亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: linux-2.6.35.6 xtables&iptables&hipac [打印本頁]

作者: pywj777 時(shí)間: 2012-05-30 12:12
標(biāo)題: linux-2.6.35.6 xtables&iptables&hipac
本帖最后由 pywj777 于 2012-05-30 13:06 編輯

之前總是拜讀“獨(dú)孤九賤”兄的大作，受益匪淺�，F(xiàn)也將自己的一些總結(jié)分享給大家，由于語言組織能力較差，所以多上圖，少上字。

Xtables提供的資源

struct xt_af xt[]結(jié)構(gòu)數(shù)組
該數(shù)組用于掛載各個(gè)協(xié)議的match和target資源。由于寫者（添加、刪除）和讀者（查找）都是在內(nèi)核空間進(jìn)程上下文執(zhí)行，所以它們只需要用xt[n].mutex信號量進(jìn)行互斥。讀者（查找）在將規(guī)則關(guān)聯(lián)上一個(gè)match或target時(shí)會增加它們所在模塊的引用計(jì)數(shù)，在它釋放這個(gè)引用計(jì)數(shù)之前該模塊是不會被卸載的，所以另外一個(gè)讀者（規(guī)則匹配）在軟中斷中可以放心的使用，不需加任何鎖。

xt_register_match(struct xt_match *match)與xt_unregister_match(struct xt_match *match)
用于在xt[]數(shù)組上掛載對應(yīng)協(xié)議的match，由于它們都是在內(nèi)核空間的進(jìn)程上下文被使用，所以它們使用mutex_lock(&xt[af].mutex)信號量進(jìn)行加鎖和解鎖。（寫者）
xt_register_target(struct xt_target *target)與xt_unregister_target(struct xt_target *target)
用于在xt[]數(shù)組上掛載對應(yīng)協(xié)議的target，由于它們都是在內(nèi)核空間的進(jìn)程上下文被使用，所以它們使用mutex_lock(&xt[af].mutex)信號量進(jìn)行加鎖和解鎖。（寫者）
struct xt_match *xt_find_match(u8 af, const char *name, u8 revision)與struct xt_target *xt_find_target(u8 af, const char *name, u8 revision)
用于在xt[]數(shù)組中查找對應(yīng)協(xié)議的match或target與對應(yīng)規(guī)則相關(guān)聯(lián)，并增加match和target所在模塊的引用計(jì)數(shù)。由于它們都是在內(nèi)核空間的進(jìn)程上下文被使用，所以它們使用mutex_lock(&xt[af].mutex)信號量進(jìn)行加鎖和解鎖。同時(shí)內(nèi)核在軟中斷中進(jìn)行規(guī)則匹時(shí)配，它引用規(guī)則關(guān)聯(lián)的match和target是安全的，因?yàn)閙atch和target所在模塊由于引用計(jì)數(shù)是不會被釋放的。（讀者）
由于有一個(gè)讀者是在軟中斷的中，并且有多個(gè)CPU同時(shí)使用，是否需要其它保護(hù)。答：不需要。因?yàn)槿绻浿袛嘀幸玫囊?guī)則使用了某個(gè)match或target，則擁有該match和target模塊的引用計(jì)數(shù)會被加1，該模塊將不會被卸載（這也就要求在調(diào)用xt_unregister_match()或xt_unregister_target()時(shí)必須先判斷它們所在模塊的引用計(jì)數(shù)，通常它們被放在模塊注銷函數(shù)中）。如果引用計(jì)數(shù)為0，則說明沒有規(guī)則引用該match或target，則在軟中斷中也不會使用它。

