本来上周末想实现一个Cisco风格的Linux版本ACL,也就是说将rule绑定在Interface上而不是HOOK点,然而发现net_device的private data非常不好用,就把半拉子工作仍在那里了...其实即使实现了Cisco风格的ACL,还是基于Netfilter实现的,然而FORWARD上的ruleset就简单多了,变成了下面这个样子:
static unsigned int
ipt_hook(unsigned int hook,
struct sk_buff *skb,
const struct net_device *in,
const struct net_device *out,
int (*okfn)(struct sk_buff *))
{
struct ruleset *rs = (struct ruleset *)get_obj(in->private, IDX_RULESET);
if(rs == NULL)
return NF_ACCEPT;
return rule_XXX(rs, hook, skb, in, out, okfn);
}
这样效率的提供就不依赖iptables规则的配置顺序了,如果该接口上没有配置ruleset,则直接就ACCEPT了,将Interface从普通match提升到了一个ruleset宿主的位置。
Cisco以接口的入站和出站方向控制所有流量,而Netfilter则在协议栈的5个位置控制所有流量,接口对于它来讲仅仅是一个match。无论在配置,在理解还是在效率上,Cisco的方式都更胜一筹,这一点上,Cisco真正的将用户配置接口和内部实现相分离了,实际上,Cisco IOS的内部实现估计也是类似Netfiler的那种。Netfilter就很不同,它的实现和iptables用户接口(ipt只是Netfilter的用户接口之一,很多其它机制也是Netfilter实现的,比如ipvs等)基本是一致的,初学者不得不彻底理解这5个HOOK,理解Chain,table等概念才能写出正确高效的规则。ipt的使用者无法集中精力去针对数据包做规则,不得不花费大量时间和精力来摆平ipt的chain,table,顺序之间的关系......