sockopt_ops的结构体，比如说：

static struct nf_sockopt_ops nso = { .pf = PF_INET, // 协议族 .set_optmin = 常数, // 定义最小set命令字 .set_optmax = 常数+N, // 定义最大set命令字 .set = do_nso_set, // 定义set处理函数 .get_optmin = 常数, // 定义最小get命令字 .get_optmax = 常数+N, // 定义最大get命令字 .get = do_nso_get, // 定义set处理函数 };  

其中命令字不能与系统已有的命令字重复。set/get处理函数是直接由用户空间的set/getsockopt函数调用的。

 

从这个图里面可以看出来，这种方法的本质就是调用是copy_from_user()/copy_to_user()方法完成内核和用户通信的，这样其实效率不高，多用在传递控制选项信息，不适合用做大量数据的传输。

另外一种方法是用netlink套接字，暂时没有用到，就不做介绍了。