net.xt.tables[]網(wǎng)絡(luò)命名空間協(xié)議鏈表
該命名空間協(xié)議鏈表用于將不同協(xié)議的table表掛到對應(yīng)協(xié)議鏈表中。
寫者（添加、刪除）table表都在內(nèi)核空間進(jìn)程上下文執(zhí)行，又由于它需要檢查該表與注冊的target、match名字不沖突，所以他們只需要用xt[n].mutex信號。
讀者在軟中斷中通過HOOK引用這些表，所以在寫者（添加、刪除）之前一定要保證沒有讀者在操作。添加表操作一定要先通過xt_register_table()添加一個(gè)表，然后再通過xt_hook_link()使HOOK能夠引用這些表；刪除表操作一定要先通過xt_hook_unlink()去掉HOOK對表的引用，然后再通過xt_unregister_table()刪除一個(gè)表。

struct xt_table *xt_register_table(struct net *net, const struct xt_table *input_table, struct xt_table_info *bootstrap, struct xt_table_info *newinfo)
主要是復(fù)制input_table到table表，并將newinfo（由調(diào)用該函數(shù)模塊提供的私有數(shù)據(jù)xt_table_info）與該表的table->private指針相關(guān)聯(lián)，然后根據(jù)該表指定的協(xié)議掛入對應(yīng)的net.xt.table[table->af]鏈表中。它使用xt[n].mutex信號進(jìn)行加鎖（如上所述）。
void *xt_unregister_table(struct xt_table *table)
主要是將table從net.xt.table[table->af]鏈表中取下來，并返回table->private指針指向的xt_table_info數(shù)據(jù)。它使用xt[n].mutex信號進(jìn)行加鎖（如上所述）。
struct nf_hook_ops *xt_hook_link(const struct xt_table *table, nf_hookfn *fn)與void xt_hook_unlink(const struct xt_table *table, struct nf_hook_ops *ops)
主要是利用xt_table結(jié)構(gòu)和鉤子函數(shù)構(gòu)造出nf_hook_ops鉤子項(xiàng)，然后調(diào)用nf_register_hooks()或nf_unregisgter_hooks()函數(shù)來注冊或注銷ipv4協(xié)議對應(yīng)點(diǎn)的鉤子函數(shù)，這兩個(gè)函數(shù)主要用在內(nèi)核空間的進(jìn)程上下文。由于nf_regisgter_hooks()已提供了保護(hù)，所以它們不需要任何形式的鎖保護(hù)。

作者: pywj777 時(shí)間: 2012-05-30 12:26
本帖最后由 pywj777 于 2012-05-30 12:36 編輯

Iptables利用Xtable初始化filter表的結(jié)構(gòu)圖

struct xt_table *ipt_register_table(struct net *net, const struct xt_table *table, const struct ipt_replace *repl)（注冊并初始化一個(gè)表，然后調(diào)用xt_hook_link()引用該表）
該函數(shù)是iptables為filter、nat、mangle模塊提供用于注冊相應(yīng)表結(jié)構(gòu)的接口。它根據(jù)當(dāng)前表要被掛入的HOOK點(diǎn)來構(gòu)建上圖所示的xt_table_info初始規(guī)則表，并調(diào)用xt_register_table()函數(shù)將filter表的xt_table和xt_table_info結(jié)構(gòu)掛入net.xt.table[IPV4]鏈表中。（上圖是iptables_filter模塊調(diào)用該函數(shù)注冊的結(jié)構(gòu)圖）
注冊完一個(gè)表后，就可以通過xt_hook_link()函數(shù)注冊一個(gè)HOOK點(diǎn)來使用這個(gè)表中的規(guī)則處理數(shù)據(jù)包。
void ipt_unregister_table(struct net *net, struct xt_table *table)（注銷一個(gè)表，要在xt_hook_unlink()之后使用）
該函數(shù)是iptables為filter、nat、mangle模塊提供用于注銷相應(yīng)表結(jié)構(gòu)的接口。它調(diào)用xt_unregister_table()將xt_table從對應(yīng)協(xié)議鏈表中取下并釋放，然后將返回的xt_table_info結(jié)構(gòu)中的規(guī)則逐一釋放（同時(shí)也會釋放規(guī)則引用的match和target模塊的引用計(jì)數(shù)），最后釋放xt_table_info結(jié)構(gòu)。
為保證釋放table表時(shí)沒有其它讀者，所以在調(diào)用該函數(shù)之前要先調(diào)用xt_hook_unlink()函數(shù)注銷在HOOK點(diǎn)掛入的處理函數(shù)，保證沒有其它CPU會再引用到該表。
struct xt_info_lock xt_info_locks[CPU]（用于保證讀取修改表中規(guī)則的鎖，每個(gè)CPU一個(gè)鎖）

