Linux netfilter源码分析(5)

五、 ipt_do_table()函数，数据包的过滤
 
5.1          ipt_entry 相关结构  ip_tables.h
ipt_entry结构前面有过了，再看一遍
struct ipt_entry
{
struct ipt_ip ip;
/* 所要匹配的报文的IP头信息 */
unsigned int nfcache;
/* 位向量，标示本规则关心报文的什么部分，暂未使用 */
u_int16_t target_offset;
/* target区的偏移，通常target区位于match区之后，而match区则在ipt_entry的末尾；
初始化为sizeof(struct ipt_entry)，即假定没有match */
u_int16_t next_offset;
/* 下一条规则相对于本规则的偏移，也即本规则所用空间的总和，
初始化为sizeof(struct ipt_entry)+sizeof(struct ipt_target)，即没有match */
unsigned int comefrom;
/* 位向量，标记调用本规则的HOOK号，可用于检查规则的有效性 */
struct ipt_counters counters;
/* 记录该规则处理过的报文数和报文总字节数 */
unsigned char elems[0];
/*target或者是match的起始位置 */
}
 
ipt_ip结构  ip_tables.h
struct ipt_ip {
      struct in_addr src, dst;         /* 来源/目的地址 */
      struct in_addr smsk, dmsk;     /* 来源/目的地址的掩码 */
 
      char iniface[IFNAMSIZ], outiface[IFNAMSIZ];    /*输入输出网络接口*/
      unsigned char iniface_mask[IFNAMSIZ], outiface_mask[IFNAMSIZ];
 
      u_int16_t proto;    /* 协议, 0 = ANY */
     
      u_int8_t flags;      /* 标志字段 */
      u_int8_t invflags;    /* 取反标志 */
};
 
 
5.2  ipt_do_table函数   ip_tables.c
 
unsigned int
ipt_do_table(struct sk_buff **pskb,
           unsigned int hook,
           const struct net_device *in,
    &