iptables 源碼分析

albcamus

原帖由 獨(dú)孤九賤 于 2005-12-7 10:32 發(fā)表


我也沒(méi)辦法去啊，我把字打出來(lái)，一發(fā)表，它就成那樣了

發(fā)表的時(shí)候有個(gè)選項(xiàng)，就在文字編輯框的下面：禁止Smilies，打上對(duì)號(hào)就好了

思一克

iptables 僅僅是USER空間的一個(gè)改變（添加，刪除等操作）KERNEL中的規(guī)則表的SHELL。

規(guī)則一旦建立，真正起防火墻作用的東西都是內(nèi)核中的代碼，和iptables程序就沒(méi)有關(guān)系了。

獨(dú)孤九賤

原帖由 思一克 于 2005-12-7 10:53 發(fā)表
iptables 僅僅是USER空間的一個(gè)改變（添加，刪除等操作）KERNEL中的規(guī)則表的SHELL。

規(guī)則一旦建立，真正起防火墻作用的東西都是內(nèi)核中的代碼，和iptables程序就沒(méi)有關(guān)系了。

這個(gè)是當(dāng)然啊……可是文章本來(lái)就是分析iptables的代碼啊，而不是netfilter的代碼。

回頭寫完這個(gè)，有時(shí)間我會(huì)寫分析netfilter代碼的文章的，不過(guò)他涉及到linux網(wǎng)絡(luò)堆棧太多的東東，不好詳述，涉及面太廣了。

mq110

我最近正在研究 netfilter架構(gòu) 提供的鉤子函數(shù)。實(shí)現(xiàn)個(gè)簡(jiǎn)單的包過(guò)慮防火墻 感覺(jué)還是很簡(jiǎn)單的。。
現(xiàn)在有個(gè)問(wèn)題。內(nèi)核模塊如何和用戶進(jìn)程通信？ 我有個(gè)辦法可以采取共享內(nèi)存。不過(guò)共享內(nèi)存方式要有互斥操作。內(nèi)核有內(nèi)核的信號(hào)量操作接口。用戶態(tài)有用戶態(tài)的信號(hào)量的操作方式。我有如下問(wèn)題：
1/ 能否用一種公用的信號(hào)量的操作方式？？
2/ iptables采取何種方式與內(nèi)核模塊通信？？

platinum

個(gè)人感覺(jué)，iptables 僅僅是一個(gè) userspace 而已，真正核心部分在 netfilter 中
分析一下 ip_conntrack_ftp.c、ip_nat_ftp.c、ipt_mac.c、ipt_state.c 才是正道 ^_^

獨(dú)孤九賤

原帖由 mq110 于 2005-12-7 12:17 發(fā)表
我最近正在研究 netfilter架構(gòu) 提供的鉤子函數(shù)。實(shí)現(xiàn)個(gè)簡(jiǎn)單的包過(guò)慮防火墻 感覺(jué)還是很簡(jiǎn)單的。。
現(xiàn)在有個(gè)問(wèn)題。內(nèi)核模塊如何和用戶進(jìn)程通信？ 我有個(gè)辦法可以采取共享內(nèi)存。不過(guò)共享內(nèi)存方式要有互斥操作。內(nèi)核 ...

內(nèi)核有接口的：
1、在獲取規(guī)則的部份，iptc_init中的getsockopt有這方面的代碼；
2、設(shè)置的話，后面我說(shuō)添加規(guī)則時(shí)會(huì)提到的；

mq110

原帖由 獨(dú)孤九賤 于 2005-12-7 12:32 發(fā)表


內(nèi)核有接口的：
1、在獲取規(guī)則的部份，iptc_init中的getsockopt有這方面的代碼；
2、設(shè)置的話，后面我說(shuō)添加規(guī)則時(shí)會(huì)提到的；

其實(shí)我想得到的答案是一個(gè) 通用的方式。。內(nèi)核模塊與用戶進(jìn)程通信。我想還是共享內(nèi)存最快。不過(guò)我現(xiàn)在不知道如何互斥。

[ 本帖最后由 mq110 于 2005-12-7 12:46 編輯 ]

獨(dú)孤九賤

原帖由 platinum 于 2005-12-7 12:23 發(fā)表
個(gè)人感覺(jué)，iptables 僅僅是一個(gè) userspace 而已，真正核心部分在 netfilter 中
分析一下 ip_conntrack_ftp.c、ip_nat_ftp.c、ipt_mac.c、ipt_state.c 才是正道 ^_^

呵呵，理是如此了，不過(guò)呢，了解iptables的核心代碼，對(duì)于明白netfilter的許多細(xì)節(jié)有很大的幫助。因?yàn)閚etfilter的架構(gòu)是很容易了解的，但是要明白每一處細(xì)節(jié)，每一句代碼，還是有很多工作要做的。所以，我打算先寫一篇關(guān)于iptables的，然后再寫一篇netfilter的……只是要過(guò)年了，業(yè)務(wù)多了，事情多了，時(shí)間少了……

獨(dú)孤九賤

原帖由 mq110 于 2005-12-7 12:34 發(fā)表


其實(shí)我想得到的答案是一個(gè) 通用的方式。。內(nèi)核與用戶模塊通信。我想還是共享內(nèi)存最快。不過(guò)我現(xiàn)在不知道如何互斥。

linux下的共享內(nèi)存很簡(jiǎn)單呀，比win還好用。我現(xiàn)在CGI的身份認(rèn)證就是用的它了�；コ獾脑挘�你可以參考《unix環(huán)境高級(jí)編譯》

mq110

原帖由 獨(dú)孤九賤 于 2005-12-7 12:39 發(fā)表


linux下的共享內(nèi)存很簡(jiǎn)單呀，比win還好用。我現(xiàn)在CGI的身份認(rèn)證就是用的它了�；コ獾脑挘�你可以參考《unix環(huán)境高級(jí)編譯》

內(nèi)核進(jìn)程和用戶進(jìn)程 共享內(nèi)存了 你如何實(shí)現(xiàn)互斥？？？

你說(shuō)的<<Unix環(huán)境高級(jí)編程>>只是提到了System V 共享內(nèi)存的方式。他是用戶態(tài)的。。不是我說(shuō)的內(nèi)核進(jìn)程和用戶進(jìn)程共享內(nèi)存的方式。

[ 本帖最后由 mq110 于 2005-12-7 12:47 編輯 ]