struct xt_table *xt_find_table_lock(struct net *net, u_int8_t af, const char *name)
查找name指定的表，使用xt[af].mutex加鎖，保證只有一個(gè)寫者處理該表。并增加表所在模塊的引用計(jì)數(shù)，防止該表被錯(cuò)誤釋放。

void xt_table_unlock(struct xt_table *table)
與xt_find_table_lock()配對使用，釋放xt[table->af].mutex鎖。

static inline void xt_info_rdlock_bh(void) 或 static inline void xt_info_rdunlock_bh(void)
獲取或釋放本CPU的xt_info_locks[cpu]鎖。這個(gè)鎖主要是用于防止正被使用的規(guī)則表（xt_table_info結(jié)構(gòu)）被釋放。（它與get_counters()進(jìn)行互斥）

static inline void xt_info_wrlock(unsigned int cpu) 或 static inline void xt_info_wrunlock(unsigned int cpu)
獲取指定CPU的xt_info_locks[cpu]鎖。它主要在get_counters()中被調(diào)用，用于獲取所有CPU的寫鎖，保證所有CPU都已完成了對規(guī)則表的引用。

static void get_counters(const struct xt_table_info *t, struct xt_counters counters[])
它可以保證其它CPU都已完成了一次對表中所有規(guī)則的引用。因?yàn)樗獙λ衅渌麮PU調(diào)用xt_info_wrlock(cpu)函數(shù)來獲取其它CPU的xt_info_lock，而其它CPU在讀取表中規(guī)則時(shí)，要通過xt_info_rdlock_bh獲取各自的xt_info_lock鎖，所有當(dāng)它獲取完所有其它CPU的xt_info_lock鎖后，就表示其它CPU都已完成了對表中規(guī)則的引用。這就說明了為什么在do_replace中調(diào)用完get_counters()后能夠安全的釋放舊的xt_table_info結(jié)構(gòu)。
static int get_info(struct net *net, void __user *user, const int *len, int compat) （讀取表中信息）
該函數(shù)是用戶使用iptables命令操作表中規(guī)則時(shí)，用于獲取表中信息的接口。它使用xt_find_table_lock()和xt_table_unlock()保證沒有其它人操作該表。
static int get_entries(struct net *net, struct ipt_get_entries __user *uptr, const int *len)（讀取表中規(guī)則）
該函數(shù)是用戶使用iptables命令操作表中規(guī)則時(shí)，用于獲取表中規(guī)則的接口。它使用xt_find_table_lock()和xt_table_unlock()保證沒有其它人操作該表。
unsigned int ipt_do_table(struct sk_buff *skb, unsigned int hook, const struct net_device *in, const struct net_device *out, struct xt_table *table) （讀取表中規(guī)則）
該函數(shù)是iptables為filter、nat、mangle模塊提供用于對數(shù)據(jù)包匹配各表中規(guī)則的接口。它根據(jù)表對應(yīng)的xt_table_info結(jié)構(gòu)中的信息，找到相應(yīng)的規(guī)則，對數(shù)據(jù)包進(jìn)行逐一匹配。為保證所引用表中的規(guī)則（xt_table_info）不被其它寫者釋放，同時(shí)又不影響到其它讀者，使用xt_info_rdlock_bh()和xt_info_rdunlock_bh()來加鎖和解鎖。
static int do_replace(struct net *net, const void __user *user, unsigned int len) （修改表中規(guī)則）
該函數(shù)是iptables為filter、nat、mangle模塊提供用于在對應(yīng)表中下規(guī)則的接口。它根據(jù)用戶傳遞過來的規(guī)則，構(gòu)建一個(gè)新的xt_table_info結(jié)構(gòu)和規(guī)則，并將它們與對應(yīng)表的xt_table->private相關(guān)聯(lián)。它通過xt_find_table_lock()和xt_table_unlock()保證當(dāng)前只有一個(gè)寫者在操作該表。通過local_bh_disable()和local_bh_enable()保證更換table->private指向新的xt_table_info結(jié)構(gòu)時(shí)不被打斷。通過get_counters()保證所有其它CPU都不再使用舊的xt_table_info結(jié)構(gòu)，安全釋放舊的xt_table_info結(jié)構(gòu)。

