å‰ç½®ã
プロのためのLinuxシステム・ネットワーク管理技術ã®ç¬¬2ç« ï¼ˆiptablesã®è§£èª¬ï¼‰ã«ã€
・FORWARDãƒã‚§ãƒ¼ãƒ³ã«ã‚ˆã‚‹ãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°å‡¦ç†ã®å‰å¾Œã«ãƒ‘ケットã®ãƒ«ãƒ¼ãƒ†ã‚£ãƒ³ã‚°å‡¦ç†ãŒå…¥ã‚‹
ã¨ã®è¨˜è¿°ãŒã‚ã‚‹ã®ã§ã™ãŒã€
・FORWARDチェーンの後にルーティング処理がありません
ã¨ã®ã”指摘をã„ãŸã ãã¾ã—ãŸã€‚
çµè«–を言ã†ã¨ã€ç§ã®å‹˜é•ã„ã§ã€ã”指摘ã®é€šã‚Šã€ãƒ«ãƒ¼ãƒ†ã‚£ãƒ³ã‚°å‡¦ç†ã¯FORWARDãƒã‚§ãƒ¼ãƒ³ã«å…¥ã‚‹å‰ï¼ˆPREROUTINGãƒã‚§ãƒ¼ãƒ³ã®å¾Œï¼‰ã«ã™ã¹ã¦å®Œäº†ã—ã¦ãŠã‚Šã€FORWARDãƒã‚§ãƒ¼ãƒ³ã‚’抜ã‘ãŸãƒ‘ケットã¯ã€ãã®ã¾ã¾ã€POSTROUTINGãƒã‚§ãƒ¼ãƒ³ã«é€ã‚Šè¾¼ã¾ã‚Œã¾ã™ã€‚
ãŠè©«ã³ã‚’å…¼ãã¦è©²å½“部分ã®ã‚«ãƒ¼ãƒãƒ«ã‚½ãƒ¼ã‚¹ã‚’解説ã—ã¦ãŠãã¾ã™ã€‚m(_ _)m
#書ç±ã®æ–¹ã¯ã€2刷ã®ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã§ä¿®æ£ã™ã‚‹ã‚ˆã†ã«ã—ã¾ã™ã€‚
å‰æ知è˜
ã¾ãšã€å‰æ知è˜ã‚’2ã¤ã»ã©ã€‚
・Linux Kernelã®L2/L3スタックãŒæ‰±ã†å€‹ã€…ã®ãƒ‘ã‚±ãƒƒãƒˆæƒ…å ±ã¯ã€åŸºæœ¬çš„ã«ã™ã¹ã¦ã€æ§‹é€ 体「sk_buff *skbã€ã«æŠ¼ã—è¾¼ã¾ã‚Œã¦ã„ã¾ã™ã€‚L2/L3スタックã¯ã€å€‹ã€…ã®ãƒ‘ケットã«ã¤ã„ã¦ã€ã“ã®æ§‹é€ 体をã„ã˜ã‚Šå›žã—ã¦ã„ãã“ã¨ã§ã€ãƒ‘ケットé€å—ä¿¡ã«ä¼´ã†å‡¦ç†ã‚’実施ã—ã¦ãã¾ã™ã€‚
・iptables(netfilter)ã®ãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°å‡¦ç†ã¯ã€NF_HOOK()マクãƒã‹ã‚‰å‘¼ã³å‡ºã•ã‚Œã¾ã™ã€‚
å—信パケットãŒè»¢é€ã•ã‚Œã‚‹ã¾ã§
外部ã‹ã‚‰å—ä¿¡ã—ãŸãƒ‘ケットã®sk_buffã¯ã€ã¾ãšip_rcv()ã§å‡¦ç†ã•ã‚Œã¾ã™ã€‚
/* * Main IP Receive routine. */ int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev) { ・・・ return NF_HOOK(PF_INET, NF_INET_PRE_ROUTING, skb, dev, NULL, ip_rcv_finish);
ip_rcv()ã¯ã€ãƒ‘ケットã«å¯¾ã™ã‚‹Sanity Checkã‚’è¡Œã„ã¾ã™ã€‚最後ã«ã€NF_HOOK()ã§PREROUTINGãƒã‚§ãƒ¼ãƒ³ã«ã‚ˆã‚‹ãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°ã‚’è¡Œãªã£ã¦ã‹ã‚‰ã€ip_rcv_finish()を呼ã³ã¾ã™ã€‚
static int ip_rcv_finish(struct sk_buff *skb) { ・・・ if (skb_dst(skb) == NULL) { int err = ip_route_input(skb, iph->daddr, iph->saddr, iph->tos, skb->dev); ・・・ return dst_input(skb);
