自己动手编写FreeBSD内核防火墙模块

最新推荐文章于 2024-06-23 08:00:00 发布
最新推荐文章于 2024-06-23 08:00:00 发布
阅读量3.2k 收藏 7
点赞数 2
分类专栏: FreeBSD 防火墙 文章标签: FreeBSD 防火墙 内核 PFIL_HOOKS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Illina/article/details/76021448
版权

1. 概述

ipfw是BSD系统中重要的防火墙和通信控制工具,防火墙和NAT都可以通过ipfw的相关指令来实现。

pf (包过滤Packet Filter) 是FreeBSD 系统上进行TCP/IP流量过滤和网络地址转换的软件系统。 PF 同样也能提供TCP/IP流量的整形和控制,并且提供带宽控制和数据包优先集控制。

本文不讲解pf和ipfw命令的用法,通过阅读FreeBSD内核协议栈源码,通过pf和ipfw探讨FreeBSD的防火墙实现原理

2. FreeBSD协议栈包过滤处理流程

 

熟悉Linux协议栈的朋友都知道,Linux的包过滤是通过Netfilter实现的,Netfilter5个关键节点巧妙的挂在了钩子,可以改变报文行为。

FreeBSD也有Netfilter的基本机制pfil,也有比Netfilter功能更强大的NetGraph,本文主要讲解pfilNetGraph后续会进行阐述。


FreeBSD协议栈IP报文收发包处理流程参考上图,一个数据包在几个内核变量的控制下,在协议栈的多个地方被防火墙检查。这些地方和变量如上图所示,记住包过滤的关键流程,对于理解和规划FreeBSD防火墙是很有帮助的。

在网卡注册设备时,会将ether_inputether_input函数挂在ifnet数据结构上,网卡中断会调用ether_input函数,接下来会分别被ether_demuxip_input处理,如果是需要转发的报文,会调用ip_tryforwardip_outputether_output_frame,最后调用ehter_output将报文发送至网卡。