static int translate_table(struct net *net, struct xt_table_info *newinfo, void *entry0, const struct ipt_replace *repl)
根據(jù)ipt_replace結(jié)構(gòu)構(gòu)建一個(gè)xt_table_info結(jié)構(gòu)，并做一些必要的檢查（鏈?zhǔn)欠癍h(huán)路等），同時(shí)將表中的規(guī)則與相應(yīng)的match和target相關(guān)聯(lián)。

struct xt_table_info *xt_replace_table(struct xt_table *table, unsigned int num_counters, struct xt_table_info *newinfo, int *error)
為newinfo調(diào)用xt_jumpstack_alloc(struct xt_table_info *i)初始化stack相關(guān)數(shù)據(jù)，然后使table->private指向newinfo，并返回oldinfo。

作者: pywj777 時(shí)間: 2012-05-30 12:40
Iptables利用Xtables構(gòu)建的組織形式

作者: pywj777 時(shí)間: 2012-05-30 12:44
本帖最后由 pywj777 于 2012-05-30 12:52 編輯

Iptable下發(fā)規(guī)則的執(zhí)行流程圖

iptables內(nèi)核層與應(yīng)用層之間傳輸規(guī)則的組織形式

iptables將內(nèi)核中獲取的規(guī)則轉(zhuǎn)換為如下圖所示可管理的結(jié)構(gòu)

作者: pywj777 時(shí)間: 2012-05-30 12:56
Iptables包含以下target

IPT_ACCEPT：(struct ipt_standard_target *)target->verdict = -NF_ACCEPT-1 < 0 （ipt_do_table()碰到這個(gè)target直接返回NF_ACCEPT）
IPT_DROP：(struct ipt_standard_target *)target->verdict = -NF_DROP-1 < 0 （ipt_do_table()碰到這個(gè)target直接返回NF_DROP）
IPT_QUEUE：(struct ipt_standard_target *)target->verdict = -NF_QUEUE-1 < 0 （ipt_do_table()碰到這個(gè)target直接返回NF_QUEUE）
IPT_RETURN：(struct ipt_standard_target *)target->verdict = -NF_REPATE-1 < 0 （ipt_do_table()碰到這個(gè)target特殊處理）
跳轉(zhuǎn)到子鏈target：(struct ipt_standard_target *)target->verdict = 要跳轉(zhuǎn)子鏈的偏移量 > 0 （ipt_do_table()碰到這個(gè)target會跳轉(zhuǎn)到該子鏈處理）
IPT_CONTINUE： IPT_CONTINUE = XT_CONTINUE = 0xFFFFFFFF < 0 （ipt_do_table()碰到這個(gè)target會處理下一條規(guī)則，這個(gè)target被擴(kuò)展target使用）(它不是一個(gè)標(biāo)準(zhǔn)target，但可被其它擴(kuò)展TARGET用作返回值)
擴(kuò)展target：它是struct xt_entry_target + date[] （ipt_do_table()碰到這個(gè)target會調(diào)用target->target()處理，并根據(jù)返回值做處理。擴(kuò)展target可返回IPT_CONTINUE，或下面netfilter定義的值）