ip_rcv_finish()ã¯ã€ip_route_input()を呼んã§è©²å½“パケットã®ãƒ«ãƒ¼ãƒ†ã‚£ãƒ³ã‚°å‡¦ç†ã‚’è¡Œã„ã¾ã™ã€‚具体的ã«ã¯ã€ãƒ«ãƒ¼ãƒ†ã‚£ãƒ³ã‚°ãƒ†ãƒ¼ãƒ–ルをå‚ç…§ã—ã¦ã€æ¬¡ã®è¡Œãå…ˆã«é–¢ã™ã‚‹æƒ…å ±ã‚’skbã«ã‚»ãƒƒãƒˆã—ã¾ã™ã€‚特ã«ã€ãƒãƒ¼ã‚«ãƒ«å—信パケット/フォワード対象パケットã«å¿œã˜ã¦ã€æ¬¡ã«å‘¼ã¶é–¢æ•°ã‚’決定ã—ã¦ã€skb.dst.inputã«ãã®ãƒã‚¤ãƒ³ã‚¿ã‚’æ ¼ç´ã—ã¾ã™ã€‚ãã®å¾Œã€dst_input()を呼ã³ã¾ã™ã€‚
skb.dst.inputã«æ¬¡ã®è¡Œãå…ˆã‚’æ ¼ç´ã™ã‚‹éƒ¨åˆ†ã¯ã€å°‘ã—é•·ããªã‚‹ã®ã§ã€ã‚³ãƒ¼ãƒ«ãƒ•ãƒãƒ¼ã ã‘記載ã—ã¦ãŠãã¾ã™ã€‚フォワード対象パケットã®å ´åˆã¯ã€
net/ipv4/route.c
・ip_route_input() -> ip_mkroute_input() -> __mkroute_input()
ã¨æµã‚Œã¦ã€
rth->u.dst.input = ip_forward; rth->u.dst.output = ip_output;
ã«è¡Œãã¾ã™ã€‚dst.outputã«å…¥ã£ãŸip_output()ã¯ã‚‚ã†å°‘ã—後ã§ç™»å ´ã—ã¾ã™ã€‚
ãƒãƒ¼ã‚«ãƒ«å—信パケットã®å ´åˆã¯ã€
net/ipv4/route.c
・ip_route_input() -> ip_route_input_slow()
ã¨æµã‚Œã¦ã€
rth->u.dst.input= ip_local_deliver;
ã«è¡Œãã¾ã™ã€‚
続ã„ã¦ã€dst_input()ã§ã€å®Ÿéš›ã«ã‚»ãƒƒãƒˆã—ãŸé–¢æ•°ãŒå‘¼ã³å‡ºã•ã‚Œã¾ã™ã€‚
/* Input packet from network to transport. */ static inline int dst_input(struct sk_buff *skb) { return skb_dst(skb)->input(skb); }
フォワード処ç†ã®å ´åˆã®ip_forward()を見ã¦ãŠãã¾ã™ã€‚
int ip_forward(struct sk_buff *skb) { ・・・ return NF_HOOK(PF_INET, NF_INET_FORWARD, skb, skb->dev, rt->u.dst.dev, ip_forward_finish);
ã“ã“ã§ã€NF_HOOK()ã«ã‚ˆã‚Šã€FORWARDãƒã‚§ãƒ¼ãƒ³ã®ãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°å‡¦ç†ãŒå…¥ã£ã¦ã€ãã®å¾Œã€ip_forward_finish()ã‹ã‚‰dst_output()ã¸ã¨è¡Œãã¾ã™ã€‚
static int ip_forward_finish(struct sk_buff *skb) { ・・・ return dst_output(skb); }
static inline int dst_output(struct sk_buff *skb) { return skb_dst(skb)->output(skb); }
ã“ã“ã§ã€å…ˆã«ä»•è¾¼ã‚“ã ã€
rth->u.dst.output = ip_output;
ã«ã—ãŸãŒã£ã¦ã€ip_output()ã¸ã¨è¡Œãã¾ã™ã€‚
int ip_output(struct sk_buff *skb) { ・・・ return NF_HOOK_COND(PF_INET, NF_INET_POST_ROUTING, skb, NULL, dev, ip_finish_output, !(IPCB(skb)->flags & IPSKB_REROUTED)); }
ã“ã“ã‹ã‚‰ã¯ã€ãƒãƒ¼ã‚«ãƒ«ã‹ã‚‰ã®é€å‡ºãƒ‘ケットã¨å‡¦ç†ãŒåˆæµã—ã¦ãŠã‚Šã€NF_HOOK(_COND)ã§ã€POSTROUTINGãƒã‚§ãƒ¼ãƒ³ã®ãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°ã¸ã¨å‡¦ç†ãŒé€²ã‚“ã§ã„ã¾ã™ã€‚