input方向的报文,在ether_demuxip_input会调用pfipfw挂载的钩子函数,处理报文,处理的结果可以是

最低0.47元/天 解锁文章
Illina
关注
专栏目录
FreeBSD中三个常用的防火墙之一ipfw
icquu的博客
12-15 2469
IPFW本身是FreeBSD内置的,IPFW默认拒绝所有网络服务,包括对系统本身都会拒绝,所以在配置过程中一定要小心谨慎。 我们会将firewall的设定写在/etc/rc.firewall中或者写入任何一个文件中,并在/etc/rc.conf中使用firewall_script="/etc/ipfw.rules"来指定要读取的规则文件。每一条设定都是以先入为主(firstmatch wins)...
自己做一个的网络防火墙(三):安装防火墙DLL
weixin_42559271的博客
04-20 1466
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录一、 前言二、 背景知识2.1 管理系统数据的几种方式2.2 Winsock目录、协议链一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、 前言 上一篇文章文章我们已经成功编写了自己的一个简单的防火墙,接下来自然需要的就是把我们写好的DLL注入到Windows
FreeBSD的两种软件包安装方式
最新发布
大龄IT民工
06-23 1256
FreeBSD将许多系统工具捆绑作为基本系统的一部分。然而,可能还需要安装更多的第三方应用。FreeBSD提供了两种补充的技术,用来安装第三方软件:FreeBSD Ports套件(用于从源代码安装,二进制安装)以及packages(用以从预编译的二进制版本安装,类似于RPM或DEB)。这两种方法都可以用于从本地介质,或从网上直接安装。
FreeBSD防火墙(下)
weixin_34184561的博客
11-15 96
以上的说明只是man ipfw中的一小部份。如果你想要对ipfw更了解,例如如何使用ipfw来限制频宽等,建议你man ipfw。不知道您看了这么多的规则是否觉得眼花撩乱,如果不了解TCP/IP的原理,彻底了解ipfw的设定还真不容易。没关系,我们下面将举几个简单、常用的设定,这些范例应该够平常使用了。范例:我将原本的/etc/rc.firewall备份成rc.firewal...
freebsd防火墙配置
qq_38978882的博客
08-23 423
【代码】freebsd防火墙配置。
FreeBSD防火墙配置
刘元林的博客
09-02 3176
目录 简介 使能 IPFW 编辑防火墙脚本文件,增加防火墙规则集 管理防火墙服务 参考 简介 在FreeBSD里面, 有三个防火墙组件可以选择:PF、IPF、IPFW。今天我们介绍的是IPFW。 IPFILTER,也称为IPF,是一种跨平台的开放源代码防火墙,已移植到多个操作系统,包括FreeBSD,NetBSD,OpenBSD和Solaris™。 IPFILTER是一种内核防火墙和NAT机制,它可以被用户层程序控制和监视。使用ipf可以设置或删除防火墙规则,使用ipna...
FreeBSD学习随记之一 内核基本结构
JoardSpike的进化历程
05-22 324
一,内核基本结构   Run-time structure of the kernel.   1. 内核上半部     内核的“上半部”向进程提供服务,对系统调用和陷阱作出响应。     这部分软件可以当作是所有进程共享的库函数。内核上半部在特权执行模式下运行,在该模式下,它既可以访问内核数据结构,也可以访问用户级进程的上下文。   2. 内核下半部...
FreeBSD文档手册
03-19
这个文档手册是FreeBSD社区精心编写的官方参考资料,为用户提供了一个全面了解和学习FreeBSD的平台。手册中包含了从安装、配置、管理到高级技术应用的详细指南,同时附带中文注释,使得非英语母语的用户也能轻松理解...
FreeBSD Architecture Handbook
10-10
- **系统内核**:FreeBSD采用微内核架构,其中详细介绍了内核的组成部分、模块化设计以及如何扩展内核功能。 - **文件系统**:介绍FreeBSD支持的各种文件系统类型,如UFS、ZFS等,以及这些文件系统的特性和优势。 - ...
选择 FreeBSD 而不是 Linux 的技术性原因
qq_55775290的博客
05-01 623
干净的分离 在 FreeBSD 的设计方式下,不同的组件组合在一起的,处理配置和调优,以及多年来开发和改进的所有工具,使得使用 FreeBSD 是一件很特别的事情。 从 1998 年开始,我所使用的大多数 GNU/Linux 发行版,你都会有一种 “不匹配 “的感觉。 举个例子,Debian GNU/Linux 有 Debian 的做事方式。Debian 的方式是通过使用一套特定的配置管理工具和补丁来使第三方软件符合 “Debian 方式 “的设置。虽然这在某种意义上可以统一你在 Debian 发行版上的做
The.Design.and.Implementation.of.the.FreeBSD.Operating.System.2004
06-11
这有助于开发者理解如何编写和调试驱动程序,以确保硬件设备在FreeBSD上顺畅运行。 此外,书中还涉及了FreeBSD的构建系统、软件包管理、安全特性、系统调试工具等内容。例如,Ports Collection和Package System使得...
第八章 FreeBSD防火墙IPFW
pyf987337461的博客
05-09 2524
(一)介绍说明: IPFIREWALL (IPFW) 是一个由 FreeBSD 发起的防火墙应用软件, 它由 FreeBSD 的志愿者成员编写和维护。 在FreeBSD 12中,ipfw已经默认编译进内核了,它默认会有一条规则规则号为65536,是不可以删除的,这条规则会把所有流量都切断, 所以还没配置好之前,千万不要随意启动ipfw,否则就会面临无法连上远程FreeBSD的问题。 (二)配置ipfw: 1、执行以下命令: # sysrc firewall_enable="YES" # 允许
自己写freebsd内核防火墙模块
xinguang
11-23 1197
Hooking Filters for Fun and Profit: PFIL_HOOKSMurat Balabanmurat ~ enderunix.org>$Id: article.sgml,v 1.15 2005/11/25 20:07:04 murat Exp $FreeBSD is a registered trademark of th
FreeBSD防火墙技术(转)
cuiji1279的博客
08-11 164
FreeBSD防火墙技术(转)[@more@]   将本地网络连接到Internet之后,Internet上的计算机就能自由访问本地网络中的计算机了。显然,由于本地网络属于同一个组织,本地网络中的计算机相互之间都可以信任,而外...
FreeBSD防火墙浅解
weixin_33826268的博客
12-25 373
Ipfirewall(即IPFW)是一个FreeBSD操作系统下的IP数据包过滤和通信记录工具。IPFW作为一个独立的运行时刻可装载模块,就包含在基本的FreeBSD安装包中。在rc.conf中含有语句“firewall_enable=YES”时,系统会动态地装载内核模块。 1、启用防火墙:firewall_enable="YES" 加入到 rc.conf 中并重新启动系统,...
FreeBSD-12.2 IPFW防火墙基本应用视频教程
crazy_rays的专栏
01-29 597
传送门 【CentOS已死转投FreeBSD-12.2】-【1-系统安装】 【CentOS已死转投FreeBSD-12.2】-【2-系统基本设置】 【CentOS已死转投FreeBSD-12.2】-【3-安装X-Window及xfce桌面】 【CentOS已死转投FreeBSD-12.2】-【4-安装GNOME桌面】 目录传送门1. 前言2. 设置防火墙开机启动3.启动防火墙4. 查看现有规则5. 编辑防火墙规则 1. 前言 FreeBSD提供三个内核防火墙,其中IPFIREWALL(IPFW)是由Fre
用IPFW实现BSD防火墙(转)
08-16 248
用IPFW实现BSD防火墙(转)[@more@]用IPFW实现BSD防火墙文字文字文字FreeBSD操作系统本身带有二种内置的IP信息包检查机制:ipfw和ipfilter。在创建决定允许哪些信息包进入系统、哪些信息包会被拒之系...
IOC模块
qq_44612919的博客
07-12 362
IOC主要实现策略 服务定位模式 依赖注入 上下文的一个依赖查询 通用职责 依赖处理 依赖查找 依赖注入 生命周期管理 容器 托管的资源(Java Beans或其他资源) 配置 容器 外部化配置 托管的资源(Java Beans或其他资源) 什么是IOC 简单地说,IOC是反转控制,类似于好莱坞原则,主要有依赖查找和依赖注入实现 依赖查找和依赖注入的区别 依赖查找是主动或手动的依赖查找方式,通常需要依赖容器或标准API实现。而依赖注入则是手动或自动依赖绑定的方式,无需依赖特定的容器和
freebsd关闭防火墙
06-20
FreeBSD 中的防火墙通常指的是 pf(Packet Filter)防火墙,它是 FreeBSD 操作系统中的内建包过滤防火墙。如果你想要关闭pf防火墙,你可以按照以下步骤操作: 1. **登录到FreeBSD服务器**: 使用SSH登录到你的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值