本文共 1874 字,大约阅读时间需要 6 分钟。
netfilter可以过滤数据包,也就对数据包经行了截获,它通过调用内核网络代码中的一些hook函数完成所需要的工作。
而当一个当数据包游历Linux内核的网络堆栈时,它穿过了几个hook点,在这里,数据包可以被分析并且选择是保留还是丢弃,这些hook点就是Netfilter hook。
而钩子函数(回调函数)也是系统内核为驱动程序提供的一些特定的函数,在驱动程序中某个变量的状态发生改变或将要改变或改变完成时,将会自动调用该回调函数,在netfilter中的状态就有五个(针对IPV4):
hook调用的时机
NF_IP_PRE_ROUTING 在完整性校验之后,选路确定之前 NF_IP_LOCAL_IN 在选路确定之后,且数据包的目的是本地主机 NF_IP_FORWARD 目的地是其它主机地数据包 NF_IP_LOCAL_OUT 来自本机进程的数据包在其离开本地主机的过程中 NF_IP_POST_ROUTING 在数据包离开本地主机“上线”之前
而netfilter的返回值有5种:
返回值 含义
NF_DROP 丢弃该数据包 NF_ACCEPT 保留该数据包 NF_STOLEN 忘掉该数据包 NF_QUEUE 将该数据包插入到用户空间 NF_REPEAT 再次调用该hook函数
如果要注册一个钩子函数,就要先申明一个nf_hook_ops 结构体,然后对其结构体里面的各个属性进行相应的赋值
struct nf_hook_ops
{ struct list_head list; nf_hookfn *hook; int pf; int hooknum; int priority; }; list:链表头,用来把各个处理函数组织成一个表,初始化为{NULL,NULL}; hook:我们定义的处理函数的指针,它的返回值必须为前面所说的几个常量之一; pf:协议族,表示这个HOOK属于哪个协议族; hooknum:我们想要注册的钩子,取值为五个钩子之一; priority:优先级,目前Netfilter定义了一下几个优先级,取值也小优先级也高,我们可以根据需要对各个优先级加减一个常量得到符合我们需要的优先级。 NF_IP6_PRI_FIRST = INT_MIN NF_IP6_PRI_CONNTRACK = -200 NF_IP6_PRI_MANGLE = -150 NF_IP6_PRI_NAT_DST = -100 NF_IP6_PRI_FILTER = 0 NF_IP6_PRI_NAT_SRC = 100 NF_IP6_PRI_LAST = INT_MAX
以下是一个例子程序:
#define __KERNEL__
#define MODULE #include <linux/module.h> #include <linux/kernel.h> #include <linux/netfilter.h> #include <linux/netfilter_ipv4.h> /* 用于注册我们的函数的数据结构 */ static struct nf_hook_ops nfho; /* 注册的hook函数的实现 */ unsigned int hook_func(unsigned int hooknum, struct sk_buff **skb, const struct net_device *in, const struct net_device *out, int (*okfn)(struct sk_buff *)) { return NF_DROP; /* 丢弃所有的数据包 */ } /* 初始化程序 */ int init_module() { /* 填充我们的hook数据结构 */ nfho.hook = hook_func; /* 该钩子对应的处理函数 */ nfho.hooknum = NF_IP_PRE_ROUTING; /* 使用IPv4的第一个hook */ nfho.pf = PF_INET; nfho.priority = NF_IP_PRI_FIRST; /* 让我们的函数首先执行 */ nf_register_hook(&nfho); //将用户自己定义的钩子注册到内核中 return 0; } /* 清除程序 */ void cleanup_module() { nf_unregister_hook(&nfho); //将用户自己定义的钩子从内核中删除 }转载地址:http://xmhvi.baihongyu.com/