亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

^{}

Chinaunix

標(biāo)題: Netfilter CONNMARK用法及分析（二）-- 內(nèi)核代碼分析 [打印本頁]

作者: godbach 時(shí)間: 2009-11-02 10:29
標(biāo)題: Netfilter CONNMARK用法及分析（二）-- 內(nèi)核代碼分析
本文著重分析內(nèi)核中CONNMARK的實(shí)現(xiàn)，同時(shí)還包括MARK的match和target模塊的實(shí)現(xiàn)。因?yàn)镃ONNMARK模塊通常是和MARK模塊搭配使用的。關(guān)于iptables中如何使用這三個(gè)模塊，參看本人的另外一篇文章《Netfilter CONNMARK用法及分析（一）-- iptables命令行的使用》。

本文歡迎自由轉(zhuǎn)載，但請(qǐng)標(biāo)明出處和本文鏈接，并保持本文的完整性。
CU： Godbach
Blog：http://blog.chinaunix.net/u/33048/index.html
Oct 31, 2009

1. CONNMARK及相關(guān)模塊的選項(xiàng)
這里先列出CONNMARK、MARK和mark模塊的iptables命令行的選項(xiàng)，隨后我們?cè)僦鹨环治龈鱾€(gè)模塊的內(nèi)核實(shí)現(xiàn)。iptables版本為v1.3.5。

（1）CONNMARK target的選項(xiàng)
選項(xiàng)       功能
--set-mark value[/mask]       給鏈接跟蹤記錄打標(biāo)記。
--save-mark [--mask mask]       將數(shù)據(jù)包上的標(biāo)記值記錄到鏈接跟蹤記錄上。
--restore-mark [--mask mask]       重新設(shè)置數(shù)據(jù)包的nfmark值。

（2）MARK target 的選項(xiàng)
選項(xiàng)       功能
--set-mark value       設(shè)置數(shù)據(jù)包的nfmark值。
--and-mark value       數(shù)據(jù)包的nfmark值和value進(jìn)行按位與運(yùn)算。
--or-mark  value       數(shù)據(jù)包的nfmark值和value進(jìn)行按或與運(yùn)算。

（3）MARK match的選項(xiàng)
選項(xiàng)       功能
[!] --mark value[/mask]       數(shù)據(jù)包的nfmark值與value進(jìn)行匹配，其中mask的值為可選的。

其中CONNMARK和MARK match中都有mask選項(xiàng)，這個(gè)主要用來指定給出value值中哪幾位是需要設(shè)置的。通常，如果我們不指定mask的話，其值會(huì)被默認(rèn)初始為0xFFFFFFFFUL。

2. MARK target的內(nèi)核實(shí)現(xiàn)
我這里分析的內(nèi)核源碼版本是2.6.18，該模塊的代碼見文件xt_MARK.c，其核心的target實(shí)現(xiàn)代碼如下：

41 static unsigned int
42 target_v1(struct sk_buff **pskb,
43 const struct net_device *in,
44 const struct net_device *out,
45 unsigned int hooknum,
46 const struct xt_target *target,
47 const void *targinfo,
48 void *userinfo)
49 {
50 const struct xt_mark_target_info_v1 *markinfo = targinfo;
51 int mark = 0;
52
53 switch (markinfo->mode) {
54 case XT_MARK_SET:
55 mark = markinfo->mark;
56 break;
57
58 case XT_MARK_AND:
59 mark = (*pskb)->nfmark & markinfo->mark;
60 break;
61
62 case XT_MARK_OR:
63 mark = (*pskb)->nfmark | markinfo->mark;
64 break;
65 }
66 /*將用戶設(shè)置的mark值賦給數(shù)據(jù)包的nfmark*/
67 if((*pskb)->nfmark != mark)
68 (*pskb)->nfmark = mark;
69
70 return XT_CONTINUE;

復(fù)制代碼

MARK target三個(gè)選項(xiàng)中最常用的應(yīng)該是--set-mark，給數(shù)據(jù)包的nfmark設(shè)置標(biāo)記。諸如下面這條規(guī)則

iptables -A POSTROUTING -p tcp --dport 21 -t mangle -j MARK --set-mark 1

就是將符合前面匹配選項(xiàng)的數(shù)據(jù)包的nfmark值設(shè)置為1。在內(nèi)核中對(duì)應(yīng)的源碼為：

54 case XT_MARK_SET:
55 mark = markinfo->mark;
56 break;
選項(xiàng)--and-mark對(duì)應(yīng)的源碼為：
58 case XT_MARK_AND:
59 mark = (*pskb)->nfmark & markinfo->mark;
60 break;

