初始化

iptable_mangle_table_init函数通过调用ipt_register_table完成mangle表注册和钩子函数注册的功能;该流程与iptable_filter的函数调用的函数一致,此处不再重复分析,详情请移步<iptable_filter分析>;

 static int __net_init iptable_mangle_table_init(struct net *net)

 {

     struct ipt_replace *repl;

     int ret;

     /* 已经初始化 */

     if (net->ipv4.iptable_mangle)

         return ;

     /* 分配初始化用于下面注册的结构 */

     repl = ipt_alloc_initial_table(&packet_mangler);

     if (repl == NULL)

         return -ENOMEM;

     /* 注册表和钩子函数 */

     ret = ipt_register_table(net, &packet_mangler, repl, mangle_ops,

                  &net->ipv4.iptable_mangle);

     kfree(repl);

     return ret;

 }
钩子函数

从下面的钩子函数可以看到其分布于全部5个钩子点;

 #define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \

                 ( << NF_INET_LOCAL_IN) | \

                 ( << NF_INET_FORWARD) | \

                 ( << NF_INET_LOCAL_OUT) | \

                 ( << NF_INET_POST_ROUTING))
 static const struct xt_table packet_mangler = {

     .name        = "mangle",

     .valid_hooks    = MANGLE_VALID_HOOKS,

     .me        = THIS_MODULE,

     .af        = NFPROTO_IPV4,

     .priority    = NF_IP_PRI_MANGLE,

     .table_init    = iptable_mangle_table_init,

 };

iptable_mangle_hook为mangle钩子函数,如果当前是处于LOCAL_OUT钩子点,则需要调用ip_mangle_out函数,其他店则调用ipt_do_table进行规则匹配;ipt_do_table函数此处不再重复分析,详情请移步<iptable_filter分析>;

 static unsigned int

 iptable_mangle_hook(void *priv,

              struct sk_buff *skb,

              const struct nf_hook_state *state)

 {

     /* LOCAL_OUT钩子点,调用mangle_out */

     if (state->hook == NF_INET_LOCAL_OUT)

         return ipt_mangle_out(skb, state);

     /* 规则匹配 */

     return ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

 }

ipt_mangle_out首先保存ip头部的一些信息,然后调用ipt_do_table进行规则匹配,规则之后检查ip头中的保存字段是否发生变化,如果发生变化,则需要重新查路由;

 static unsigned int

 ipt_mangle_out(struct sk_buff *skb, const struct nf_hook_state *state)

 {

     unsigned int ret;

     const struct iphdr *iph;

     u_int8_t tos;

     __be32 saddr, daddr;

     u_int32_t mark;

     int err;

     /* root is playing with raw sockets. */

     /* 原始套接字 */

     if (skb->len < sizeof(struct iphdr) ||

         ip_hdrlen(skb) < sizeof(struct iphdr))

         return NF_ACCEPT;

     /* Save things which could affect route */

     mark = skb->mark;

     iph = ip_hdr(skb);

     saddr = iph->saddr;

     daddr = iph->daddr;

     tos = iph->tos;

     /* 进行规则匹配 */

     ret = ipt_do_table(skb, state, state->net->ipv4.iptable_mangle);

     /* Reroute for ANY change. */

     /* 经过规则后 */

     if (ret != NF_DROP && ret != NF_STOLEN) {

         iph = ip_hdr(skb);

         /* 判断ip头中的字段是否有改变 */

         if (iph->saddr != saddr ||

             iph->daddr != daddr ||

             skb->mark != mark ||

             iph->tos != tos) {

             /* 重新查路由 */

             err = ip_route_me_harder(state->net, skb, RTN_UNSPEC);

             if (err < )

                 ret = NF_DROP_ERR(err);

         }

     }

     return ret;

 }

Netfilter 之 iptable_mangle的更多相关文章

  1. netfilter分析

    转自:http://blog.sina.com.cn/s/blog_a31ff26901013n07.html 一.概述 1. Netfilter/IPTables框架简介 Netfilter/IPT ...

