Linux实现Cisco风格ACL之空想

本来上周末想实现一个Cisco风格的Linux版本ACL，也就是说将rule绑定在Interface上而不是HOOK点，然而发现net_device的private data非常不好用，就把半拉子工作仍在那里了...其实即使实现了Cisco风格的ACL，还是基于Netfilter实现的，然而FORWARD上的ruleset就简单多了，变成了下面这个样子：

static unsigned intipt_hook(unsigned int hook,     struct sk_buff *skb,     const struct net_device *in,     const struct net_device *out,     int (*okfn)(struct sk_buff *)){   struct ruleset *rs = (struct ruleset *)get_obj(in->private, IDX_RULESET);   if(rs == NULL)      return NF_ACCEPT;   return rule_XXX(rs, hook, skb, in, out, okfn);}

这样效率的提供就不依赖iptables规则的配置顺序了，如果该接口上没有配置ruleset，则直接就ACCEPT了，将Interface从普通match提升到了一个ruleset宿主的位置。
       Cisco以接口的入站和出站方向控制所有流量，而Netfilter则在协议栈的5个位置控制所有流量，接口对于它来讲仅仅是一个match。无论在配置，在理解还是在效率上，Cisco的方式都更胜一筹，这一点上，Cisco真正的将用户配置接口和内部实现相分离了，实际上，Cisco IOS的内部实现估计也是类似Netfiler的那种。Netfilter就很不同，它的实现和iptables用户接口(ipt只是Netfilter的用户接口之一，很多其它机制也是Netfilter实现的，比如ipvs等)基本是一致的，初学者不得不彻底理解这5个HOOK，理解Chain，table等概念才能写出正确高效的规则。ipt的使用者无法集中精力去针对数据包做规则，不得不花费大量时间和精力来摆平ipt的chain，table，顺序之间的关系......