????????? netfilter定義了協(xié)議棧中的檢查點和檢查點上引用的數(shù)據(jù)結(jié)構(gòu)以及對這些數(shù)據(jù)結(jié)構(gòu)引用的過程。首先看看在檢查點上引用的數(shù)據(jù)結(jié)構(gòu),如圖所看到的: ? ? ? ? ?圖2.1 nf_hoo_ops數(shù)據(jù)結(jié)構(gòu)的組織
???????? 圖中ns_hook_ops就是在檢查點上引用的結(jié)構(gòu)。每一個協(xié)議棧預(yù)先定義的8個鏈表數(shù)組用于保存這些結(jié)構(gòu),這些鏈表與協(xié)議棧中的檢查點一一相應(yīng)。在實際的應(yīng)用中。這8個鏈表并不一定都被使用。比方在IPV4中。僅僅定義了5個檢查點,分別相應(yīng)前5個鏈表。nf_hook_ops結(jié)構(gòu)例如以下: | struct nf_hook_ops{struct list_head list;nf_hookfn hook; /* 函數(shù)指針 */int pf; /* 結(jié)構(gòu)相應(yīng)的協(xié)議棧號 */int hooknum; /* 結(jié)構(gòu)相應(yīng)的檢查點號*/int priority; /* 結(jié)構(gòu)的優(yōu)先值 */}; |
????????? nf_register_hook函數(shù)將ns_hook_ops結(jié)構(gòu)注冊到這些鏈表上,鏈表的索引由結(jié)構(gòu)中hooknum指定。同一鏈表上的結(jié)構(gòu)按優(yōu)先值由小到大排列。在檢查點上引用這些結(jié)構(gòu)時,以它們在鏈表上的先后順序引用。
????????? 檢查點由宏NF_HOOK定義。在檢查點上。函數(shù)nf_hook_slow調(diào)用函數(shù)nf_iterate遍歷相應(yīng)鏈表并調(diào)用鏈表上的結(jié)構(gòu)ns_hook_ops中定義的函數(shù)。 假設(shè)結(jié)構(gòu)中的函數(shù)返回NF_ACCEPT。則繼續(xù)調(diào)用下一個結(jié)構(gòu)中的函數(shù);假設(shè)結(jié)構(gòu)中的函數(shù)返回NF_DROP或NF_STOLEN或NF_QUEUE,則將這個值返回給nf_hook_slow;假設(shè)結(jié)構(gòu)中的函數(shù)返回NF_REPEAT,則反復(fù)調(diào)用此結(jié)構(gòu)上的函數(shù)。假設(shè)到了鏈表上的最后一個結(jié)構(gòu)。則把這個結(jié)構(gòu)中函數(shù)的返回值返回給ns_hook_slow。 在ns_hook_slow中推斷nf_iterate的返回值,假設(shè)是NF_ACCEPT,則同意數(shù)據(jù)包通過,并將數(shù)據(jù)包傳遞給協(xié)議棧中的下一個函數(shù)。假設(shè)是NF_DROP。則釋放數(shù)據(jù)包,協(xié)議棧流程中斷;假設(shè)是NF_STOLEN,相同中斷協(xié)議棧的流程。可是沒有釋放這個數(shù)據(jù)包;假設(shè)是NF_QUEUE,則將這個包發(fā)送到用戶空間處理,同一時候中斷協(xié)議棧的流程。
????????? 檢查點分布在協(xié)議棧的流程中,下圖是IPV4中的檢查點:
? ? ? ? ? 圖2.2 IPV4中的檢查點
????????? 圖中檢查點的名稱例如以下:
????????? 檢查點編號 檢查點名稱 檢查點所在文件名稱
????????? 1 NF_IP_PRE_ROUTING ip_input.c?
????????? 2 NF_IP_LOCAL_IN ip_input.c?
????????? 3 NF_IP_FORWARD ip_forward.c?
????????? 4 NF_IP_POST_ROUTING ip_output.c?
????????? 5 NF_IP_LOCAL_OUT ip_output.c?