復(fù)制代碼

功能就是將數(shù)據(jù)包中記錄的nfmark值和用戶設(shè)置的value進(jìn)行按位與。同理選項(xiàng)--or-mark就是將數(shù)據(jù)包中記錄的nfmark值和用戶設(shè)置的value進(jìn)行按位或，其源碼如下：

62 case XT_MARK_OR:
63 mark = (*pskb)->nfmark | markinfo->mark;
64 break;

復(fù)制代碼

該模塊最后統(tǒng)一判斷一下設(shè)置后的mark值是否與數(shù)據(jù)包中保存的nfmark值相等，如果不等，則更新數(shù)據(jù)包的nfmark值為剛剛設(shè)置的mark。其代碼如下：

67 if((*pskb)->nfmark != mark)
68 (*pskb)->nfmark = mark;

復(fù)制代碼

個(gè)人覺得不管數(shù)據(jù)包nfmark和mark是否相等，直接將mark賦給nfmark就可以了。這里加一條if判斷，難道是為了當(dāng)兩個(gè)值相等的時(shí)候，少執(zhí)行一次寫內(nèi)存的指令?

3. MARK match的內(nèi)核實(shí)現(xiàn)
該模塊的實(shí)現(xiàn)在內(nèi)核源碼的xt_mark.c中。其核心匹配模塊的實(shí)現(xiàn)代碼如下：

22 static int
23 match(const struct sk_buff *skb,
24 const struct net_device *in,
25 const struct net_device *out,
26 const struct xt_match *match,
27 const void *matchinfo,
28 int offset,
29 unsigned int protoff,
30 int *hotdrop)
31 {
32 const struct xt_mark_info *info = matchinfo;
33
34 return ((skb->nfmark & info->mask) == info->mark) ^ info->invert;
35 }

復(fù)制代碼

該模塊實(shí)現(xiàn)的功能相對(duì)簡(jiǎn)單，就是判斷一下數(shù)據(jù)包的nfmark值是否與用戶指定的相同。判斷的時(shí)候要考慮mask以及取反的標(biāo)記位。
下面這條iptables規(guī)則就是實(shí)現(xiàn)了對(duì)所有標(biāo)記不為0的數(shù)據(jù)包都執(zhí)行ACCEPT動(dòng)作：

iptables -A POSTROUTING -t mangle -m mark ! --mark 0 -j ACCEPT

假設(shè)skb->nfmark為1，由于沒有指定mask，所以默認(rèn)值為0xFFFFFFFFUL，info->mark為0，取反標(biāo)記位被置位，info->invert為1。因此，((skb->nfmark & info->mask) == info->mark) ^ info->invert的結(jié)果應(yīng)該是(1&0xFFFFFFFFUL）== 0)^1 = 0^1 = 1。
該模塊match函數(shù)的返回值為1，執(zhí)行ACCEPT動(dòng)作。

4. CONNMARK target的內(nèi)核實(shí)現(xiàn)
該模塊的實(shí)現(xiàn)在內(nèi)核源碼的xt_CONNMARK.c中。其核心動(dòng)作模塊的實(shí)現(xiàn)代碼如下：

35 static unsigned int
36 target(struct sk_buff **pskb,
37 const struct net_device *in,
38 const struct net_device *out,
39 unsigned int hooknum,
40 const struct xt_target *target,
41 const void *targinfo,
42 void *userinfo)
43 {
44 const struct xt_connmark_target_info *markinfo = targinfo;
45 u_int32_t diff;
46 u_int32_t nfmark;
47 u_int32_t newmark;
48 u_int32_t ctinfo;
49 u_int32_t *ctmark = nf_ct_get_mark(*pskb, &ctinfo);
50
51 if (ctmark) {
52 switch(markinfo->mode) {
53 case XT_CONNMARK_SET:
54 newmark = (*ctmark & ~markinfo->mask) | markinfo->mark;
55 if (newmark != *ctmark)
56 *ctmark = newmark;
57 break;
58 case XT_CONNMARK_SAVE:
59 newmark = (*ctmark & ~markinfo->mask) | ((*pskb)->nfmark & markinfo->mask);
60 if (*ctmark != newmark)
61 *ctmark = newmark;
62 break;
63 case XT_CONNMARK_RESTORE:
64 nfmark = (*pskb)->nfmark;
65 diff = (*ctmark ^ nfmark) & markinfo->mask;
66 if (diff != 0)
67 (*pskb)->nfmark = nfmark ^ diff;
68 break;
69 }
70 }
71
72 return XT_CONTINUE;
73 }

