netfilter 和 Linux 防火墙介绍

最新推荐文章于 2024-07-24 16:51:29 发布
最新推荐文章于 2024-07-24 16:51:29 发布
阅读量611 收藏
点赞数
文章标签: linux hook struct 框架 防火墙 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/awfrdf2/article/details/2287800
版权

  Linux 的防火墙技术经历了若干代的沿革,一步步的发展而来。最开始的 ipfwadm 是 Alan Cox 在 Linux kernel 发展的初期,从 FreeBSD 的内核代码中移植过来的。后来经历了 ipchains,再经由 Paul Russell 在 Linux kernel 2.3 系列的开发过程中发展了 netfilter 这个架构。而用户空间的防火墙管理工具,也相应的发展为 iptables。netfilter/iptables 这个组合目前相当的令人满意。在经历了 Linux kernel 2.4 和 2.5 的发展以后,的确可以说,netfilter/iptables 经受住了大量用户广泛使用的考验。

  本文并不打算介绍 Linux 防火墙在用户空间的管理程序 iptables 的使用。至于如何利用 netfilter/iptables 机制搭建一个可靠的 Internet 防火墙,这也不是本文感兴趣的话题。关于 iptables 的使用,读者朋友们可以参考 man iptables 的手册,也可以参考 netfilter 的核心开发者 Paul Russell 写的 Packet Filtering HOW-TO 和 NAT HOW-TO。相关的链接,请参见文后所列的参考资料目录。读者朋友们在阅读本文之前,最好能够对 iptables 的使用有一定的了解。

首先我们来了解一下Netfilter的框架:
Netfilter提供了一个抽象、通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统。Netfilter框架包含以下五部分:
1. 为每种网络协议(IPv4、IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数), 这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用netfilter框架。

2. 内核的任何模块可以对每种协议的一个或多个钩子进行注册,实现挂接,这样当某个数据包被传递给netfilter框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示netfilter将该数据包传入用户空间的队列。

3 .那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。

4. 任何在ip层要被抛弃的ip数据包在真正抛弃之前都要进行检查。例如允许模块检查ip-spoofed包(被路由抛弃)。

5.IP层的五个HOOK点的位置如下所示 :

  1. NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点(刚刚进行完版本号,校验 和等检测), 源地址转换在此点进行;ip_input.c中IP_rcv调用。

  2. NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点,INPUT包过滤在此点进行;ip_local_deliver中调用

  3. NF_IP_FORWARD:要转发的包通过此检测点,FORWORD包过滤在此点进行;

  4. NF_IP_POST_ROUTING:所有马上便要通过网络设备出去的包通过此检测点,内置的目的地址转换功能(包括地址伪装)在此点进行;

  5. NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点,OUTPUT包过滤在此点进行。

  这些点是已经在内核中定义好的,内核模块能够注册在这些HOOK点进行的处理,可使用nf_register_hook函数指定。在数据报经过这些钩子函数时被调用,从而模块可以修改这些数据报,并向netfilter返回如下值:

  NF_ACCEPT 继续正常传输数据报

  NF_DROP 丢弃该数据报,不再传输

  NF_STOLEN 模块接管该数据报,不要继续传输该数据报

  NF_QUEUE 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)

  NF_REPEAT 再次调用该钩子函数

  一个基于Netfilter框架的、称为iptables的数据报选择系统在Linux2.4内核中被应用,其实它就是ipchains的后继工具,但却有更强的可扩展性。内核模块可以注册一个新的规则表(table),并要求数据报流经指定的规则表。这种数据报选择用于实现数据报过滤(filter表),网络地址转换(Nat表)及数据报处理(mangle表)。 Linux2.4内核提供的这三种数据报处理功能都基于netfilter的钩子函数和IP表。它们是独立的模块,相互之间是独立的。它们都完美的集成到由Netfileter提供的框架中。

  包过滤

  filter表格不会对数据报进行修改,而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN, NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此对于任何一个数 据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进,因为在ipchains中一个被转发的数据报会遍历三条链。

  NAT

  NAT表格监听三个Netfilter钩子函数:NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT,伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例)。

  数据报处理(Packet mangling)

  mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用 mangle表,可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。

