netfilter源码学习(4)——NAT处理(1)

2022-03-17 19:27:28

作者:gfree.wind@gmail.com
博客:blog.focus-linux.net   linuxfocus.blog.chinaunix.net 
 
本文的copyleft归gfree.wind@gmail.com所有,使用GPL发布,可以*拷贝,转载。但转载请保持文档的完整性,注明原作者及原链接,严禁用于任何商业用途。
======================================================================================================
在前面的netfilter源码学习中,我学习了netfilter的基本框架,其这部分代码看起来还是比较简单的。后来在zhangyd6这位朋友的提示下,想起自己居然遗漏了netfilter作为防火墙的主要功能NAT。这部分代码应该还比较有意思。今天开始看这部分代码。

注:tuple即为五元组,源地址,目的地址,源端口,目的端口,和协议。

NAT规则的源代码位于net/ipv4/netfilter/nf_nat_rule.c中。在函数nf_nat_rule_init注册了两个NAT的target。
  1.     ret = xt_register_target(&ipt_snat_reg);
  2.     if (ret != 0)
  3.         goto unregister_table;

  5.     ret = xt_register_target(&ipt_dnat_reg);
  6.     if (ret != 0)
  7.         goto unregister_snat;
以ipt_snat_reg为例:
  1. static struct xt_target ipt_snat_reg __read_mostly = {
  2.     .name        = "SNAT",
  3.     .target        = ipt_snat_target, //SNAT target的执行函数
  4.     .targetsize    = sizeof(struct nf_nat_multi_range_compat),
  5.     .table        = "nat",
  6.     .hooks        = (1 NF_INET_POST_ROUTING) | (1 NF_INET_LOCAL_IN),
  7.     .checkentry    = ipt_snat_checkentry, //添加SNAT规则的检查函数
  8.     .family        = AF_INET,
  9. };
先看简单的ipt_snat_checkentry
  1. static int ipt_snat_checkentry(const struct xt_tgchk_param *par)
  2. {
  3.     /* 
  4.     这个为NAT的范围,即IP,port等。虽然该结构体的名字为multi,但是目前只支持一个range
  5.     该结构体的含义看其定义很明显,这里就说明了
  6.     */
  7.     const struct nf_nat_multi_range_compat *mr = par->targinfo;
     
     //只支持一个范围。
  1.     /* Must be a valid range */
  2.     if (mr->rangesize != 1) {
  3.         pr_info("SNAT: multiple ranges no longer supported\n");
  4.         return -EINVAL;
  5.     }
  6.     return 0;
  7. }

Ok,那么下面进入关键的函数ipt_snat_target
  1. static unsigned int
  2. ipt_snat_target(struct sk_buff *skb, const struct xt_action_param *par)
  3. {
  4.     struct nf_conn *ct;
  5.     enum ip_conntrack_info ctinfo;
  6.     const struct nf_nat_multi_range_compat *mr = par->targinfo;

     /* SNAT只能应用于POST_ROUTING和LOCAL IN */
  1.     NF_CT_ASSERT(par->hooknum == NF_INET_POST_ROUTING ||
  2.          par->hooknum == NF_INET_LOCAL_IN);

     /* 
     得到conn track的信息,conn track为netfilter的一个基础。留在以后学习。
     目前我们只需要知道netfilter保存了数据包的连接信息。
     */
  1.     ct = nf_ct_get(skb, &ctinfo);

  3.     /* Connection must be valid and new. */
  4.     /* 
  5.     这里对conn进行了验证。
  6.     要做SNAT,必须是新建的连接——很明显的道理。
  7.     但是有的7层应用,可能需要多条相关的conn,这时就需要IP_CT_RELATED。
  8.     */
  9.     NF_CT_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED ||
  10.              ctinfo == IP_CT_RELATED IP_CT_IS_REPLY));
  11.     NF_CT_ASSERT(par->out != NULL);

  13.     return nf_nat_setup_info(ct, &mr->range[0], IP_NAT_MANIP_SRC);
  14. }
进入nf_nat_setup_inifo
  1. unsigned int
  2. nf_nat_setup_info(struct nf_conn *ct,
  3.          const struct nf_nat_range *range,
  4.          enum nf_nat_manip_type maniptype)
  5. {
  6.     struct net *net = nf_ct_net(ct);
  7.     struct nf_conntrack_tuple curr_tuple, new_tuple;
  8.     struct nf_conn_nat *nat;
  9.     int have_to_hash = !(ct->status & IPS_NAT_DONE_MASK);

