Linux桥转发经过的netfilter钩子点

news2024/12/26 10:46:30

你是否也有这样的疑问,当我们路由器局域内的下挂设备,是怎么互相访问的呢。假设我的路由器当前的网段是192.168.1.1,有一台PC有线接入,IP地址为 192.168.1.142 ,一台手机WiFi接入,IP地址为192.168.1.223,示意图如下:

此时PC给手机发送一个ping(icmp)报文,那么这个报文在我们linxu内核协议栈是怎么样的一个流程呢。那么就要提到一个概念,桥转发。

桥转发:在链路层,根据报文的目的MAC地址进行报文转发,我们也叫二层转发。进行二层转发的一般叫网桥(bridge), 进行二层转发的设备可以是一台设备,比如我们的交换机,而我们这里的桥转发,就是软件实现的交换机。

每个桥内都会维护一张转发表,转发表现包含如下信息:

port: 该设备连接在路由器上的哪个端口,也可以理解为接在哪个interface口,对于我们WiFi设备来说,可能是wlan0,wlan1等也就是2.4G或者5G,有线接入的设备的话可能是eth0.X,  不同的网络设备可能有所差别。

addr:设备的mac地址

is local: yes表示是否是本机,no表示不是本机

ageing timer: 设备的老化时间,当我的设备拔掉网线,或者断开WiFi的时候,这里的老化时间就会增加,达到一定阈值就会删除表项(FDB表),不同设备时间有差别,这个是Linux内核实现,可以修改;

FDB表:即二层MAC地址表,用于二层转发,当某个端口收到一个数据帧时,会根据我们的FDB表转发出去报文,就是我们上面用命令brctl  showmacs br-lan 查看的那个表。

对于我们的路由转发(三层转发, 根据IP地址来转发),在netfilter框架,会有五个钩子点,可以分为:

1.送入本机

2.从本机发出

3.从本机转发

这三点经过的钩子点是不同的,在我们桥转发,也会有这样的钩子点;那么我们桥转发经过的钩子点有哪些呢

直接上代码测试:

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/ip.h>
#include <linux/netdevice.h>
#include <linux/skbuff.h>
#include <linux/if_arp.h>
#include <linux/if_ether.h>
#include <linux/netfilter_bridge/ebtables.h>
#include <uapi/linux/netfilter_bridge.h>
#include <linux/in_route.h>
#include <net/ip.h>
#include <linux/proc_fs.h>
#include <linux/fs.h>

static unsigned int
test_nf_pre_routing(void *priv, struct sk_buff *skb,
	    const struct nf_hook_state *state)
{
	u_int8_t smac[ETH_ALEN] = {0};
	u_int8_t dmac[ETH_ALEN] = {0};
    struct ethhdr *ethhdr = NULL;
	struct iphdr *iph = NULL;
	static int count = 0;

    ethhdr = eth_hdr(skb);
	iph = ip_hdr(skb);
    if (!ethhdr)
        return NF_ACCEPT;
    
    memcpy(dmac, ethhdr->h_dest, ETH_ALEN);
	memcpy(smac, ethhdr->h_source, ETH_ALEN);
	
    if (!skb->dev)
        return NF_ACCEPT;

	if (iph->protocol == IPPROTO_ICMP) {
			printk("<%s:%d:%p>, dev=%s, source mac = %02X:%02X:%02X:%02X:%02X:%02X, destination mac = %02X:%02X:%02X:%02X:%02X:%02X\n",
        	__FUNCTION__, __LINE__, skb, skb->dev->name, smac[0], smac[1], smac[2], smac[3], smac[4], smac[5],
		    dmac[0], dmac[1], dmac[2], dmac[3], dmac[4], dmac[5]);
			printk("icmp(ping) packet %pI4--->%pI4 count = %d\n", 
            &iph->saddr, &iph->daddr, ++count);
	
