ink机制
上面提到,使用IP Queue的用户态防火墙程序是通过NetLink机制和内核协议栈进行通信的。NetLink是Linux系统特有的、基于Socket编程接口的通信机制。
它是一个面向数据报文的服务,并提供“路由操作(NETLINK_ROUTE)”、“IP Queue操作(NETLINK_FIREWALL)”和“用户态ARP表操作(NETLINK_ARPD)”等通信协议。在创建IPQueue NetLink Socket时,将采用如下系统调用:
fd = socket(PF_NETLINK, SOCK_RAW, NETLINK_FIREWALL);
这里,PF_NETLINK指明要创建NetLink Socket;SOCK_RAW指明采用原始套接字,也可以采用SOCK_DGRAM,因为NetLink机制的实现并不区分SOCK_RAW和SOCK_DGRAM;参数NETLINK_FIREWALL则指明通信协议采用IP Queue。
既然IP Queue是基于NetLink的,其消息格式自然也遵从NetLink的规范。NetLink消息由两部分组成:消息头(struct nlmsghdr)和数据负载(data payload)。
消息头的页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
