linux netfilter 分析,Linux Kernel Netfilter Helper 分析

linux netfilter 与helper相关的hook:

点击(此处)折叠或打开

{

.hook = ipv4_conntrack_in,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

.priority = NF_IP_PRI_CONNTRACK,

}

{

.hook = ipv4_conntrack_help,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_POST_ROUTING|NF_IP_LOCAL_IN,

.priority = NF_IP_PRI_CONNTRACK_HELPER,

}

第一个数据包到来的流程：

ipv4_conntrack_in --> nf_conntrack_in --> resolve_normal_ct --> nf_ct_get_tuple --> nf_conntrack_find_tuple(1) --> init_conntrack --> nf_ct_find_expection(2) --> nf_ct_helper_find(3) --> nf_ct_helper_ext_add(4)

(1) 查找tuple五元组，因为是第一个连接，所有查找不到

(2) 查找期待连接，因为没有添加过期待连接，所有也查找不到

(3) 查找注册的helper，这里以tftp为例，找到了tftp注册的helper

(4) 将找到的helper添加到ct结果体中

在之后的ipv4_conntrack_help的hook函数中，会执行ct->helper->help函数，这个help函数tftp_help会添加一个exp到全局期待连接表中

当期待的链接的第一个数据包到达的时候，会在(2)中找到，从而将新的连接与之前的链接联系起来。