   
	}

	return NF_ACCEPT;
}

static unsigned int
test_nf_local_in(void *priv, struct sk_buff *skb,
	     const struct nf_hook_state *state)
{
	u_int8_t smac[ETH_ALEN] = {0};
	u_int8_t dmac[ETH_ALEN] = {0};
    struct ethhdr *ethhdr = NULL;
	struct iphdr *iph = NULL;
	static int count = 0;

    ethhdr = eth_hdr(skb);
	iph = ip_hdr(skb);
    if (!ethhdr)
        return NF_ACCEPT;
    
    memcpy(dmac, ethhdr->h_dest, ETH_ALEN);
	memcpy(smac, ethhdr->h_source, ETH_ALEN);
	
    if (!skb->dev)
        return NF_ACCEPT;

	if (iph->protocol == IPPROTO_ICMP) {	
			printk("<%s:%d:%p>, dev=%s, source mac = %02X:%02X:%02X:%02X:%02X:%02X, destination mac = %02X:%02X:%02X:%02X:%02X:%02X\n",
        	__FUNCTION__, __LINE__, skb, skb->dev->name, smac[0], smac[1], smac[2], smac[3], smac[4], smac[5],
		    dmac[0], dmac[1], dmac[2], dmac[3], dmac[4], dmac[5]);
			 printk("icmp(ping) packet %pI4--->%pI4 count = %d\n", 
            &iph->saddr, &iph->daddr, ++count);
	}

	return NF_ACCEPT;
}

static unsigned int
test_nf_forward(void *priv, struct sk_buff *skb,
	     const struct nf_hook_state *state)
{
	u_int8_t smac[ETH_ALEN] = {0};
	u_int8_t dmac[ETH_ALEN] = {0};
    struct ethhdr *ethhdr = NULL;
	struct iphdr *iph = NULL;
	static int count = 0;

    ethhdr = eth_hdr(skb);
	iph = ip_hdr(skb);
    if (!ethhdr)
        return NF_ACCEPT;
    
    memcpy(dmac, ethhdr->h_dest, ETH_ALEN);
	memcpy(smac, ethhdr->h_source, ETH_ALEN);
	
    if (!skb->dev)
        return NF_ACCEPT;

	if (iph->protocol == IPPROTO_ICMP) {
			printk("<%s:%d:%p>, dev=%s, source mac = %02X:%02X:%02X:%02X:%02X:%02X, destination mac = %02X:%02X:%02X:%02X:%02X:%02X\n",
        	__FUNCTION__, __LINE__, skb, skb->dev->name, smac[0], smac[1], smac[2], smac[3], smac[4], smac[5],
		    dmac[0], dmac[1], dmac[2], dmac[3], dmac[4], dmac[5]);
			 printk("icmp(ping) packet %pI4--->%pI4 count = %d\n", 
            &iph->saddr, &iph->daddr, ++count);
	}
    
	return NF_ACCEPT;
}

static unsigned int
test_nf_local_out(void *priv, struct sk_buff *skb,
	     const struct nf_hook_state *state)
{   
	u_int8_t smac[ETH_ALEN] = {0};
	u_int8_t dmac[ETH_ALEN] = {0};
    struct ethhdr *ethhdr = NULL;
	struct iphdr *iph = NULL;
	static int count = 0;

    ethhdr = eth_hdr(skb);
	iph = ip_hdr(skb);
    if (!ethhdr)
        return NF_ACCEPT;
    
    memcpy(dmac, ethhdr->h_dest, ETH_ALEN);
	memcpy(smac, ethhdr->h_source, ETH_ALEN);
	
    if (!skb->dev)
        return NF_ACCEPT;

	if (iph->protocol == IPPROTO_ICMP) {
			printk("<%s:%d:%p>, dev=%s, source mac = %02X:%02X:%02X:%02X:%02X:%02X, destination mac = %02X:%02X:%02X:%02X:%02X:%02X\n",
        	__FUNCTION__, __LINE__, skb, skb->dev->name, smac[0], smac[1], smac[2], smac[3], smac[4], smac[5],
		    dmac[0], dmac[1], dmac[2], dmac[3], dmac[4], dmac[5]);
			 printk("icmp(ping) packet %pI4--->%pI4 count = %d\n", 
            &iph->saddr, &iph->daddr, ++count);
	}

	return NF_ACCEPT;
}

static unsigned int
test_nf_post_routing(void *priv, struct sk_buff *skb,
	     const struct nf_hook_state *state)
{
	u_int8_t smac[ETH_ALEN] = {0};
	u_int8_t dmac[ETH_ALEN] = {0};
    struct ethhdr *ethhdr = NULL;
	struct iphdr *iph = NULL;
	static int count = 0;

