In welcher Reihenfolge gehen Netfilter-Hooks ein, wenn sie alle NF_IP_PRI_LAST oder NF_IP_PRI_FIRST angeben?

Question

Wenn ich ein paar Kernel-Module schreiben, und in allen von ihnen angeben, sollten sie die ersten (oder letzten) Netfilter Hook genannt werden, in welcher Reihenfolge werden sie tatsächlich aufgerufen?

netfilter_ops_out.hook  = hook_func_out; 
netfilter_ops_out.pf  = PF_INET; 
netfilter_ops_out.hooknum = NF_IP_LOCAL_OUT; 
netfilter_ops_out.priority = NF_IP_PRI_FIRST; 

ret = nf_register_hook(&netfilter_ops_out); 
if (0 > ret) { 
    printk("Error registering netfilter hook: %d\n", ret); 
    return ret; 
}  

netfilter_ops_in.hook  = hook_func_in; 
netfilter_ops_in.pf  = PF_INET; 
netfilter_ops_in.hooknum = NF_IP_LOCAL_IN; 
netfilter_ops_in.priority = NF_IP_PRI_LAST; 

ret = nf_register_hook(&netfilter_ops_in); 
if (0 > ret) { 
    printk("Error registering netfilter hook: %d\n", ret); 
    return ret; 
}  

Experimentell, machte ich zwei Module, insmod ed sie in den beiden verschiedenen Ordnungen - aber sie gaben das gleiche Ergebnis, was bedeutet, dass eine Unterordnung ist, die nicht nur ist ‚first come first serve‘. (Es ist auch nicht alphabetisch ...)

Answer 1

Von den nf_register_hook() - Codes können wir wissen, dass, wenn zwei Hooks zu denselben nf_hooks [reg-> pf] [reg-> hooknum] gehören, die Hook-Ausführungssequenz ist nach Priorität entschieden. Wenn die Priorität auch gleich ist, lautet die Reihenfolge "Wer zuerst kommt, mahlt zuerst". Siehe folgende Codes:

int nf_register_hook(struct nf_hook_ops *reg) 
{ 
    struct nf_hook_ops *elem; 
    int err; 

    err = mutex_lock_interruptible(&nf_hook_mutex); 
    if (err < 0) 
     return err; 
    list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) { 
     if (reg->priority < elem->priority) 
      break; 
    } 
    list_add_rcu(&reg->list, elem->list.prev); 
    mutex_unlock(&nf_hook_mutex); 
#if defined(CONFIG_JUMP_LABEL) 
    static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]); 
#endif 
    return 0; 
}