????????? 表2.1 IPV4中檢查點的名稱
????????? 圖中,ROUTE(1)處對收到的包做路由查找并推斷這個包是須要轉(zhuǎn)發(fā)的包還是發(fā)往本機上層的包,ROUTE(2)處查找發(fā)出包的路由。NF_IP_PRE_ROUTING處對全部傳入IP層的數(shù)據(jù)包進行檢查,在這之前,有關(guān)數(shù)據(jù)包的版本號、長度、校驗和等正確性檢查已經(jīng)完畢。NF_IP_LOCAL_IN對發(fā)往本機上層的數(shù)據(jù)包進行檢查。 請注意這兩個檢查點與LINUX2.2.x中檢查點的差別。在LINUX2.2.x沒有區(qū)分發(fā)往本機上層包和須要轉(zhuǎn)發(fā)的包,所以在做完地址解偽裝之后又調(diào)用了一次路由查找函數(shù)。為解偽裝之后的包查找路由。NF_IP_FORWARD處檢查須要轉(zhuǎn)發(fā)的數(shù)據(jù)包。NF_IP_POST_ROUTING處對全部向鏈路層傳遞的數(shù)據(jù)包進行檢查,注意在此處數(shù)據(jù)包的路由已經(jīng)確定。NF_IP_LOCAL_OUT對本機發(fā)出的包進行檢查,此處的路由還沒有確定。所以能夠做目的地址轉(zhuǎn)換。 實現(xiàn)某個網(wǎng)絡(luò)安全功能可能須要在多個檢查點上注冊對應(yīng)的結(jié)構(gòu),在后面的分析中我們能夠看到詳細的樣例。 ?
??????????3. iptables?
????????? iptables實現(xiàn)對規(guī)則的管理和訪問。它里面有幾個重要的數(shù)據(jù)結(jié)構(gòu)ipt_entry,ipt_match,ipt_target,ipt_table,用于構(gòu)造規(guī)則表。另一個重要的函數(shù)ipt_do_table,用于遍歷規(guī)則表并處理規(guī)則表上的結(jié)構(gòu)。
????????? ipt_entry是規(guī)則的數(shù)據(jù)結(jié)構(gòu)。例如以下:
| struct ipt_table
{struct list_head list;char name[IPT_TABLE_MAXNAMELEN];struct ipt_replace table; /* 用戶空間傳遞的規(guī)則表 */unsigned int valid_hooks; /* 有效的檢查點置位*/rwlock_t lock;struct ipt_table_info private; /* 規(guī)則表在內(nèi)核中的存儲結(jié)構(gòu) */struct module *me;
}; |
????????? 在ipt_table中。ipt_replace是用戶空間配置程序傳遞給內(nèi)核的規(guī)則表,這個規(guī)則表不能直接使用,必須先依據(jù)它里面包括的match和target的名稱將match和target轉(zhuǎn)換成在內(nèi)核注冊的match和target的指針,另一項重要的工作是檢查規(guī)則表中是否有循環(huán),假設(shè)有循環(huán),要給用戶空間的配置程序報告錯誤。轉(zhuǎn)換之后的規(guī)則表存儲在ipt_table_info中。valid_hooks指示與這個表相關(guān)的檢查點,并把相應(yīng)的位置為1。一個table中能夠有多個chain,chain分為系統(tǒng)默認的chain(與table注冊的檢查點相應(yīng))和用戶創(chuàng)建的chain。 全部的table都注冊放在一個鏈表中,而chain和rule則用偏移值next_offset連接成一個單向鏈表。 用戶空間的配置工具在加入、刪除規(guī)則之前先把內(nèi)核中的規(guī)則表取到用戶空間,然后在用戶空間做加入或刪除的動作。然后再將改動過的規(guī)則表傳遞到內(nèi)核空間,由內(nèi)核空間的函數(shù)完畢興許的轉(zhuǎn)換和檢查。
????????? 函數(shù)ipt_do_table遍歷table上的規(guī)則,事實上這個函數(shù)的指針就保存在nf_hook_ops結(jié)構(gòu)中。并在檢查點上被調(diào)用。調(diào)用這個函數(shù)時須指定它遍歷的table的指針和調(diào)用它的檢查點的值。檢查點的值用來定位table中默認chain的位置。前面我們提到。默認的chain是和檢查點相應(yīng)的,在檢查點上檢查相應(yīng)chain的規(guī)則。 遍歷規(guī)則,假設(shè)找到匹配的規(guī)則,則調(diào)用這條規(guī)則的target中定義的函數(shù),并將它的返回值返回給調(diào)用ipt_do_table的函數(shù)。假設(shè)沒有找到匹配的規(guī)則,則調(diào)用默認chain上最后一條規(guī)則的target定義的函數(shù),這個函數(shù)的返回值就是這個chain的policy。 ?