    ethhdr = eth_hdr(skb);
	iph = ip_hdr(skb);
    if (!ethhdr)
        return NF_ACCEPT;
    
    memcpy(dmac, ethhdr->h_dest, ETH_ALEN);
	memcpy(smac, ethhdr->h_source, ETH_ALEN);
	
    if (!skb->dev)
        return NF_ACCEPT;

	if (iph->protocol == IPPROTO_ICMP) {
			printk("<%s:%d:%p>, dev=%s, source mac = %02X:%02X:%02X:%02X:%02X:%02X, destination mac = %02X:%02X:%02X:%02X:%02X:%02X\n",
        	__FUNCTION__, __LINE__, skb, skb->dev->name, smac[0], smac[1], smac[2], smac[3], smac[4], smac[5],
		    dmac[0], dmac[1], dmac[2], dmac[3], dmac[4], dmac[5]);
			 printk("icmp(ping) packet %pI4--->%pI4 count = %d\n", 
            &iph->saddr, &iph->daddr, ++count);
	}
	return NF_ACCEPT;
}

static const struct nf_hook_ops test_nf_ops[] = {
	{
		.hook		= test_nf_pre_routing,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_PRE_ROUTING,
		.priority	= NF_BR_PRI_FILTER_OTHER,
	},
	{
		.hook		= test_nf_local_in,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_LOCAL_IN,
		.priority	= NF_BR_PRI_FILTER_OTHER,
	},
	{
		.hook		= test_nf_forward,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_FORWARD,
		.priority	= NF_BR_PRI_FILTER_OTHER,
	},
	{
		.hook		= test_nf_local_out,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_LOCAL_OUT,
		.priority	= NF_BR_PRI_FILTER_OTHER,
	},
	{
		.hook		= test_nf_post_routing,
		.pf		= NFPROTO_BRIDGE,
		.hooknum	= NF_BR_POST_ROUTING,
		.priority	= NF_BR_PRI_FILTER_OTHER,
	},
};

static int __init test_module_init(void)
{
    printk("bridge...init\n");
	nf_register_net_hooks(&init_net, test_nf_ops, ARRAY_SIZE(test_nf_ops));
    return 0;
}

static void test_module_exit(void)
{
	printk("bridge....exit\n");
    nf_unregister_net_hooks(&init_net, test_nf_ops, ARRAY_SIZE(test_nf_ops));
    return;
}

module_init(test_module_init);
module_exit(test_module_exit);
MODULE_LICENSE("GPL v2");

注意:openwrt要开ebtables 那部分的内核代码netfilter部分要看编译到没,我这里直接是打开ebtables工具和内核桥转发netfilter宏,就可以生效了。

用PC给手机发送一个ICMP报文

路由器上打印如下:

从上面打印我们看到从本机转发的报文经过的钩子点为:

NF_BR_PRE_ROUTING->NFPROTO_BRIDGE->NFPROTO_BRIDGE

换成用PC给路由器发送一个ICMP报文

路由器上打印如下:

从上面的打印我们看到发往本机的报文经过的钩子点为:

NF_BR_PRE_ROUTING->NFPROTO_BRIDGE->NFPROTO_BRIDGE

路由器给PC发一个ICMP报文

路由器上打印如下:

从上面的打印我们可以看到从本机发出去的报文经过的钩子点为:

NF_BR_PRE_ROUTING->NFPROTO_BRIDGE->NFPROTO_BRIDGE

理解了上面转发会经过的钩子点后,那么我们平常工作如何去定位问题呢,不可能每次都去编版本,对于我们桥转发,给我们提供了ebtables工具,也就是ebtalbes命令行去下发这些规则。

ebtables简单命令使用如下:

//查看我们nat表上挂的规则,可以看到报文个数
ebtables  -t  nat  -L --Lc

清除表上的规则可以用:

//-t 指定表,不加默认是filter表
ebtables -t nat  -F

假如我当前PC的IP地址为:192.168.1.142,需要确认我们协议栈的包是否送出去了,那么规则应该怎么下发呢?

