在netfilter中ACCEPT、DROP、CONTINUE 和 RETURN 对应的值

于 2024-08-20 15:55:40 发布
阅读量190 收藏 4
点赞数 1
文章标签: 网络 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alittlefish1/article/details/141360931
版权

在 Linux 内核的 Netfilter 框架中,ACCEPTDROPCONTINUE、和 RETURN 对应的值是通过一组常量定义的。这些常量用于表示不同的处理动作。

对应的常量值:

  1. ACCEPT:

    • : NF_ACCEPT
    • 定义: #define NF_ACCEPT 1
    • 含义: 允许数据包通过,继续传输。

  2. DROP:

    • : NF_DROP
    • 定义: #define NF_DROP 0
    • 含义: 丢弃数据包,不再进行后续处理。

  3. CONTINUE:

    • : XT_CONTINUE
    • 定义: #define XT_CONTINUE NF_REPEAT
    • NF_REPEAT 定义: #define NF_REPEAT 3
    • 含义: 继续处理当前链中的下一条规则(这是 iptables 内部使用的特殊值,表示不采取立即行动,而是继续处理链中的其他规则)。

  4. RETURN:

    • : NF_STOP
    • 定义: #define NF_STOP 5
    • 含义: 停止当前链的处理,返回到调用链。

汇总:

  • ACCEPT 对应 NF_ACCEPT (1)
  • DROP 对应 NF_DROP (0)
  • CONTINUE 对应 XT_CONTINUE (NF_REPEAT, 3)
  • RETURN 对应 NF_STOP (5)

这些常量值是内核中用于控制数据包处理流程的核心部分,决定了数据包在链中的去向和处理方式。

黑黍
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Netfilter NF_HOOK执行流程分析 内核kprobe机制的Jprobe机制 drop_watch hook_inspector
tycoon的专栏
11-14 1624
原理是通过内核kprobe机制的Jprobe机制,hook内核的kfree_skb函数,再进入kfree_skb之前,查看skb的目的地址是否是我们需要,需要就打印出前三栈帧。 内核释放skb有kfree_skb和consume_skb, 根据内核本身设计, kfree_skb属于异常丢包,consume_skb属于正常丢包,所以这里只Hook了kfree_skb
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4999
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表供hook函数使用。相应的,iptables工具也定义了同样的几张规则
应用防火墙原理
程序狗的成长之路
08-29 599
1. Netfilter Linux内核在Netfilter(下文简称NF)框架的基础上提供了IP Queue机制,使得基于用户态(User Mode)的防火墙开发成为可能。   内核NF对网络报文的处理这里不做详细描述。假设读者已经熟悉NF的工作原理和工作流程。但这里还是要简单介绍一下NF各个钩子(hook)函数对数据包处理的返回,即该函数告诉内核对该数据包的处理意见。所有的返回
Netfilter返回的具体用法
xc889078的专栏
04-13 1044
返回                  含义                                                                                     用途 NF_ACCEPT      数据包被该hook允许,继续netfilter流程                       如果数据包为正常数据包,一般都是这个返回 NF
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1833
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
连接跟踪超时扩展
redwingz的博客
01-16 2047
连接跟踪超时扩展,允许应用层对连接的超时时长进行修改控制。如下,新增IPv4 TCP协议超时策略(tcp0,最大4个字符),其指定4个状态的超时时长,其它采用默认。随后,使用iptables命令将此策略应用到所有的连接跟踪tcp报文。 # nfct timeout add tcp0 inet tcp established 1000 close 10 time_wait 10 last_ack 10 # # nfct timeout list .tcp0 = { .l3proto =
linux网络子系统分析(五)——netfilter
whenloce的专栏
03-17 2322
目录 一、概述 二、netfilter 2.1 结构 2.2 数据抽象 2.2.1 table的表示 2.2.2 nf_hook_ops 2.3 接口 2.4 实现 2.4.1 初始化 2.4.2 table的注册 2.4.2 处理流程 一、概述 二、netfilter 2.1 结构 第一个层次时table,有四个分别时filter,nat,mangle,r...
Ethernet Bridge Netfilter框架及Data Path分析
weixin_45254661的博客
03-17 3245
1. Netfilter简介 ​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地...
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1718
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
Linux netfilter HOOK机制
kklvsports的专栏
05-11 866
    Linux系统上TCP/IP协议栈在内核态(DPDK等在用户态收包情况例外),用户态如果想要干预报文的处理就需要向内核态注入hook函数,如Linux的iptables,netfilter框架的HOOK机制即是提供该功能的。通过之前分析ip报文的内核处理路径点击打开链接可知,内核有如下5个hook点,他们和iptableschain一一对应对应hook函数在内核是NF_HOOK调...
深入Linux网络核心堆栈--netfilter详解(整理)
XscKernel的专栏 记录工作中做的点滴
11-15 1万+
目录 1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - NetfilterIPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1] 4.1 - 深入hook函数 4.2 - 基于接
iptables深入解析-mangle篇
weixin_34107739的博客
08-08 2283
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
Linux Netfilter NF_HOOK解析
zhgure的博客
07-18 4763
NF_HOOK实际是转成NF_HOOK_THRESH宏函数调用。 注意,thresh表示只执行优先级大于thresh的注册的hook回调。 NF_HOOK原型: #define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \ NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, INT_MIN) ...
netfilter 理解
热门推荐
ruisenabc的专栏
02-25 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构,NetfilterIP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...
NF_HOOK, NF_STOP
cxw06023273的博客
01-10 384
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"] NF_HOOK()宏在2.6和2.4相比作了稍许变化: 2.6.17.11的定义: #define NF_HOOK_THRE...
NF_HOOK
tycoon的专栏
11-05 3644
一、   IP报文的接收到hook函数的调用    1.1  ip_input.c    ip_rcv()函数 以接收到的报文为例,类似的还有ip_forward(ip_forward.c)和ip_output(ip_output.c) int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type
Netfilter NF_HOOK执行流程分析一
VMA_LMA的专栏
04-16 1453
利用Linux我们可以实现复杂的防火墙机制,大家防火墙路由器,得易于Linux强大的内核,这些实现都变得非常简单,通过简单的几条iptables命令就可以定制我们的防火墙功能。那么Linux内核是如何完成对包的处理,流程又是怎么样呢? 一 首先看一下netfilter的整体架构 NF_HOOK执行流程分析一"> netfilter的具体实现,以NF_IP_PREROUTING为例 二 NF
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值