9.1.2 iptables防火墙内核模块

最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Linux服务器架设指南 文章标签: 防火墙 output 网络 框架 input linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Linuxdianc/article/details/5032936
版权
本文介绍了iptables防火墙的内核模块结构,包括netfilter框架下的数据包处理流程、过滤表、NAT表及mangle表的功能。阐述了INPUT、FORWARD、OUTPUT、PREROUTING、POSTROUTING等链的作用及其在数据包处理过程中的位置。
摘要由CSDN通过智能技术生成

9.1.2  iptables防火墙内核模块

netfilter框架为内核模块参与IP层数据包处理提供了很大的方便,内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。这些函数的功能非常强大,按照功能来分的话主要有4种,包括连接跟踪、数据包过滤、网络地址转换(NAT)和对数据包进行修改。其中,NAT还分为SNATDNAT,分别表示源网络地址转换和目的网络地址转换,内核防火墙模块函数的具体分布情况如图9-3所示。

由图9-3可以看出,防火墙模块在netfilterLOCAL_INFORWARDLOCAL_OUT 3个位置分别注册了数据包过滤函数,数据包经过这些位置时,防火墙模块要对数据包进行过滤。这三个位置也称为三条链,名称分别为INPUTFORWARDOUTPUT,它们共同组成了一张过滤表,每条链可以包含各种规则,每一条规则都包含0个或多个匹配以及一个动作。当数据包满足所有的匹配时,则过滤函数将执行设定的动作,以便对数据包进行过滤的。

9-3  iptables防火墙内核模块结构框架图

%注意:这些规则的次序是很重要的,过滤函数对数据包执行了某一规则动作后,对数据包的处理即告结束,即使这个数据包还满足后面其他规则的所有匹配,也不会执行那些规则所设定的动作。

从图9-3中可以看出,除了过滤表以外,在PRE_ROUTINGLOCAL_OUTPOST_ ROUTING 3个位置各有一条有关NAT的链,名称分别为PREROUTINGOUTPUTPOSTROUTING,它们组成了NAT表。NAT链里面也可以包含各种规则,它指出了如何对数据包的地址进行转换。

此外,5个钩子函数位置的mangle链还组成了一张mangle表,这个表的主要功能是根据规则修改数据包的一些标志位,例如TTLTOS等,也可以在内核空间为数据包设置一些标志。防火墙内的其他规则或程序(如tc等)可以利用这种标志对数据包进行过滤或高级路由。

以上介绍的是iptables防火墙的内部结构,Linux系统还提供了iptables防火墙的用户接口,它可以在上述各张表所包含的链中添加规则,或者修改、删除规则,从而可以根据需要构建自己的防火墙。具体来说,用户是通过输入iptables命令来实现上述功能的。

Linuxdianc
关注
专栏目录
自己动手编写FreeBSD内核防火墙模块
Illina的专栏
07-24 3333
1. 概述 ipfw是BSD系统中重要的防火墙和通信控制工具,防火墙和NAT都可以通过ipfw的相关指令来实现。 pf (包过滤Packet Filter) 是FreeBSD 系统上进行TCP/IP流量过滤和网络地址转换的软件系统。 PF 同样也能提供TCP/IP流量的整形和控制,并且提供带宽控制和数据包优先集控制。 本文不讲解pf和ipfw命令的用法,通过阅读FreeBSD内核协议栈源码,
禅道项目管理软件 v9.1.2
12-01
1. **产品管理**:禅道提供了完善的产品管理模块,包括产品规划、需求管理、产品迭代等。用户可以在这里定义产品的整体框架,设定需求优先级,跟踪产品发展进程,确保产品开发始终围绕核心价值进行。 2. **项目管理...
(十三)洞悉linux下的Netfilter&iptables:为防火墙增添功能模块【实战】
hanyingzhong的专栏
03-29 1073
(十三)洞悉linux下的Netfilter&iptables:为防火墙增添功能模块【实战】 2012-05-28 18:37:17 分类: LINUX 为netfilter/iptables增添新功能模块:ipp2p     一个防火墙功能模块包含两部分:内核空间的ko模块和用户空间的so模块。如下:     而且文件的命令都非常有讲究。例如我们有个模块名叫AAA,那
Linux netfilter/iptables内核模块介绍
chengfangang的专栏
03-20 1895
http://www.linuxidc.com/Linux/2012-09/71468.htm netfilter架构 netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么? 在钩子函数的代
加载iptabless 内核模块
weixin_33704591的博客
12-31 528
加载:modprobe ip_tablesmodprobe iptable_filtermodprobe iptable_natmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpmodprobe ipt_state查看lsmod | grep natiptable_nat...
软件防火墙 基于linux unix,基于Linux2.4内核的防火墙模块结构
weixin_39751769的博客
05-03 146
2.4的结构比2.2从新定义了许多数据结构。2.2和2.4防火墙都采用模块机制,基本原理是一致的。Linux2.4内核的防火墙框架netfilter在IP层内提供了五个插入点:NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_LOCAL_OUT,NF_IP_POST_ROUTING,分别对应IP层的五个不同位置。这样,在理论上写用户自己的内核...
ZenTaoPMS.9.1.2.exe
06-26
ZenTaoPMS.9.1.2.exe 禅道9.1.2 。
11.iptables 防火墙
weixin_61269220的博客
07-17 648
在Internet中,企业通过架设各种应用系统来为用户提供各种网络服务,如Web网站、电子邮件系统、FTP服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用规则的作用对数据进行过滤或处理链的作用容纳各种防火墙规则链的分类依据。...
最新版windows grafana-enterprise-9.1.2.windows-amd64.msi
09-02
最新版windows grafana-enterprise-9.1.2.windows-amd64.msi最新版windows grafana-enterprise-9.1.2.windows-amd64.msi
iptables防火墙2
jhy1798807161的博客
05-22 418
步骤一设置ip地址和默认网关(客户端设置IP地址和默认网关,网关服务器开启2张网卡,一个内网一个外网)1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址。2.Linux网关开启IP路由转发。步骤二关闭防火墙和selinux。步骤二关闭防火墙和selinux。步骤三SNAT转换前提条件。步骤三DNAT转换前提条件。步骤一正确修改ip地址。
iptables 内置模块使用
liuhehe的博客
12-30 447
           
