Linux实现Cisco风格ACL之空想

本来上周末想实现一个Cisco风格的Linux版本ACL,也就是说将rule绑定在Interface上而不是HOOK点,然而发现net_device的private data非常不好用,就把半拉子工作仍在那里了...其实即使实现了Cisco风格的ACL,还是基于Netfilter实现的,然而FORWARD上的ruleset就简单多了,变成了下面这个样子:

static unsigned int
ipt_hook(unsigned int hook,
     struct sk_buff *skb,
     const struct net_device *in,
     const struct net_device *out,
     int (*okfn)(struct sk_buff *))
{
   struct ruleset *rs = (struct ruleset *)get_obj(in->private, IDX_RULESET);
   if(rs == NULL)
      return NF_ACCEPT;
   return rule_XXX(rs, hook, skb, in, out, okfn);
}

这样效率的提供就不依赖iptables规则的配置顺序了,如果该接口上没有配置ruleset,则直接就ACCEPT了,将Interface从普通match提升到了一个ruleset宿主的位置。

       Cisco以接口的入站和出站方向控制所有流量,而Netfilter则在协议栈的5个位置控制所有流量,接口对于它来讲仅仅是一个match。无论在配置,在理解还是在效率上,Cisco的方式都更胜一筹,这一点上,Cisco真正的将用户配置接口和内部实现相分离了,实际上,Cisco IOS的内部实现估计也是类似Netfiler的那种。Netfilter就很不同,它的实现和iptables用户接口(ipt只是Netfilter的用户接口之一,很多其它机制也是Netfilter实现的,比如ipvs等)基本是一致的,初学者不得不彻底理解这5个HOOK,理解Chain,table等概念才能写出正确高效的规则。ipt的使用者无法集中精力去针对数据包做规则,不得不花费大量时间和精力来摆平ipt的chain,table,顺序之间的关系......

原文链接: https://blog.csdn.net/dog250/article/details/8957218

欢迎关注

微信关注下方公众号,第一时间获取干货硬货;公众号内回复【pdf】免费获取数百本计算机经典书籍;

也有高质量的技术群,里面有嵌入式、搜广推等BAT大佬

    Linux实现Cisco风格ACL之空想

原创文章受到原创版权保护。转载请注明出处:https://www.ccppcoding.com/archives/408914

非原创文章文中已经注明原地址,如有侵权,联系删除

关注公众号【高性能架构探索】,第一时间获取最新文章

转载文章受原作者版权保护。转载请注明原作者出处!

(0)
上一篇 2023年4月26日 上午11:06
下一篇 2023年4月26日 上午11:07

相关推荐