復(fù)制代碼

這段代碼最開始先取出了數(shù)據(jù)包對(duì)應(yīng)的鏈接跟蹤中記錄mark值的地址：

49 u_int32_t *ctmark = nf_ct_get_mark(*pskb, &ctinfo);

復(fù)制代碼

然后判斷ctmark是否為NULL：

51 if (ctmark) {

復(fù)制代碼

如果ctmark == NULL，說明鏈接跟蹤中沒有ct->mark這個(gè)字段，惟一可能的原因就是內(nèi)核的配置文件中并沒有對(duì)CONFIG_NF_CONNTRACK_MARK進(jìn)行配置，也就是沒有啟用Conntrack Mark的功能。否則，就根據(jù)用戶配置的動(dòng)作進(jìn)行相應(yīng)的實(shí)現(xiàn)。
以下將分成三個(gè)部分介紹。

（1）給鏈接跟蹤設(shè)置標(biāo)記（--set-mark）
實(shí)現(xiàn)代碼如下：

53 case XT_CONNMARK_SET:
54 newmark = (*ctmark & ~markinfo->mask) | markinfo->mark;
55 if (newmark != *ctmark)
56 *ctmark = newmark;
57 break;

復(fù)制代碼

這里先按照markinfo->mask中所有被置位的bit，將*ctmark中對(duì)應(yīng)的bit位清零，然后再與markinfo->mark進(jìn)行按位或。這樣就保證了mask中置位的bit位，一定為按照mark中的值重新設(shè)置。
55~57行代碼的實(shí)現(xiàn)和我們第2部分分析的67~68代碼的實(shí)現(xiàn)相同。

（2）保存標(biāo)記值到鏈接跟蹤（--save-mark）
實(shí)現(xiàn)代碼如下：

58 case XT_CONNMARK_SAVE:
59 newmark = (*ctmark & ~markinfo->mask) | ((*pskb)->nfmark & markinfo->mask);
60 if (*ctmark != newmark)
61 *ctmark = newmark;
62 break;

復(fù)制代碼

這部分代碼中mask的功能和上面分析的相同。為了簡(jiǎn)單化分析起見，我們假設(shè)用戶沒有指定mask，默認(rèn)值為0xFFFFFFFFUL。這樣，59行的計(jì)算簡(jiǎn)化為：
newmark = (*pskb)->nfmark
再加上后兩行代碼：

60 if (*ctmark != newmark)
61 *ctmark = newmark;

復(fù)制代碼

具體的功能就很明確了，將當(dāng)前數(shù)據(jù)包記錄的nfmark值記錄到鏈接跟蹤中的ct->mark中。
那么，按理說如果數(shù)據(jù)包的流程走到這部分代碼，應(yīng)該就是數(shù)據(jù)包已經(jīng)被打上標(biāo)記了，也就是前面分析的MARK target中--set-mark進(jìn)行的處理。因此，在下在iptables規(guī)則的時(shí)候，通常--set-mark的規(guī)則在前，--save-mark的規(guī)則在后。這就保證了數(shù)據(jù)包先被打上標(biāo)記，然后再將數(shù)據(jù)包上的標(biāo)記記錄到其對(duì)應(yīng)的鏈接跟蹤上。以下幾條示例規(guī)則就是按照這個(gè)流程進(jìn)行的：

iptables -A POSTROUTING -m mark --mark 0 -p tcp --dport 21 -t mangle -j MARK --set-mark 1
iptables -A POSTROUTING -m mark --mark 0 -p tcp --dport 80 -t mangle -j MARK --set-mark 2
iptables -A POSTROUTING -m mark --mark 0 -t mangle -p tcp -j MARK --set-mark 3
iptables -A POSTROUTING -t mangle -j CONNMARK --save-mark