我们可以先确认ICMP包是否进了PREROUTING, 规则如下:

//在 nat表的PREROUTING链加规则,如果源IP是192.168.1.142的ICMP允许通过
 ebtables  -t  nat  -A PREROUTING -p IPv4 --ip-proto icmp --ip-sr
c 192.168.1.142 -j ACCEPT

再确认是否从POSTROUTING发出去,规则如下:

//在nat表的POSTROUING链,源IP是192.168.1.142的ICMP我们允许通过
ebtables  -t  nat  -A POSTROUTING -p IPv4 --ip-proto icmp --ip-sr
c 192.168.1.142 -j ACCEPT

添加完,我们查看nat表的ebtables规则如下:

我的手机是IP为192.168.1.223,我ping一下手机,给手机发一个ICMP包

查看nat表的规则:

从上面的图,我们可以看到,我的PREROUTING和POSTROUTING链上的pcnt为1,也就是我的ICMP都经过了这两个钩子点

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2033538.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

FRTIMP_YTFRB_WEB

FRTIMP_YTFRB_WEB 林业资源交易信息管理平台

基于深度生物学引导辅助学习的多模态数据整合和插补来改进基因型-表型预测

DeepGAMI: deep biologically guided auxiliary learning for multimodal integration and imputation to improve genotype–phenotype prediction 代码&#xff1a;https://github.com/daifengwanglab/DeepGAMI abstract&#xff1a; background&#xff1a;基因型与疾病表…

【数据结构之C语言实现栈】

1.栈 的 概 念 与 结 构 栈&#xff1a; 一种特殊的线性表&#xff0c;其只允许在固定的一端进行插入和删除元素操作。进行数据的插入和删除操作的一端称为栈顶&#xff0c;另一…

【代码随想录训练营第42期 Day26打卡 贪心Part1 - LeetCode 455.分发饼干 376. 摆动序列 53. 最大子序和

目录 一、贪心 二、题目与题解 题目一&#xff1a;455.分发饼干 题目链接 题解&#xff1a;排序双指针贪心 题目二&#xff1a;376. 摆动序列 题目链接 题解&#xff1a;贪心 题目三&#xff1a;53. 最大子序和 题目链接 题解1&#xff1a;暴力&#xff08;失败&…

立体相机镜面重建(二)双目立体镜面重建

使用双目相机&#xff0c;配合镜子、屏幕&#xff0c;可以直接获得镜面的三维数据&#xff0c;无需先验知识。因此使用双目镜面重建方式对镜子表面进行重建。 &#xff08;一&#xff09;重建步骤 使用左相机光线法来计算镜面点&#xff1a; 1.取一个像素点&#xff0c;计算其…

linux中安装达梦DM8

目录 场景&#xff1a; 安装准备 安装 新建 dmdba 用户 修改文件打开最大数 创建实例保存目录、归档保存目录、备份保存目录。 挂载镜像&#xff0c;命令行安装 ​编辑 配置环境变量 配置实例-命令行方式初始化实例 命令行注册服务 命令行启停数据库 数据库连接测试…

计算机网络部分基础知识

网络协议的意义 单台主机内部的设备之间需要发送和接收消息&#xff0c;那么和相隔很远的两台主机之间发送消息有什么区别呢&#xff1f;两台主机通过网络发送消息&#xff0c;相当于两个网卡设备之间进行通信&#xff0c;最大的区别在于距离变长了。而距离变长带来的结果就是&…

Gartner发布中国MDR托管检测和响应服务市场指南:中国不同类型的机构对MDR的需求对比

中国企业正越来越多地受益于提供现代安全运营中心功能的托管检测和响应服务。中国首席信息官和安全领导者应利用这项研究来了解中国的托管检测和响应市场及其动态。 主要发现 根据 CYBERSECURITY REVIEWS 的《2023 年中国网络安全运营市场研究报告》&#xff0c;超过 97%的中国…

【数据结构】六、图:4.图的遍历(深度优先算法DFS、广度优先算法BFS)

三、基本操作 文章目录 三、基本操作1.图的遍历1.1 深度优先遍历DFS1.1.1 DFS算法1.1.2 DFS算法的性能分析1.1.3 深度优先的生成树和生成森林 1.2 广度优先遍历BFS1.2.1 BFS算法1.2.2 BFS算法性能分析1.2.3 广度优先的生成树和生成森林 1.3 图的遍历与图的连通性 1.图的遍历 图…

synergy A problem occurred during installation, try installing.

