内核中基于netfilter的编译选项

最新推荐文章于 2023-05-06 15:15:40 发布
最新推荐文章于 2023-05-06 15:15:40 发布
阅读量6k 收藏 7
点赞数
分类专栏: linux内核 文章标签: 内核 network iptables framework networking

    转载地址:http://www.uddtm.com/server/iptables/146.html

   

    在内核配置文件中要启用一些较要的选项包括Netfilter连接跟踪、日志记录和包过滤。iptables 是通过使用由Netfilter提供的内核中的框架来建立一个策略的。

    对于2.6系列的内核来说,大多数的Netfilter编译选项都位于Networking-->Networking Options下的Network Packet Filtering Framework一节中。在Network Packet Filtering Framework中还有两个额外的配置节--Core Netfilter Configuration(核心Netfilter配置)和IP:Netfilter Configuration (IP:Netfilter配置)。

    1、核心Netfilter配置(如下的重要选项应该被启用)

        Comment match support (Comment 匹配支持)
        FTP support  (FTP协议支持)
        Length match support (数据包长度匹配支持)
        Limit match support (Limit匹配支持)
        MAC address match support (MAC地址匹配支持)
        MARK target support (MARK目标支持)
        Netfilter connection tracking support (Netfilter连接跟踪支持)
        Netfilter LOG over NFNETLINK interface (Netfilter通过NFNETLINK接口记录日志)
        Netfilter netlink interface (Netfilter netlink接口)
        Netfilter Xtables support (Netfilter Xtables支持)
        State match support (state匹配支持)
        String match support (string匹配支持)
    
    2、IP:Netfilter配置(本节需要启用的选项如下)

        ECN target support (ECN目标支持)
        Full NAT (完整NAT支持)
        IP address range match support (IP地址范围匹配支持)
        IP tables support (required for filtering/masq/NAT) (IP tables 支持,Filtering/masq/NAT需要)
        IPv4 connection tracking support (required for NAT) (IPv4连接跟踪支持,NAT需要)
        LOG target support (LOG目标支持)
        MASQUERADE target support (MASQUERADE目标支持)
        Owner match support (Owner目标支持)
        Packet filtering (包过滤支持)
        Packet mangling (包修改支持,常用于改变包的路由)
        raw table support (required for NOTRACK/TRACE) (raw表支持,NOTRACK/TRACE需要)
        Recent match support (recent匹配支持)
        REJECT target support (REJECT目标支持)
        TOS match support (TOS匹配支持)
        TOS target support (TOS目标支持)
        TTL match support (TTL匹配支持) 
        TTL target support (TTL目标支持)
        ULOG target support (ULOG目标支持)。