  11.     /* nat helper or nfctnetlink also setup binding */
  12.     /* 
  13.     对于netfilter的nf_conn,其使用一个struct nf_ct_ext的结构来保存各种extension信息,如NAT。
  14.     这里尝试从ct中获得nat。
  15.     注意ct中可以保存多个extension
  16.     */
  17.     nat = nfct_nat(ct);
  18.     if (!nat) {
  19.         /* 
  20.         没有NAT的extension信息,那么就申请一个extension结构并保存在ct中
  21.         */
  22.         nat = nf_ct_ext_add(ct, NF_CT_EXT_NAT, GFP_ATOMIC);
  23.         if (nat == NULL) {
  24.             pr_debug("failed to add NAT extension\n");
  25.             return NF_ACCEPT;
  26.         }
  27.     }

  29.     NF_CT_ASSERT(maniptype == IP_NAT_MANIP_SRC ||
  30.          maniptype == IP_NAT_MANIP_DST);
  31.     BUG_ON(nf_nat_initialized(ct, maniptype));

  33.     /* What we've got will look like inverse of reply. Normally
  34.      this is what is in the conntrack, except for prior
  35.      manipulations (future optimization: if num_manips == 0,
  36.      orig_tp =
  37.      conntrack->tuplehash[IP_CT_DIR_ORIGINAL].tuple) */
  38.     /* 
  39.     这里要注意一点:通过reply方向的tuple信息,来得到当前的tuple信息,即发送方向的tuple。
  40.     那么为什么不直接使用ct的IP_CT_DIR_ORIGINAL的tuple信息呢。
  41.     根据上面的注释所说,一般情况下可以使用ORIGINAL方向的tuple信息。但是如果num_manips不为0,
  42.     那么original方向的tuple信息就不能使用。因为original的信息被修改了??
  43.     */
  44.     nf_ct_invert_tuplepr(&curr_tuple,
  45.              &ct->tuplehash[IP_CT_DIR_REPLY].tuple);

     /* 
     得到SNAT后的tuple。get_unique_tuple留在后面学习。
     */
  1.     get_unique_tuple(&new_tuple, &curr_tuple, range, ct, maniptype);

  3.     if (!nf_ct_tuple_equal(&new_tuple, &curr_tuple)) {
  4.         /* SNAT后的tuple与之前的tuple不等,即tuple发生了变化 */
  5.         struct nf_conntrack_tuple reply;

  7.         /* Alter conntrack table so will recognize replies. */
  8.         /* tuple变化了,所以需要更新conntrack中的REPLY方向的tuple */
  9.         nf_ct_invert_tuplepr(&reply, &new_tuple);
  10.         nf_conntrack_alter_reply(ct, &reply);

  12.         /* Non-atomic: we own this at the moment. */
  13.         if (maniptype == IP_NAT_MANIP_SRC)
  14.             ct->status |= IPS_SRC_NAT;
  15.         else
  16.             ct->status |= IPS_DST_NAT;
  17.     }

  19.     /* Place in source hash if this is the first time. */
  20.     /* 
  21.     如注释所说,第一次做NAT时将,ORIGINAL方向的tuple加入到hash表中。
  22.     虽然这里只是将tuple加入到hash表中,但是实际上我们可以从tuple得到conntrack结构。
  23.     不知道以后会不会有这样的操作?
  24.     */
  25.     if (have_to_hash) {
  26.         unsigned int srchash;

  28.         srchash = hash_by_src(net, nf_ct_zone(ct),
  29.                  &ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
  30.         spin_lock_bh(&nf_nat_lock);
  31.         /* nf_conntrack_alter_reply might re-allocate exntension aera */
  32.         nat = nfct_nat(ct);
  33.         nat->ct = ct;
  34.         hlist_add_head_rcu(&nat->bysource,
  35.                  &net->ipv4.nat_bysource[srchash]);
  36.         spin_unlock_bh(&nf_nat_lock);
  37.     }

  39.     /* It's done. */
  40.     if (maniptype == IP_NAT_MANIP_DST)
  41.         set_bit(IPS_DST_NAT_DONE_BIT, &ct->status);
  42.     else
  43.         set_bit(IPS_SRC_NAT_DONE_BIT, &ct->status);

  45.     return NF_ACCEPT;
  46. }
明天再看get_unique_tuple,另外,似乎不把conn track搞定,看这部分代码会有困惑。我来看看conn track,决定先研究一下哪个

上一篇:【原】spring jar 下载


下一篇:【原】杀掉oracle僵死进程