??????????4. nf_sockopt_ops?
????????? 前面提到LINUX2.4.x網(wǎng)絡(luò)安全框架支持多種協(xié)議。 規(guī)則的配置和查詢通過系統(tǒng)調(diào)用get/setsockopt完畢。 在調(diào)用這兩個系統(tǒng)調(diào)用時,不同協(xié)議使用的參數(shù)不同,所以每一個實現(xiàn)網(wǎng)絡(luò)安全功能的協(xié)議棧都定義了自己的nf_sockopt_ops結(jié)構(gòu)并把它注冊系統(tǒng)的鏈表中。在調(diào)用get/setsockopt時依據(jù)不同的參數(shù)決定引用哪一個nf_sockopt_ops來完畢真正的工作。 ?
??????????5.網(wǎng)絡(luò)安全功能點的實現(xiàn)?
????????? 在LINUX2.4.x中實現(xiàn)網(wǎng)絡(luò)安全的功能點須要做下面幾件事情:一是定義nf_hook_ops結(jié)構(gòu)。并將它注冊到netfilter中;二是定義iptable。match,target結(jié)構(gòu),并將它注冊到iptables中,假設(shè)須要還須注冊nf_sockopt_ops結(jié)構(gòu)以便處理特殊的get/setsockopt參數(shù)。下圖就是IPV4中的功能點注冊到netfilter中的nf_hook_ops結(jié)構(gòu):?
????????? 圖5.1 IPV4的功能點在各檢查點上注冊的結(jié)構(gòu)
????????? (圖中conntrack代表連接跟蹤;Filter代表包過濾;NAT(src)代表源地址轉(zhuǎn)換,NAT(dst)代表目的地址轉(zhuǎn)換;Mangle是LINUX2.4.x中新增的一個功能。完畢對數(shù)據(jù)包的檢查,可是不正確數(shù)據(jù)包做禁止或放行的推斷。與Filter不同。Mangle在LINUX2.4.18之前的實現(xiàn)中僅僅在NF_IP_PRE_ROUTING,NF_IP_LOCAL_OUT兩個檢查點上注冊了nf_hook_ops結(jié)構(gòu),在LINUX2.4.18之后的實現(xiàn)中在五個檢查點上都注冊了nf_look_ops結(jié)構(gòu)。)
????????? 圖中在每一個檢查點上,nf_hook_ops結(jié)構(gòu)按調(diào)用的先后順序從上而下排列。 能夠看到同樣的功能點在不同的檢查點上它的調(diào)用順序并不同樣。這與功能點所做的動作有關(guān)。比方在NF_IP_LOCAL_IN上假設(shè)Conntrack在Filter之前,假設(shè)數(shù)據(jù)包的狀態(tài)在Conntrack中被記錄而在Filter中被禁止,那么與這個數(shù)據(jù)包相關(guān)的狀態(tài)就不會完整。浪費了一個Conntrack的結(jié)構(gòu)。所以應(yīng)該先調(diào)用Filter,假設(shè)它的返回值是NF_ACCEPT才調(diào)用Conntrack。
????????? 功能點上注冊的ipt_table,ipt_match。ipt_target,nf_sockopt_ops結(jié)構(gòu)例如以下表所看到的:
| 功能點名稱 | ipt_table | ipt_match | ipt_target | nf_sockopt_ops | | Filter | packet_filter | ? | ? | ? | | Nat | nat_table | ? | ipt_snat_reg
ipt_dnat_reg | ? | | Conntrack | ? | ? | ? | so_getorigdst | | Mangle | packet_mangler | ? | ? | ? |
????????? 表5.1 功能點注冊的數(shù)據(jù)結(jié)構(gòu)
????????? 值得指出的是連接跟蹤(Conntrack)沒有注冊不論什么規(guī)則表。說明它不須要規(guī)則來決定是否要作連接跟蹤。同一時候它又注冊了一個nf_sockopt_ops結(jié)構(gòu)。這個結(jié)構(gòu)處理參數(shù)SO_ORIGINAL_DST,用于獲得透明代理的目的地址。 | 
