Linux netfilter源码分析(1)

转贴自:http://alexanderlaw.blog.hexun.com/8960896_d.html
Linux netfilter源码分析(1)
内容基本上来自两篇文章:
《Netfilter源码分析》—（独孤九贱http://www.skynet.org.cn/index.php）
《Linux Netfilter实现机制和扩展技术》——（杨沙洲 国防科技大学计算机学院）
一、   IP报文的接收到hook函数的调用
 
1.1  ip_input.c    ip_rcv()函数
以接收到的报文为例，类似的还有ip_forward(ip_forward.c)和ip_output(ip_output.c)
int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)
{
    struct iphdr *iph;   //定义一个ip报文的数据报头
    u32 len;
    if (skb->pkt_type == PACKET_OTHERHOST)
       goto drop;  //数据包不是发给我们的
    IP_INC_STATS_BH(IPSTATS_MIB_INRECEIVES); //收到数据包统计量加1
    if ((skb = skb_share_check(skb, GFP_ATOMIC)) == NULL)
   {
/* 如果数据报是共享的，则复制一个出来，此时复制而出的已经和socket脱离了关系 */
      IP_INC_STATS_BH(IPSTATS_MIB_INDISCARDS);
      goto out;
   }
   if (!pskb_may_pull(skb, sizeof(struct iphdr)))
     goto inhdr_error;  //对数据报的头长度进行检查，
 
   iph = skb->nh.iph;  //取得数据报的头部位置
  if (iph->ihl < 5 || iph->version != 4)  //版本号或者头长度不对，
    goto inhdr_error; //头长度是以4字节为单位的，所以5表示的是20字节
  if (!pskb_may_pull(skb, iph->ihl*4))
    goto inhdr_error;
 
  if (unlikely(ip_fast_csum((u8 *)iph, iph->ihl)))
     goto inhdr_error; //检查报文的检验和字段
  len = ntohs(iph->tot_len);
 if (skb->len < len || len < (iph->ihl*4))
    goto inhdr_error; //整个报文长度不可能比报头长度小
 if (pskb_tr