netfilter与用户空间通信
2009-10-21 13:34 cesc711 阅读(944) 评论(0) 编辑 收藏 举报在做p2p流控的时候,学习到了linux用户空间与内核通信的方法。在http://www.ibm.com/developerworks/cn/linux/l-netlink/index.html一文中详细介绍了几种方法。我们的内核态环境是有用户上下文的,所以采用的是copy_from_user()/copy_to_user()方法实现内核态和用户态的数据拷贝。但是这两个函数会引发阻塞,所以只能用在有用户上下文的内核环境中,不能用在硬/软中断中。一般将这两个特殊的函数用在系统调用之中,此类函数在使用中穿梭于用户态和内核态。工作原理如下图:
其中相关的系统调用需要用户自行编写并载入内核。
具体实现是:在内核中用nf_register_sockopt函数注册一个nf_sockopt_ops的结构体,比如说:
static struct nf_sockopt_ops nso = {
.pf = PF_INET, // 协议族
.set_optmin = 常数, // 定义最小set命令字
.set_optmax = 常数+N, // 定义最大set命令字
.set = do_nso_set, // 定义set处理函数
.get_optmin = 常数, // 定义最小get命令字
.get_optmax = 常数+N, // 定义最大get命令字
.get = do_nso_get, // 定义set处理函数
};
.pf = PF_INET, // 协议族
.set_optmin = 常数, // 定义最小set命令字
.set_optmax = 常数+N, // 定义最大set命令字
.set = do_nso_set, // 定义set处理函数
.get_optmin = 常数, // 定义最小get命令字
.get_optmax = 常数+N, // 定义最大get命令字
.get = do_nso_get, // 定义set处理函数
};
其中命令字不能与系统已有的命令字重复。set/get处理函数是直接由用户空间的set/getsockopt函数调用的。
从这个图里面可以看出来,这种方法的本质就是调用是copy_from_user()/copy_to_user()方法完成内核和用户通信的,这样其实效率不高,多用在传递控制选项信息,不适合用做大量数据的传输。
另外一种方法是用netlink套接字,暂时没有用到,就不做介绍了。