linux国富
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook点选取了2个作为测试钩子点。仅供参考
交叉编译nftables
youxiaojie1979的博客
07-26 1402
折腾nftables的那点事儿 (一)   最近因为一个项目,要折腾一下linux下的iptables。好久没有用这个东西了,感觉也不会有啥问题,所以连想都没想就始弄。内核选项,交叉编译iptables,移植运行后才发现。我靠~不支持了,需要用新的nftables。奶奶的,我老了,被时代所淘汰了。nfatbles是个啥,就是取代iptables的。好吧,那就弄吧,弄起来才知道,麻烦啊,尤其是移植到arm板子上。 主要涉及到以下几个方面: 交叉编译工具 内核netfilter配置 所需的组件
Linux内核模块编译方式
程序改变生活
01-07 2714
一、加入Konfig方式,make menuconfig添加 Konfig # # 802.1d Ethernet Bridging # config BRIDGE tristate "802.1d Ethernet Bridging" select LLC select STP depends on IPV6 || IPV6=n ---help--- If you say
netfilter模块编译和运行
xuwaiwai的博客
06-09 682
netfilter 模块的Makefile书写和编译过程
编译内核使tilera支持网桥和netfilter功能
飞翔de刺猬
04-09 2937
 Tilera默认情况下是不支持netfilter和网桥功能的,需要重新编译内核。由于网桥和netfilter(除netfilter架构外)都是以linux内核模块的方式使用,所以在配置内核时走了一些弯路,例如将网桥和netfilter相关的代码统统编译进linux内核,并将该内核烧写到tilera平台上,但是最终测试网桥和netfilter都不能使用。 经过多次的内核配置、编译
Linux内核--基于Netfilter内核级包过滤防火墙实现.doc
10-29
本人对网络栈的分析是基于早期版本(Linux 1.2.13),在明确了网络栈架构的前提下,上升一步分析高级版本内核的Netfilter防火墙实现原理,然后进行模块或内核编程,发一款基于包过滤的个人防火墙。 包过滤防火墙...
基于Netfilter内核态网络流量分析研究.pdf
09-06
基于Netfilter内核态网络流量分析研究.pdf
内核防火墙netfilter
11-07
在未来的2.4内核,被称为netfilter(http://netfilter. kernelnotes.org/)的防火墙以更好的结构重新构造,并实现了许多新功能,如完整的 动态NAT(2.2内核实际是多对一的"地址伪装"),基于MAC及用户的过滤,真正的...
Linux防火墙内核NetfilterIptables的分析.pdf
09-07
Linux防火墙内核NetfilterIptables的分析.pdf
Linux基于Netfilter_Iptables的防火墙研究.pdf
09-06
Linux基于Netfilter_Iptables的防火墙研究.pdf
制作linux下netfilter过滤驱动程序
Win32FanEx 的专栏
06-16 881
centos下网包过滤
C语言位域
作一个独立连续的思考者
07-30 722
引自:http://wenku.baidu.com/view/5efe35ccda38376baf1fae9a.html 这是C语言位域 ( 冒号 ) 问题 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位。例如在存放一个关量时,只有0和1 两种状
netfilter实现包过滤
weixin_42785235的博客
03-24 575
如果运行成功,会发生如下现象:1.无法下载“.exe”文件;2.通过命令dmesg可以查看到自己在网页端登录时输入的账号和密码 #include <linux/module.h> #include <linux/kernel.h> #include <linux/skbuff.h> #include <linux/in.h> #include <linux/ip.h> #include <linux/tcp.h> #includ..
linux 内核基于netfilter编译选项
whatday的专栏
10-02 2009
内核配置文件要启用一些较要的选项包括Netfilter连接跟踪、日志记录和包过滤。iptables是通过使用由Netfilter提供的内核的框架来建立一个策略的。 对于2.6系列的内核来说,大多数的Netfilter编译选项都位于Networking-->NetworkingOptions下的NetworkPacketFilteringFramework一节。在...
NetFilter的NAT机制(IP地址的分类)
Edidaughter的博客
09-30 671
SNAT和DNAT
linux怎么通过添加netfilter 规则,过滤接收到的不是发给自己的udp 数据
最新发布
cean1024的专栏
05-06 241
在该模块,可以注册一个 Netfilter 钩子函数,该函数将在数据包进入网络协议栈的特定阶段被调用。在这个钩子函数,可以检查数据包的源地址和目的地址,并根据规则决定是否放行或丢弃该数据包。在该函数,首先检查数据包是否为 UDP 数据包,然后再检查目的端口是否为 1234。否则,接受该数据包。在编写完钩子函数后,需要将其注册到内核。可以使用 make 命令编译模块,并使用 insmod 命令加载模块。在这个示例,我们注册了一个钩子函数。,该函数将在数据包进入网络协议栈的。
Linuxnetfilter模块编程实践
badman250的专栏
05-16 3171
上篇我们看了netfilter的实现机制,这篇来实现下netfilter模块实操一把。为了注册一个钩子,需要填充nf_hook_ops结构体,包括优先级,钩子地点和钩子函数。然后调用nf_register_hook()函数。1.   数据结构  struct nf_hook_ops {        /* User fills in from here down. */        nf_hoo...
Linux内核配置(5)
浪迹一生
10-08 2504
PCMCIA卡(主要用于笔记本)支持 一些老的PCMCIA卡使用16位的CardBus,需要相应软件支持。 [] Load CIS updates from userspace (EXPERIMENTAL) (NEW) -*- 32-bit CardBus support 32 位PCMCIA 总线支持 通常也叫PCMCIA II 总线。下面的是不同厂家的PCMCIA 芯片的驱动支持
Linux内核Netfilter架构介绍
热门推荐
瑞风轻拂
09-08 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
基于Netfilter从零始写一个Linux防火墙
03-04
好的,我会用文回答您的问题。 Netfilter是Linux内核的一个框架,用于在数据包传输时进行处理。它可以被用来实现防火墙、网络地址转换(NAT)等功能。下面是一个基于Netfilter的Linux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 2. 允许本机向外发起的连接通过: ``` iptables -A OUTPUT -p tcp -dport 80 -j ACCEPT ``` 3. 阻止来自指定IP地址的数据包: ``` iptables -A INPUT -s 192.168.1.1 -j DROP ``` 4. 允许本机的所有数据包通过: ``` iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ``` 以上是一个简单的基于Netfilter的Linux防火墙示例。您可以根据需要进行调整和修改。注意,使用防火墙时要小心,以免误阻止或允许不必要的数据包,导致网络故障或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值