Linux网络防火墙【4】 Linux内核网络 iptables 之filter分析

对于iptables 而言， 其实 最核心的本质上就是注册在netfilter 链上的模块。不同版本的linux内核可能会有些不同，而且 现在linux 越来越复杂，比如filter封装的越来越多，3.20版本的filter 已经被封装了很多层，但是本质上 还是netfilter的module。

下面， 我以2.6.11版本的Linux 做一下简要的分析。 对于 更高版本的Linux 只要顺着 "找“， 最终还是会简化成 类似的思路。

iptable_filter.c
static int forward = NF_ACCEPT; //默认的filter策略
module_param(forward, bool, 0000); //可以设置的内核参数。

static int __init init(void)
{
int ret;

if (forward < 0 || forward > NF_MAX_VERDICT) {
printk("iptables forward must be 0 or 1\n");
return -EINVAL;
}

/* Entry 1 is the FORWARD hook */
initial_table.entries[1].target.verdict = -forward - 1;

/* Register table */
ret = ipt_register_table(&packet_filter, &initial_table.repl); //此处 注册了iptbles的表
if (ret < 0)
return ret;

/* Register hooks */

/*filter因为有三个hook点，所以注册了三个netfilter module, 分别是local_in forward local_out*/
ret = nf_register_hook(&ipt_ops[0]);    //此处才是真正注册了netfilter 模块，对应NF_IP_LOCAL_IN
if (ret < 0)
goto cleanup_table;

ret = nf_register_hook(&ipt_ops[1]);   //对应NF_IP_FORWARD
if (ret < 0)
goto cleanup_hook0;

ret = nf_register_hook(&ipt_ops[2]);   //对应NF_IP_LOCAL_OUT
if (ret < 0)
goto cleanup_hook1;

return ret;
/*对应错误处理，一定要到位。内核的崩溃是最严重的错误*/
cleanup_hook1:
nf_unregister_hook(&ipt_ops[1]);
cleanup_hook0:
nf_unregister_hook(&ipt_ops[0]);
cleanup_table:
ipt_unregister_table(&packet_filter);

return ret;
}

static void __exit fini(void)
{
unsigned int i;

for (i = 0; i < sizeof(ipt_ops)/sizeof(struct nf_hook_ops); i++)
nf_unregister_hook(&ipt_ops[i]);

ipt_unregister_table(&packet_filter);
}

module_init(init);
module_exit(fini);

下面是关于上面注册参数的代码。可以看到ipt_ops[]对应上面代码的数组。 下面就是具体的结构体定义。

static struct nf_hook_ops ipt_ops[] = {
{
.hook = ipt_hook, /*具体filter的入口，下同*/
.owner = THIS_MODULE,
.pf = PF_INET,
.hooknum = NF_IP_LOCAL_IN, /*模块的hook点*/
.priority = NF_IP_PRI_FILTER, /*优先级，对应filter raw nat等等的，按照不同的优先级进行处理*/
},
{
.hook = ipt_hook, //如上
.owner = THIS_MODULE,
.pf = PF_INET,
.hooknum = NF_IP_FORWARD,
.priority = NF_IP_PRI_FILTER,
},
{
.hook = ipt_local_out_hook, //如上
.owner = THIS_MODULE,
.pf = PF_INET,
.hooknum = NF_IP_LOCAL_OUT,
.priority = NF_IP_PRI_FILTER,
},
};

下面看看 hook函数。 主要 版本不一样， hook的形参 是不一样的，如何使用要根据具体的Linux版本来定义。
/* The work comes in here from netfilter.c. */
static unsigned int
ipt_hook(unsigned int hook,
struct sk_buff **pskb,
const struct net_device *in,
const struct net_device *out,
int (*okfn)(struct sk_buff *))
{
return ipt_do_table(pskb, hook, in, out, &packet_filter, NULL);
}可以看到 最终调用了ipt_do_table, 这是ipbtables规则处理的入口， 根据hook点 和 packet_fliter里面的iptables规则进行遍历，最终调用target。这里就不深入再去分析这个函数了，可以看到最终是 遍历对应的规则而已。

再看看locl_out的hook。

static unsigned int
ipt_local_out_hook(unsigned int hook,
struct sk_buff **pskb,
const struct net_device *in,
const struct net_device *out,
int (*okfn)(struct sk_buff *))
{
/* root is playing with raw sockets. */
if ((*pskb)->len < sizeof(struct iphdr)
|| (*pskb)->nh.iph->ihl * 4 < sizeof(struct iphdr)) {
if (net_ratelimit())
printk("ipt_hook: happy cracking.\n");
return NF_ACCEPT;
}

return ipt_do_table(pskb, hook, in, out, &packet_filter, NULL);
}

可以看到也是调用的ipt_do_table函数， 还是遍历规则。

从上面可以看到， 最终都是遍历了Iptables的规则。 所以Iptables的规则， 也是提高性能的切入点， 这可以说是 网络吞吐量的一个瓶颈。提高网络吞吐量，最终还是转换为对iptables规则的优化。