Netfilter處理的返回值
NF_DROP
NF_ACCEPT
NF_STOLEN
NF_QUEUE
NF_REPEAT
NF_STOP

作者: pywj777 時(shí)間: 2012-05-30 13:03
眾所周知，iptables的一大缺點(diǎn)是線性匹配，這樣當(dāng)>1000條規(guī)則時(shí)，匹配效率會明顯下降，為此，我借鑒NF-hipac的算法，將iptables轉(zhuǎn)換為樹形匹配，來加快其匹配效率，轉(zhuǎn)換后的結(jié)構(gòu)圖如下圖所示：

作者: MoWaters 時(shí)間: 2012-06-01 22:46
本帖最后由 MoWaters 于 2012-06-01 22:59 編輯

圖畫得真不錯(cuò)，收藏了。

作者: Godbach 時(shí)間: 2012-06-05 12:44
回復(fù) 1# pywj777
感謝 LZ 分享，看到 hipac 的匯總了。

作者: Godbach 時(shí)間: 2012-06-05 12:51
回復(fù) 1# pywj777

LZ 能夠簡單介紹一下 xtable 和原先版本的 iptables 中主要的變化有哪些？

作者: pywj777 時(shí)間: 2012-06-05 16:19
本帖最后由 pywj777 于 2012-06-05 16:20 編輯

回復(fù) 9# Godbach

主要的變化就在于一個(gè)是'x'tables，一個(gè)是'ip'tables，即iptables只針對IP協(xié)議棧，而xtables是針對各種不同的協(xié)議棧，例如第一幅圖中的IPV4、IPV6、ARP、BRIDGE、DECENT等

作者: Godbach 時(shí)間: 2012-06-05 17:41
回復(fù) 10# pywj777
OK，明白了

作者: Godbach 時(shí)間: 2012-06-05 21:51
回復(fù) 6# pywj777
xt_table_info 中建立了每個(gè) CPU 都會對應(yīng)完整的規(guī)則，是不是為了加快匹配，其次，不同的 CPU 對應(yīng)的規(guī)則是不是實(shí)際上指向的同一塊內(nèi)存。

作者: Godbach 時(shí)間: 2012-06-05 21:57
回復(fù) 6# pywj777

對于構(gòu)建樹形規(guī)則時(shí)，是每個(gè)表用一個(gè)樹，不同的鏈通過指針指向不同的地址，還是每個(gè)表下每個(gè)鏈都有一個(gè)樹？

作者: pywj777 時(shí)間: 2012-06-06 10:07
回復(fù) 12# Godbach

不同CPU對應(yīng)的規(guī)則是指向不同的內(nèi)存，為每個(gè) CPU 建立對應(yīng)完整的規(guī)則目的是為了做到無鎖操作，從而提高匹配效率。

作者: pywj777 時(shí)間: 2012-06-06 10:16
回復(fù) 13# Godbach

每個(gè)表下的每個(gè)鏈都是一顆樹，自建鏈也會形成一個(gè)單獨(dú)的樹。

作者: Godbach 時(shí)間: 2012-06-06 11:39
回復(fù) 14# pywj777

但是規(guī)則應(yīng)該是全局的吧。每個(gè) CPU 各 copy 一份嗎？

那修改規(guī)則的時(shí)候，怎么保證同步到各個(gè) CPU，以及修改和匹配之間是怎么實(shí)現(xiàn)同步的？

作者: pywj777 時(shí)間: 2012-06-11 11:41
本帖最后由 pywj777 于 2013-05-21 12:06 編輯

回復(fù) 16# Godbach

xt_table_info是全局的，每個(gè)CPU所訪問的規(guī)則集是各個(gè)CPU獨(dú)有的（各COPY一份），由xt_table_info->entries[cpu_n]指向各自私有的規(guī)則集。

規(guī)則的修改每次都是全局替換，即替換一個(gè)新構(gòu)建好的xt_table_info結(jié)構(gòu)（這個(gè)新構(gòu)建的xt_table_info已為各個(gè)CPU構(gòu)建好了規(guī)則集）。修改和匹配之間如何保證同步，參考本帖2樓第7條do_replace()函數(shù)，和4樓第一個(gè)流程圖，放大一下看:wink:

