歡迎來到Linux教程網
設為首頁 加入收藏
Linux教程網
Linux教程網
Linux教程網
Linux教程網 >> Linux基礎 >> 關於Linux >> linux的SNAT和DNAT目標函數

linux的SNAT和DNAT目標函數

日期:2017/3/3 16:00:40   编辑:關於Linux

SNAT、DNAT目標函數

前面在ip_nat_fn()函數中調用的ip_nat_rule_find()用來查找NAT規則,執行規則的動作,規則目標不是SNAT就是DNAT,該目標的具體實現在net/ipv4/netfilter/ip_nat_rule.c中。

不論是SNAT還是DNAT規則,其目標函數最終都是調用ip_nat_setup_info()函數來建立連接的NAT info信息。

net/ipv4/netfilter/ip_nat_rule.c:

/* Source NAT */

static unsigned int ipt_snat_target(struct sk_buff **pskb,

unsigned int hooknum,

const struct net_device *in,

const struct net_device *out,

const void *targinfo,

void *userinfo)

{

struct ip_conntrack *ct;

enum ip_conntrack_info ctinfo;

IP_NF_ASSERT(hooknum == NF_IP_POST_ROUTING);

ct = ip_conntrack_get(*pskb, &ctinfo);

/* Connection must be valid and new. */

IP_NF_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED));

IP_NF_ASSERT(out);

// 只有新連接才進行NAT info的建立

// targinfo實際是struct ip_nat_multi_range結構指針,記錄轉換後的

// 地址、端口等信息, 一個NAT規則可以轉換到可以轉換到多個地址端口上

return ip_nat_setup_info(ct, targinfo, hooknum);

}

static unsigned int ipt_dnat_target(struct sk_buff **pskb,

unsigned int hooknum,

const struct net_device *in,

const struct net_device *out,

const void *targinfo,

void *userinfo)

{

struct ip_conntrack *ct;

enum ip_conntrack_info ctinfo;

#ifdef CONFIG_IP_NF_NAT_LOCAL

IP_NF_ASSERT(hooknum == NF_IP_PRE_ROUTING

|| hooknum == NF_IP_LOCAL_OUT);

#else

IP_NF_ASSERT(hooknum == NF_IP_PRE_ROUTING);

#endif

ct = ip_conntrack_get(*pskb, &ctinfo);

/* Connection must be valid and new. */

IP_NF_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED));

// 只有新連接才進行NAT info的建立

// targinfo實際是struct ip_nat_multi_range結構指針,記錄轉換後的

// 地址、端口等信息, 一個NAT規則可以轉換到可以轉換到多個地址端口上

return ip_nat_setup_info(ct, targinfo, hooknum);

}

......

int ip_nat_rule_find(struct sk_buff **pskb,

unsigned int hooknum,

const struct net_device *in,

const struct net_device *out,

struct ip_conntrack *ct,

struct ip_nat_info *info)

{

int ret;

ret = ipt_do_table(pskb, hooknum, in, out, &nat_table, NULL);

if (ret == NF_ACCEPT) {

// 數據接受但有沒有初始化,分配一個NULL binding,實際不作任何修改,也就是

// 說對該包沒有相應的NAT規則對於,不需要進行NAT處理

if (!(info->initialized & (1 nat.info;

// 如果info->initialized不為0,表示已經初始化過了

int in_hashes = info->initialized;

MUST_BE_WRITE_LOCKED(&ip_nat_lock);

IP_NF_ASSERT(hooknum == NF_IP_PRE_ROUTING

|| hooknum == NF_IP_POST_ROUTING

|| hooknum == NF_IP_LOCAL_OUT);

IP_NF_ASSERT(info->num_manips initialized & (1 tuplehash[IP_CT_DIR_ORIGINAL].tuple) */

// 根據連接的回應方向的tuple進行反轉得到原始方向的tuple

invert_tuplepr(&orig_tp,

&conntrack->tuplehash[IP_CT_DIR_REPLY].tuple);

#if 0

{

unsigned int i;

DEBUGP("Hook %u (%s), ", hooknum,

HOOK2MANIP(hooknum)==IP_NAT_MANIP_SRC ? "SRC" : "DST");

DUMP_TUPLE(&orig_tp);

DEBUGP("Range %p: ", mr);

for (i = 0; i rangesize; i++) {

DEBUGP("%u:%s%s%s %u.%u.%u.%u - %u.%u.%u.%u %u - %u\n",

i,

(mr->range.flags & IP_NAT_RANGE_MAP_IPS)

? " MAP_IPS" : "",

(mr->range.flags

& IP_NAT_RANGE_PROTO_SPECIFIED)

? " PROTO_SPECIFIED" : "",

(mr->range.flags & IP_NAT_RANGE_FULL)

? " FULL" : "",

NIPQUAD(mr->range.min_ip),

NIPQUAD(mr->range.max_ip),

mr->range.min.all,

mr->range.max.all);

}

}

#endif

do {

// 找一個未使用的進行了轉換後的tuple結構參數,mr是NAT規則確定的要轉換後的

// 地址端口參數, new_tuple保持轉換後的連接原始方向的tuple

if (!get_unique_tuple(&new_tuple, &orig_tp, mr, conntrack,

hooknum)) {

DEBUGP("ip_nat_setup_info: Can't get unique for %p.\n",

conntrack);

return NF_DROP;

}

#if 0

DEBUGP("Hook %u (%s) %p\n", hooknum,

HOOK2MANIP(hooknum)==IP_NAT_MANIP_SRC ? "SRC" : "DST",

conntrack);

DEBUGP("Original: ");

DUMP_TUPLE(&orig_tp);

DEBUGP("New: ");

DUMP_TUPLE(&new_tuple);

#endif

/* We now have two tuples (SRCIP/SRCPT/DSTIP/DSTPT):

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45494.htm

the original (A/B/C/D') and the mangled one (E/F/G/H').