（3）重新設(shè)置數(shù)據(jù)包的標(biāo)記值（--restore-mark）
實(shí)現(xiàn)代碼如下：

63 case XT_CONNMARK_RESTORE:
64 nfmark = (*pskb)->nfmark;
65 diff = (*ctmark ^ nfmark) & markinfo->mask;
66 if (diff != 0)
67 (*pskb)->nfmark = nfmark ^ diff;
68 break;

復(fù)制代碼

這里我們同樣默認(rèn)用戶沒有設(shè)置mask，其初始值為0xFFFFFFFFUL。因此，64行代碼可簡(jiǎn)化為：

diff = *ctmark ^ nfmark

復(fù)制代碼

結(jié)合代碼

66 if (diff != 0)
67 (*pskb)->nfmark = nfmark ^ diff;

復(fù)制代碼

我們可以看出這個(gè)功能就是將鏈接記錄上的*ctmark保存到了(*pskb)->nfmark上。
簡(jiǎn)單的說來，如果一個(gè)鏈接跟蹤記錄被打上了標(biāo)記，那么通過該段代碼，就確保了所有屬于該鏈接的數(shù)據(jù)包也都被打上了該標(biāo)記。這樣，系統(tǒng)中后面的模塊就可以根據(jù)數(shù)據(jù)報(bào)上的標(biāo)記進(jìn)一步的處理，譬如TC可以根據(jù)該標(biāo)記繼續(xù)帶寬管理。

5.總結(jié)
那么--restore-mark規(guī)則應(yīng)該怎么與--set-mark和--save-mark進(jìn)行配合，完成給鏈接打標(biāo)記，進(jìn)而為連接上的所有數(shù)據(jù)包打標(biāo)記呢？請(qǐng)看下面幾條規(guī)則：

iptables -A POSTROUTING -t mangle -j CONNMARK --restore-mark
iptables -A POSTROUTING -t mangle -m mark ! --mark 0 -j ACCEPT
iptables -A POSTROUTING -m mark --mark 0 -p tcp --dport 21 -t mangle -j MARK --set-mark 1
iptables -A POSTROUTING -m mark --mark 0 -p tcp --dport 80 -t mangle -j MARK --set-mark 2
iptables -A POSTROUTING -m mark --mark 0 -t mangle -p tcp -j MARK --set-mark 3
iptables -A POSTROUTING -t mangle -j CONNMARK --save-mark

復(fù)制代碼

解釋如下：
1）第1條規(guī)則就是完成了將鏈接跟蹤上的標(biāo)記記錄到該連接上的每一個(gè)數(shù)據(jù)包中；
2）第2條規(guī)則判斷數(shù)據(jù)包的標(biāo)記，如果不為0，則直接ACCEPT。如果數(shù)據(jù)包上沒有被打標(biāo)記，則交由后面的規(guī)則進(jìn)行匹配并打標(biāo)記。這里為什么會(huì)出現(xiàn)經(jīng)過了CONNMARK模塊，數(shù)據(jù)包仍未被打標(biāo)記呢？可以想到，如果一條鏈接的第1個(gè)數(shù)據(jù)包經(jīng)過第1條規(guī)則處理之后，由于ct->mark為0，所以其數(shù)據(jù)包的標(biāo)記skb->nfmark應(yīng)該仍舊為0，就需要進(jìn)行后面規(guī)則的匹配。
3）第3~5條規(guī)則，則按照匹配選項(xiàng)對(duì)符合規(guī)則的數(shù)據(jù)包打上不同的標(biāo)記。
4）第6條規(guī)則就是將數(shù)據(jù)包上的標(biāo)記記錄到鏈接跟蹤上。這樣，當(dāng)屬于該鏈接的下一個(gè)數(shù)據(jù)包走到第1條規(guī)則的時(shí)候，就會(huì)被打上標(biāo)記，然后就會(huì)命中第2條規(guī)則，執(zhí)行動(dòng)作ACCEPT。
至此，內(nèi)核模塊CONNMARK、MARK的match和target實(shí)現(xiàn)都已分析完畢。如有分析不妥或遺漏指出，請(qǐng)大家多多指正。

[ 本帖最后由 godbach 于 2009-11-2 10:38 編輯 ]

