浅谈Netfilter框架原理(一)

最新推荐文章于 2023-06-23 17:32:22 发布
最新推荐文章于 2023-06-23 17:32:22 发布
阅读量3.8k 收藏 10
点赞数
分类专栏: linux 文章标签: linux 内核 网络数据 数据 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Robin_FJ/article/details/50411953
版权

1.1浅谈Netfilter框架原理

1.1.1 撑起netfilter的结构数据

   

    这个二维数组是在Linux2.6.34\include\linux\netfilter.h中定义的。第一维的NFPROTO_NUMPROTO是表示Linux下的协议簇,总共有32个吧。第二维的NF_MAX_HOOKS是表示有几个hook点,虽然系统给定义了8个,但是常用到这有5个。这个二维数组是netfilter对应的协议所挂载的hook点的入口地址,每个二维数组还会维护一条链表,每个链表上都是一些钩子函数,数据包要通过这些钩子函数的遍历检测匹配才能决定数据的流向。

1.1.2 Hook点的分布

 

这几个hook点对应了上面所讲的二维数组的第二维,它们分别是:

注:在Linux2.6.34\include\linux\netfilter.h中定义的

   

     看着就很明白了,只要对号入座就可以了。而每个hook点又会有一个链表,链表上有好几个钩子函数,这些函数的执行是有优先级,优先级越高越先执行(优先级值越小,优先级越高)。下面就附上一张大牛绘制的一张图吧,这张图像已经非常详细了,我就这边转载用用了。

 

 

再附上一张Linux内核对优先级定义图吧,这样可以对比的理解:

 

注:该优先级在Linux2.6.34\include\linux\netfilter_ipv4.h中定义的

    

从图中可以看出netfilter主要是包含三张表,分别是filter表、NAT表、mangle表。

Filter表:处理与本机有关的数据包,是默认表,包含有三种链:LOCAL_IN

LOCAL_OUTFORWARD

   NAT表:与本机无关。主要处理源与目的地址IP和端口的转换。有三种链:PRE_ROUTINGLOCAL_OUTPOST_ROUTING

   Mangle表:用于高级路由信息包,如包头的更改。

   

    这就是netfilter的整一个框架了。

1.2浅析连接跟踪及连接跟踪辅助模块

1.2.1 连接跟踪hook点的函数分布

 

图一  连接跟踪hook点的函数分布图

 

利用上图及代码可知整个数据包有三个流向:(1PRE_ROUTING → FORWARD → POST_ROUTING;(2)PRE_ROUTING → LOCAL_IN;(3)LOCAL_OUT →POST_ROUTING。

Rick_FJ
关注
专栏目录
nftables(1)基本原理
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-05 1131
nftables是 Linux 内核中用于数据包分类的现代框架,用来替代旧的iptables(包括ip6tablesarptablesebtables等,统称为 xtables)架构。nftables提供了更强大、更灵活以及更易于管理的规则集配置方式,使得网络过滤和路由决策变得更加高效nftables 可在 Linux 内核版本 >= 3.13 上使用。nftables 提供了一个名为 nft 的新命令行实用程序,其语法与 iptables 不同。
Netfilter框架
gh201030460222的博客
11-04 755
Netfilter框架1. Netfilter框架流程2. 数据流向 1. Netfilter框架流程 Netfilter有4个表,5条链 1,4个表的优先级为: raw > mangle > nat > filter 2,每个表包含的链: Raw表: PREROTING、OUTPUT Mangle表:PREROUTING、INPUT、OUTPUT、POSTROUTI
netfilter原理
巴萨,足球的艺术
09-15 642
netfilter原理   netfilter定义了协议栈中的检查点和检查点上引用的数据结构以及对这些数据结构引用的过程。检查点由宏NF_HOOK定义。   netfilter的工作过程   netfilter IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则
netfilter框架
隔壁-老阳
01-18 2044
netfilter框架Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 (点击查看大图)图9-1  netfilter内核中的位置虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火
netfilter 基本原理
热门推荐
zhonglinzhang
02-20 1万+
Netfilter 是一个由Linux 内核提供的框架,可以进行多种网络相关的自定义操作。NetfilterLinux 内核中表现为一系列的hook, 并允许Linux 内核模块注册为回调函数,Linux内核模块通过回调函数操作网络报文。 ...
netfilter/iptables 原理
居士的CSDN
01-23 3027
1. 引言 linux 3.5 版本内核开始集成一个 IP 信息包过滤系统 – iptables。 利用 iptables,我们可以很有效的控制 IP 信息包的过滤条件和防火墙配置。 他可以配置有状态的防火墙规则,通过发送或接收信息包所建立的连接的状态来对网络信息包进行过滤。 本文我们就从原理出发,详细介绍一...
Netfilter框架完全解析.pdf
09-30
Netfilter框架完全解析.pdf
netfilter框架及基本原理介绍.zip
09-16
Netfilter是一个灵活的框架,它定义了多个钩子点(hooks),这些钩子点分布在数据包在网络栈中的不同阶段,使得应用程序可以在这些阶段对数据包进行操作。主要的钩子点包括: 1. **PREROUTING**:数据包进入网络栈...
基于Netfilter框架的防火墙设计与实现
最新发布
05-17
【作品名称】:基于Netfilter框架的防火墙设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:这是一外个网络...
netfilter框架分析_netfilter_linuxnetfilter_
09-29
Linux协议栈,Netfilter框架分析文档,Linux内核中进行数据包过滤、连接跟踪、地址转换等的主要实现框架
Netfilter框架-完全解析.doc
02-25
Netfilter框架Linux内核中的一个核心组件,自2.4.x版本开始引入,它提供了一个通用且抽象的架构,允许开发者实现数据包过滤、网络地址转换(NAT)和连接跟踪等功能。Netfilter框架主要涉及到五个关键点,即"A"、"B...
netfilter框架完全解析
09-14
很完整的netfilter 框架解析。对想了解网络底层的童鞋很有用
Netfilter源码分析(定稿).pdf
09-15
Netfilter源码分析(定稿),对于Netfilter源代码的解析。。。
浅谈Netfilter框架原理(二)
Robin_FJ的博客
12-27 808
1.1.1 连接跟踪主要数据关系图                                                                                                                                        图一  连接跟踪主要数据关系图     整个数据关系始于从skb中获取到协议的名称p
netfilter框架分析
专治各种不服
04-23 3258
<br />本来是不打算写这种基础性的东西的,但是有很多同志经常问我(有同事也有网友)。所以就写一下吧,这个是理解LINUX内核网络子系统的基础,ip conntrack等都是依赖这些基础的。好的,闲话不多说了。来正文。<br />其实netfilter就是依靠一个全局的二维数组nf_hooks[][].可以把这个玩意看成一个8*32的矩阵。矩阵的每个成员就是一个双向链表节点。看看,又是双向链表,内核中双向链表的地位真的太重要了。以双向链表做骨架串起nf_hook_ops这个结构体。然后在运行时在挂HOOK
Netfilter原理和实现浅析
记不住就笔记
09-15 2266
关于Netfilter入门级概括性使用信息记录  转载自:http://blog.csdn.net/zhangskd/article/details/22678659   A. 概念描述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每...
linux-内核:netfilter框架
赵凯月的博客
06-23 1728
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
基于Netfilter框架提高IP访问安全性的研究
Netfilter 框架Linux 操作系统中的一种网络过滤机制,用于提高 IP 访问的安全性。该框架提供了五个钩子函数,分别是 NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT 和 NF_IP_POST_ROUTING...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值