本申请涉及通信,尤其涉及报文端口过滤方法、终端设备以及计算机可读存储介质。
背景技术:
::1、netfilter网络过滤模块是linux内核空间的数据包处理框架,netfilter、iptables以及ebtables组成linux平台下的包过滤防火墙。iptables用来制定网络层过滤规则,ebtables负责桥数据链路层过滤规则。2、当系统用于转发时,netfilter处理分为二层处理和三层处理两种流程,当入接口处为三层接口,则进入三层处理流程。在prerouting转发链之后,进行查路由操作。根据查询结果,如果是本机路由,则进入input链处理,如果是转发的流量,则进入forward链处理。由于三层处理流程中,只能获取到三层出接口,若报文是三层跨逻辑接口转发报文,则由于尚未获得二层物理出接口,无法进行物理接口过滤。需要结合ebtables规则实现对二层出接口的过滤,操作复杂且难以实现复杂的规则组合。技术实现思路1、本申请实施例通过提供一种报文端口过滤方法、终端设备以及计算机可读存储介质,解决了报文转发时,三层转发出接口为桥接口的二层接口过滤问题,使得可以简单的实现二三层接口的过滤。2、本申请实施例提供了一种报文端口过滤方法,所述方法包括:3、接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;4、若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;5、基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。6、可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之前,包括:7、获取接收报文的硬件设备的网口个数;8、根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域。9、可选地,所述根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域的步骤之后,包括:10、对所述入接口和所述出接口的报文互通规则进行配置;11、获取报文互通的入接口和出接口的端口号;12、在所述输入域中对入接口端口号进行标记,形成入接口标记值;以及13、在所述输出域中对出接口端口号进行标记,形成出接口标记值。14、可选地,所述基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤的步骤包括:15、根据所述入接口标记值和所述出接口标记值,确定预设报文过滤规则;16、根据所述预设报文过滤规则,对所述待转发报文进行处理,完成所述二层接口过滤。17、可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之后,包括:18、若所述出接口类型为三层物理出接口,获取所述三层物理出接口对应的出接口标记值,对所述待转发报文进行三层接口过滤。19、可选地,所述若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值的步骤包括:20、若在所述二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值,则返回匹配失败信息;21、将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。22、可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤,包括:23、基于所述待转发报文进行路由查询;24、根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型。25、可选地,所述根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型的步骤之后,包括:26、基于所述路由信息,获取下一跳网关地址;27、根据所述下一跳网关地址,在邻居表中获取mac地址;所述mac地址用于确定所述二层物理地址表。28、此外,为实现上述目的,本发明实施例还提供一种终端设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序,所述处理器执行所述报文端口过滤程序时,实现如上所述的方法。29、此外,为实现上述目的,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有报文端口过滤程序,所述报文端口过滤程序被处理器执行时,实现如上所述的方法。30、本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:31、当接收到入接口为三层物理入接口的待转发报文时,执行报文转发流程,对待转发报文进行路径决策,若根据路径决策结果确定待转发报文的出接口为二层物理出接口,在二层物理地址表中获取待转发报文对应的出接口标记值,结合待转发报文上携带的入接口标记值,对所述待转发报文进行二层接口过滤。通过入接口和出接口的标记值,对待转发报文进行二层接口过滤。使得报文转发时,可以通过简单的标记值匹配完成报文过滤,简化过滤流程。技术特征:1.一种报文端口过滤方法,其特征在于,所述方法包括:2.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之前,包括:3.如权利要求2所述的方法,其特征在于,所述根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域的步骤之后,包括:4.如权利要求1所述的方法,其特征在于,所述基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤的步骤包括:5.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之后,包括:6.如权利要求1所述的方法,其特征在于,所述若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值的步骤包括:7.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤,包括:8.如权利要求7所述的方法,其特征在于,所述根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型的步骤之后,包括:9.一种终端设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序,所述处理器执行所述报文端口过滤程序时,实现权利要求1-8任一所述的方法。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有报文端口过滤程序,所述报文端口过滤程序被处理器执行时,实现权利要求1-8任一所述的方法。技术总结本申请公开了报文端口过滤方法、终端设备以及计算机可读存储介质,该方法包括:接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。解决了报文三层转发出接口为桥接口时,二层接口过滤的问题。技术研发人员:吴宗泽,李太安,陈桂耀,肖存峰受保护的技术使用者:深圳大学技术研发日:技术公布日:2024/1/14