作者: dreamice 時(shí)間: 2009-11-02 12:12
好東西，分析得很好！

作者: godbach 時(shí)間: 2009-11-02 13:13

原帖由 dreamice 于 2009-11-2 12:12 發(fā)表
好東西，分析得很好！

dreamice兄過獎(jiǎng)了。前兩天正好分析一個(gè)問題，就跟蹤到CONNMARK里了，順便分析了一下。

作者: lujian19861986 時(shí)間: 2011-07-20 18:08

本文著重分析內(nèi)核中CONNMARK的實(shí)現(xiàn)，同時(shí)還包括MARK的match和target模塊的實(shí)現(xiàn)。因?yàn)镃ONNMARK模塊通常是和M ...
godbach 發(fā)表于 2009-11-02 10:29

超級(jí)好~對(duì)我很有幫助，謝謝版主~

作者: lujian19861986 時(shí)間: 2011-07-21 11:21
（1）給鏈接跟蹤設(shè)置標(biāo)記（--set-mark）
      實(shí)現(xiàn)代碼如下： 53       case XT_CONNMARK_SET:

54        newmark = (*ctmark & ~markinfo->mask) | markinfo->mark;
55       if (newmark != *ctmark)

56          *ctmark = newmark;

57       break;
復(fù)制代碼這里先按照markinfo->mask中所有被置位的bit，將*ctmark中對(duì)應(yīng)的bit位清零，然后再與markinfo->mark進(jìn)行按位或。這樣就保證了mask中置位的bit位，一定為按照mark中的值重新設(shè)置。
      55~57行代碼的實(shí)現(xiàn)和我們第2部分分析的67~68代碼的實(shí)現(xiàn)相同。

在iptables/extensions/libxt_CONNMARK.c 核心代碼
/* Function which parses command options; returns true if it
ate an option */
static int
parse(int c, char **argv, int invert, unsigned int *flags,
   const struct ipt_entry *entry,
   struct ipt_entry_target **target)
{
struct ipt_connmark_target_info *markinfo
= (struct ipt_connmark_target_info *)(*target)->data;

markinfo->mask = 0xffffffffUL;

switch (c) {
char *end;
case '1':
markinfo->mode = IPT_CONNMARK_SET;

markinfo->mark = strtoul(optarg, &end, 0);
if (*end == '/' && end[1] != '\0')
      markinfo->mask = strtoul(end+1, &end, 0);

if (*end != '\0' || end == optarg)
exit_error(PARAMETER_PROBLEM, "Bad MARK value `%s'", optarg);
if (*flags)
exit_error(PARAMETER_PROBLEM,
            "CONNMARK target: Can't specify --set-mark twice");
*flags = 1;
break;
case '2':
markinfo->mode = IPT_CONNMARK_SAVE;
if (*flags)
exit_error(PARAMETER_PROBLEM,
            "CONNMARK target: Can't specify --save-mark twice");
*flags = 1;
break;
case '3':
markinfo->mode = IPT_CONNMARK_RESTORE;
if (*flags)
exit_error(PARAMETER_PROBLEM,
            "CONNMARK target: Can't specify --restore-mark twice");
*flags = 1;
break;
case '4':
if (!*flags)
exit_error(PARAMETER_PROBLEM,
            "CONNMARK target: Can't specify --mask without a operation");
markinfo->mask = strtoul(optarg, &end, 0);

if (*end != '\0' || end == optarg)
exit_error(PARAMETER_PROBLEM, "Bad MASK value `%s'", optarg);
break;
default:
return 0;
}

return 1;
}

版主，問一下，markinfo->mark = strtoul(optarg, &end, 0);
if (*end == '/' && end[1] != '\0')
      markinfo->mask = strtoul(end+1, &end, 0);
optarg是--set-mark后面的參數(shù)？ --set-mark 111時(shí)， optarg=111
其中：static struct option opts[] = {
{ "set-mark", 1, 0, '1' },
{ "save-mark", 0, 0, '2' },
{ "restore-mark", 0, 0, '3' },
{ "mask", 1, 0, '4' },
{ 0 }
}; 怎么理解下命令時(shí)，markinfo->mask的值，和其作用？？？

作者: wangwq_1989_06_ 時(shí)間: 2017-03-31 19:19
postrouting restor-mark 還有什么意義呢？

歡迎光臨 Chinaunix (http://72891.cn/)