linux内核添加iptables拓展模块支持
锅锅的博客
12-10 2046
当出现iptables拓展模块不支持时,如下 iptables -t mangle -A PREROUTING -m iprange --src-range 192.12.12.12-192.12.12.22 -m iprange --dst-range 192.12.112.10-192.12.112.20 -m multiport --dports 1:100 -m time --timestart 10:00 --timestop 20:00 --weekdays 1,2,3,4 -j MARK -
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 1090
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
linux iptables停在载入额外iptables 模块,Linuxiptables防火墙的设定
weixin_42395740的博客
05-13 160
iptables状态查看Linuxiptables防火墙的设定安装linux后(防火墙是开启状态),需要检查防火墙端口1.iptables防火墙启动和停止启动iptables防火墙时命令行输入 #service iptables start [root@http://doc.docsou.com ~]# service iptables start应用 iptables 防火墙规则: ...
linux iptables停在载入额外iptables 模块,Linuxiptables防火墙的设定.doc
weixin_33644009的博客
05-13 111
Linuxiptables防火墙的设定Linux防火墙的设定安装linux后(防火墙是开启状态),需要检查防火墙端口1.iptables防火墙启动和停止启动iptables防火墙时命令行输入 #service iptables start[root@ ~]# service iptables start应用 iptables 防火墙规则: [确定]载入额外 iptables 模块:ip_con...
Linux技术大全之内核机制与模块
04-06
### Linux技术大全之内核机制与模块 #### 9.1 内核机制 在深入探讨Linux内核的各种机制之前,我们需要理解Linux内核是如何通过不同的组件和技术协同工作的。本章节重点介绍内核机制中的两个核心概念:BottomHalf...
linux配置———iptables命令
夏天
08-29 1034
yiqian iptablesLinux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
IOC模块
qq_44612919的博客
07-12 373
IOC主要实现策略 服务定位模式 依赖注入 上下文的一个依赖查询 通用职责 依赖处理 依赖查找 依赖注入 生命周期管理 容器 托管的资源(Java Beans或其他资源) 配置 容器 外部化配置 托管的资源(Java Beans或其他资源) 什么是IOC 简单地说,IOC是反转控制,类似于好莱坞原则,主要有依赖查找和依赖注入实现 依赖查找和依赖注入的区别 依赖查找是主动或手动的依赖查找方式,通常需要依赖容器或标准API实现。而依赖注入则是手动或自动依赖绑定的方式,无需依赖特定的容器和
解决重启iptables内核模块自动unload
良玉的博客
07-17 3168
Linux内核里,默认情况下,iptables重启动的时候,iptables模块会被卸载(unload),然后加载重启.这种配置下iptables如果重启,对于那些tcp发起端window scale option有效的的连接会产生以下影响: 1.重启后window size会不能被正确识别; 2.已经建立的tcp会话状态会从 ESTABLISHED → INVALID 导致会话中断; 以
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值