linux IP_QUEUE机制应用层编程

Linux内核在Netfilter框架的基础上提供了IP Queue机制，从而使得基于用户态的防火墙开发成为可能。从而可以在用户态对报文内容进行分析，同时可以给出对这个报文的处理意见，也可以修改报文。

简单介绍一下NF中各个钩子（hook）函数对数据包处理的返回值，即该函数告诉内核对该数据包的处理意见。

NF_DROP： 丢弃该报文，释放所有与该报文相关的资源；

NF_ACCEPT： 接受该报文，并继续处理；

NF_STOLEN： 该报文已经被HOOK函数接管，协议栈无须继续处理；

NF_QUEUE： 将该报文传递到用户态去做进一步的处理；

NF_REPEAT： 再次调用本HOOK函数。

当HOOK处理函数返回值为NF_QUEUE时，内核协议栈将通过IP Queue机制把当前报文传递到用户态，由用户态的应用程序进行处理。这样，只要能够在相应的HOOK点上返回NF_QUEUE值，就可以将符合要求的报文传送到用户态去做进一步对报文行处理。随后，用户态程序会将处理后的报文以及对报文的处理意见（ACCEPT，DROP等）传递给内核协议栈。内核协议栈就会按照用户态对报文的处理意见将报文做接受、丢弃等处理。整个处理的过程就相当于一个用户态的防火墙，所有数据包的实质性处理都放在用户态进行。这样，即使是不具有深入内核知识的开发人员，也可以开发出适应一定应用场合的用户态防火墙。

 

基于以上的介绍可以大致讲一下应用层编程实现防火墙的流程：内核和应用层之间的通信以及报文的传输采用netlink套接字来实现。用户态可以通过IPTABLES来决定哪一类报文将要发送到应用层（采用iptables的QUEUE任务，如iptables -t mangle -A FORWARD  -j QUEUE,则所有匹配到这条规则的报文都将通过IP_QUEUE发送到用户空间），而应用层通过对报文的分析和处理最终返回一个处理意见给内核，返回的值同上面的hook函数返回值一样，可以是其中的一种。

 

下面是一个简单的应用层获获取内核报文的实现：