作者: kitiz 時(shí)間: 2012-06-14 22:47
請問一下LZ，這圖是什么工具畫的，一直找不到一個(gè)好的畫圖工具，多謝了

作者: kitiz 時(shí)間: 2012-06-14 22:50
請問lz是用什么工具畫的圖，多謝了

作者: ckf513728912 時(shí)間: 2012-06-15 11:52
圖畫得不錯(cuò) 謝謝分享

作者: pywj777 時(shí)間: 2012-06-17 18:01
回復(fù) 19# kitiz

Microsoft Office Visio

作者: heritrix 時(shí)間: 2013-03-01 20:37
謝謝樓主分享，已經(jīng)收藏了

作者: daniel_11 時(shí)間: 2013-03-11 16:39
感謝lz分享，這真要花功夫才總結(jié)的出來，學(xué)習(xí)了～

作者: 瀚海書香 時(shí)間: 2013-03-12 12:48
這么好的帖子怎么才看到呢？罪過啊

想了半天，終于想明白了，當(dāng)時(shí)正在換工作，處在休假期

作者: 251300891 時(shí)間: 2013-03-15 16:25
回復(fù) 21# pywj777

畫得太好了

作者: pywj777 時(shí)間: 2013-05-20 21:53
本帖最后由 pywj777 于 2013-05-21 12:05 編輯

在使用狀態(tài)檢查和fast patch時(shí)hipac在吞吐方面沒有什么優(yōu)勢。但在新建方面還是有明顯優(yōu)勢的，當(dāng)規(guī)則達(dá)到3000條時(shí)，性能可提高10倍。

作者: remaper 時(shí)間: 2013-06-26 15:11
pywj777如果你在上海我一定請你吃飯

作者: pywj777 時(shí)間: 2013-06-26 22:00
回復(fù) 27# remaper

先謝過了，去上海的話一定聯(lián)系你

作者: Godbach 時(shí)間: 2013-06-26 22:56
回復(fù) 27# remaper

是不是這篇帖子解答了你長久以來的困惑。

作者: jxth152913 時(shí)間: 2014-01-03 17:00
請問為什么一個(gè)讀者（規(guī)則匹配）在軟中斷中可以放心的使用，不需加任何鎖。這個(gè)沒有看懂。

作者: gudong1920 時(shí)間: 2014-01-24 17:11
mark一下，學(xué)習(xí)了

作者: huqiong316 時(shí)間: 2015-08-26 19:39
mark一下~學(xué)習(xí)~

作者: 天空空2009 時(shí)間: 2015-11-19 14:32
多謝樓主奉獻(xiàn)，受益匪淺！

作者: wangwq_1989_06_ 時(shí)間: 2017-03-06 15:21
你好，你的文章太好了，話不在多在而在精，跪服的同時(shí)有個(gè)問題我懷疑下：關(guān)于iptables如何組織規(guī)則與內(nèi)核通信，個(gè)人覺得這幅圖有問題。我的理由：

（1）用戶自定義的鏈和用戶自定義鏈的規(guī)則在內(nèi)建鏈之后
（2）forward鏈之后是LOCAL_OUT
所以我覺得這張圖有問題，LOCAL_OUT沒有畫出來？??

作者: wangwq_1989_06_ 時(shí)間: 2017-03-06 15:23
你好，你的文章太好了，話不在多在而在精，跪服的同時(shí)有個(gè)問題我懷疑下：關(guān)于iptables如何組織規(guī)則與內(nèi)核通信，個(gè)人覺得這幅圖有問題。我的理由：

（1）用戶自定義的鏈和用戶自定義鏈的規(guī)則在內(nèi)建鏈之后
（2）forward鏈之后是LOCAL_OUT
所以我覺得這張圖有問題，LOCAL_OUT沒有畫出來,個(gè)人感覺應(yīng)該用戶自定義鏈在LOCAL_OUT之后，可是這幅圖卻在FORWARD之后

歡迎光臨 Chinaunix (http://72891.cn/)