系统&#xff1a;macos m2 解决方式&#xff1a; 在 ~/Library/LaunchAgents/ 目录下, 新建 com.symless.synergy3.plist 文件&#xff0c;并chown为当前用户。初始化成功

Latex或者word里面mathtype类型的数学公式如何变成mathematica里面的形式

详细步骤如下&#xff1a; 第一步&#xff1a;Latex里面的公式复制粘贴到word里面&#xff0c;转变成mathtype类型的数学公式&#xff08;若已经是word里面mathtype类型的数学公式&#xff0c;这一步可以省略&#xff09;&#xff0c;如下&#xff1a; 第二步&#xff1a;将ma…

探索SD NAND配套测试工具:工程师的得力助手

在快速发展的存储技术领域&#xff0c;SD NAND因其高速读写、低功耗和高可靠性而广受青睐。然而&#xff0c;对于工程师来说&#xff0c;验证SD NAND的性能并非易事&#xff0c;为了便于工程师验证&#xff0c;MK 米客方德开发设计了SD NAND配套测试工具。 一、SD NAND转接板简…

深度学习-----------------多个输入和输出通道

目录 多个输入通道多个输出通道多个输入和输出通道11卷积层二维卷积层总结多输入多输出通道代码实现多输入单输出通道代码实现多输出通道代码实现该部分代码 多输入多输出通道总代码多个输入和输出通道用途 11卷积该部分总代码 问题 多个输入通道 彩色图像可能有RGB三个通道 转…

【AWS账号解绑关联】Linker账号解绑重新关联注意事项

文章目录 一、来自客户疑问二、提交工单获取帮助三、最佳操作说明四、最佳操作步骤五、参考资料活动上新 一、来自客户疑问 将Linker账号&#xff0c;从一个组织中退出&#xff0c;重新关联到新的组织中&#xff0c;这解绑到重新完成新的关联绑定期间会在Linker账号中的账单中…

Markdown编写及语法

这里写自定义目录标题 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题&#xff0c;有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants 创建一个自定义列表如何创建一个…

Linux 驱动入门(2)—— LED驱动

目录 前言 一、编译替换内核和设备树 二、GPIO子系统 1.引脚编号 2.基于sysfs操作引脚 3.GPIO子系统的函数 三、LED驱动编写 前言 在这里主要记录学习韦东山老师Linux驱动课程的笔记&#xff0c;韦东山老师的驱动课程讲的非常好&#xff0c;想要学习驱动的小伙伴可以去…

mp3转换工具哪个好用?不影响音质的转换器分享

暑假里&#xff0c;#大学生暑期生活日常#总是充满活力&#xff0c;有的同学会选择通过音乐来放松心情&#xff0c;享受生活。 但有时候&#xff0c;我们下载的音乐文件格式并不总是我们想要的&#xff0c;这时候使用mp3格式转换器在线转换音频就是最好的选择。 接下来&#x…

【使用教程】CiA402中的“原点回归模式”和“轮廓位置模式”搭配使用操作实例

使用“原点回归模式”配合“轮廓位置模式”是步进或伺服电机使用过程中最常用的方法&#xff0c;其对于提高自动化生产线的准确性和效率具有重要意义&#xff0c;本文将对正常使用控制电机中发送的命令及顺序进行简要说明。 说明&#xff1a;“原点回归”以“堵转回原点”的方式…

RT-DETR中的CCFF结构代码详解(Pytorch)

代码链接 lyuwenyu/RT-DETR: [CVPR 2024] Official RT-DETR (RTDETR paddle pytorch), Real-Time DEtection TRansformer, DETRs Beat YOLOs on Real-time Object Detection. &#x1f525; &#x1f525; &#x1f525; (github.com)https://github.com/lyuwenyu/RT-DETR 模…

计算机网络408考研 2015

计算机网络408考研2015年真题解析_哔哩哔哩_bilibili 1 1线路编码(NRZ,NRZI,8B/10B,Manchester)与加扰_nrz编码-CSDN博客 1 1 11