We're only allowed to work with the SRC per-proto

part, so we create inverses of both to start, then

derive the other fields we need. */

/* Reply connection: simply invert the new tuple

(G/H/E/F') */

// 建立連接地址轉換後的反向的tuple,這使netfilter能自動對連接的反方向數據

// 進行處理,也就是說定義了一條SNAT規則後,並不需要再定義一條DNAT規則來處理

// 返回的數據,netfilter已經自動處理了

invert_tuplepr(&reply, &new_tuple);

/* Alter conntrack table so it recognizes replies.

If fail this race (reply tuple now used), repeat. */

// 修改連接參數使能正確識別返回數據,如果reply已經對應一條連接

// ip_conntrack_alter_reply()函數返回0,表示要繼續修改轉換後的參數值

} while (!ip_conntrack_alter_reply(conntrack, &reply));

/* FIXME: We can simply used existing conntrack reply tuple

here --RR */

/* Create inverse of original: C/D/A/B' */

invert_tuplepr(&inv_tuple, &orig_tp);

/* Has source changed?. */

// 源NAT

if (!ip_ct_tuple_src_equal(&new_tuple, &orig_tp)) {

/* In this direction, a source manip. */

// 連接正方向是SNAT

info->manips[info->num_manips++] =

((struct ip_nat_info_manip)

{ IP_CT_DIR_ORIGINAL, hooknum,

IP_NAT_MANIP_SRC, new_tuple.src });

IP_NF_ASSERT(info->num_manips manips[info->num_manips++] =

((struct ip_nat_info_manip)

{ IP_CT_DIR_REPLY, opposite_hook[hooknum],

IP_NAT_MANIP_DST, orig_tp.src });

IP_NF_ASSERT(info->num_manips manips[info->num_manips++] =

((struct ip_nat_info_manip)

{ IP_CT_DIR_ORIGINAL, hooknum,

IP_NAT_MANIP_DST, reply.src });

IP_NF_ASSERT(info->num_manips manips[info->num_manips++] =

((struct ip_nat_info_manip)

{ IP_CT_DIR_REPLY, opposite_hook[hooknum],

IP_NAT_MANIP_SRC, inv_tuple.src });

IP_NF_ASSERT(info->num_manips master)

info->helper = LIST_FIND(&helpers, helper_cmp, struct ip_nat_helper *,

&reply);

/* It's done. */

// 完成該方向的NAT info初始化

info->initialized |= (1 bysource.conntrack);

replace_in_hashes(conntrack, info);

} else {

place_in_hashes(conntrack, info);

}

return NF_ACCEPT;

}

關於Linux

vim下ctags+taglist環境的搭建

隨著學習的深入,我們所看代碼越來越龐大,這令我們在查找某個函數時特別頭疼,下來我們一起學習下vim下的還將

rsync服務安裝和配置

Ubuntu11.04上tftp服務的配置

ubuntu以及ubuntu類linux系統的運行級別的理解(關閉圖形界面)

ssh已建立信任仍然提示輸入密碼問題的原因

Linux系統中管理用戶和用戶組的相關配置文件簡介

Debian定時任務管理cron設置

Linux中通過SSH跳轉服務器報 Host key verification failed問題解決

unix/linux進程詳解——代碼

Linux教程網

在Linux系統中使用logwatch讀取日志的詳細教程

Linux 操作系統和許多應用程序會創建特殊的文件來記錄它們的運行事件,這些文件通常被稱作“日志&

centos下rpm包及命令學習

Linux中用於進程顯示的top命令使用實例集錦

Linux應用程序後台運行

Linux如何使用RRDtool

Linux下如何恢復丟失的inittab文件

Ubuntu 7.10裡Compiz Fusion 的粘住邊緣與彈性窗口小沖突的解決

嵌入式Linux開發環境搭建

Linux網關模式下將有線LAN和無線LAN共享網段實現局域網內互聯

相关文章
Linux基礎知識Linux入門Linux技術Linux教程Linux服務器關於Linux
文章推荐
Sed與AWK入門教程之Sed篇

Sed與AWK入門教程之Sed篇&nbs
查看Linux下系統資源占用常用命令

虛擬機oracle virtualbox 上安裝centos6.5

准備工作:先下載虛擬機oracle vi
容器之namespace

1. 介紹簡單玩了下Linux kern
热点聚焦

linux SVN安裝及配置圖解教程

嵌入式Linux系統圖形及圖形用戶界面

在ubuntu中添加新IP

linux協議棧之鏈路層上的數據傳輸(向網橋添加接口(四))

linux 線程 進程經典文章

邏輯卷管理器LVM簡介

linux文件名亂碼轉換基礎教程

KailLinux滲透測試教程之網絡掃描和嗅探工具Nmap

linux中頁緩沖和塊緩沖之概念

遇到一個telnet到Solaris失敗的問題

Copyright © Linux教程網 All Rights Reserved