  2. (转)Netfilter分析

    看到一篇讲Netfilter框架的,如果有一点基础了的话对于捋清整个框架很好帮助,转下来细细阅读. 转自http://aichundi.blog.163.com/blog/static/7013846 ...

  3. 【操作系统之十三】Netfilter与iptables

    一.Netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装. ...

  4. Linux内核下包过滤框架——iptables&netfilter

    iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转 ...

  5. (一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

    转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之 ...

  6. netfilter的钩子——数据包在内核态得捕获、修改和转发

    转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获.修改和转发(基于 netfilter)    忙活了好几天 ...

  7. Netfilter/iptables的匹配方式及处理方法

    匹配方式: 匹配方式是netfilter筛选数据包的最基本单元. 内置的匹配方式: 1.接口的匹配方式: iptables -t filter -A FORWARD -i eth0 -o eth1 - ...

  8. iptables/Netfilter 学习

    开始学iptables,因为它是和路由器技术紧密结合在一起的. iptables的命令看起来眼花缭乱,随便找两个: iptables -A FORWARD -p tcp -s -d -j ACCEPT ...

  9. Linux数据包路由原理、Iptables/netfilter入门学习

    相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wik ...

随机推荐

  1. Python的global指令的作用

    Python的global指令的作用 学过其他常用编程语言的同学一定清楚,Python是一个语法非常宽容的语言.它是个变量的定义可以省略.直接赋值.根据赋值结果自动确定变量类型的弱类型语言. 但是这样 ...

  2. Python应用范围seo

    Python有许多OOP概念,包括类.对象.数据和方法.抽象.封装.继承和多态性等原则也可以使用Python实现和表示.python有几个高级函数,包括迭代器.生成器.列表分析器.lambda表达式和 ...

  3. 记录lucene.net的使用过程

    之前公司要做一个信息展示的网站,领导说要用lucene.net来实现全文检索,类似百度的搜索功能,但是本人技术有限,只是基本实现搜索和高亮功能,特此记录: 先看下页面效果,首先我搜索“为什么APP消息 ...

  4. 【Struts2】Ognl与ValueStack

    一.OGNL 1.1 概述 1.2 OGNL 五大类功能 1.3 演示 二.ValueStack 2.1 概述 2.2 ValueStack结构 2.3 结论 2.3 一些问题 三.OGNL表达式常见 ...

  5. Python 获得程序 exe 的版本号

    Python 获得程序 exe 的版本号 python中需要安装 pywin32 包 # based on http://stackoverflow.com/questions/580924/pyth ...

  6. JavaScript(JS)入门篇

    <script type="text/javascript"> 表示在<script></script>之间的是文本类型(text),javas ...

  7. CentOS开放端口的方法

    Centos升级到7之后,内置的防火墙已经从iptables变成了firewalld.所以,端口的开启还是要从两种情况来说明的,即iptables和firewalld.更多关于CentOs防火墙的最新 ...

  8. Linux权限操作(用户和组)

    useradd 添加用户useradd -u uid user 创建指定uid的用户-o 配合-u 不检查uid的唯一性-d 指定家目录-s 指定shell-r 创建系统用户-m 强制创建家目录-M ...

  9. c#使用 NServiceKit.Redis 封装 RedisHelper

    在说StackExchange.Redis 的时候说了,因为我们的项目一直.net4.0不升级,没有办法,我说的不算,哈哈,又查了StackExchange.Redis在.net4.0使用麻烦,所以选 ...

  10. CF776D The Door Problem[2-SAT]

    翻译 对于一扇门,如果是关的,那么他必须使用其中一个开关开开来,如果是开的,要么使用两个开关,要么啥都不做.这样,每扇门恰好对应两种状态,要选一个. 考虑用2-SAT模型解决.连边的话是对于一个机关, ...