 如果我们想在Netfilter加入自己的代码,要通过nf_register_hook函数,其原型为:

int nf_register_hook(struct nf_hook_ops *reg)
struct nf_hook_ops
{
         struct list_head list;
 
         /* User fills in from here down。 */
         nf_hookfn hook;    /*  函数指针 */
         int pf;   /*  结构对应的协议栈号*/
         int hooknum;   /*  结构对应的检查点号*/
         /* Hooks are ordered in ascending priority。 */
         int priority;
};

首先生成一个struct nf_hook_ops结构的实例,用nf_register_hook将其HOOK上。其中list项我们应该初始化为{NULL,NULL};由于一般在IP层工作,所以pf总是PF_INET;hooknum就是我们选择的HOOK点;一个HOOK点可能挂多个处理函数,谁先谁后,便要看优先级,即priority的指定了。netfilter_ipv4.h中用一个枚举类型指定了内置的处理函数的优先级:

enum nf_ip_hook_priorities
{
  NF_IP_PRI_FIRST = INT_MIN,
  NF_IP_PRI_CONNTRACK = -200,
  NF_IP_PRI_MANGLE = -150,
  NF_IP_PRI_NAT_DST = -100,
  NF_IP_PRI_FILTER = 0,
  NF_IP_PRI_NAT_SRC = 100,
  NF_IP_PRI_LAST = INT_MAX,
};

hook是提供的处理函数,原型为

unsigned int nf_hookfn(
    unsigned int hooknum,
  struct sk_buff **skb,
  const struct net_device *in,
  const struct net_device *out,
  int (*okfn)(struct sk_buff *));

它的五个参数将由NFHOOK宏传进去。nf_register_hook根据reg中注册的协议簇类型和优先级在nf_hooks中找到相应的位置并插入到此表中。struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]在netfilter初始化时(netfilter_init/netfilter.c,而它在sock_init时调用)已经初始为一个空表。

具体可以参考下面的简单实例

#define __KERNEL__
#define MODULE

#include <linux/module.h>;
#include <linux/kernel.h>;
#include <linux/netfilter.h>;
#include <linux/netfilter_ipv4.h>;

/* 用于注册我们的函数的数据结构 */
static struct nf_hook_ops nfho;

/* 注册的hook函数的实现 */
unsigned int hook_func(
  unsigned int hooknum,
  struct sk_buff **skb,
  const struct net_device *in,
  const struct net_device *out,
  int (*okfn)(struct sk_buff *))
{
 return NF_DROP; /* 丢弃所有的数据包 */
}

/* 初始化程序 */
int init_module()
{
 /* 填充我们的hook数据结构 */
 nfho.hook = hook_func; /* 处理函数 */
 nfho.hooknum = NF_IP_PRE_ROUTING; /* 使用IPv4的第一个hook */
 nfho.pf = PF_INET;
 nfho.priority = NF_IP_PRI_FIRST; /* 让我们的函数首先执行 */

 nf_register_hook(&nfho);

 return 0;
}

/* 清除程序 */
void cleanup_module()
{
 nf_unregister_hook(&nfho);
}

 

awfrdf2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是WAF防火墙以及具体作用
dexunyun的博客
07-27 6255
WAF可以有效识别Web业务流量的恶意特征,保障网站的业务安全和数据安全。
WAF安全应用防火墙(openresty部署)
热门推荐
******* ▄︻┻┳═一 *******
06-13 2万+
一、了解WAF1、定义 Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对http/https的 安全策略 来专门为Web应用提供保护的一款产品。2、WAF的功能 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的
iptables防火墙原理详解
weixin_34226706的博客
02-06 579
1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控...
Linux下搭建Web项目运行环境Tomcat+Mysql+Jdk
God Liao On The Way
09-03 5835
环境说明系统 :CentOS 6 Tomcat :apache-tomcat-8.5.9 JDK版本 :jdk-1.8.0_144 Mysql版本:5.7.19 MySQL Community Server (GPL)软件安装JDK安装1、先卸载CentOS自带的JDK,搜索已安装jdkrpm -qa | grep java2、使用rpm -e –nodeps 包名 卸
[转]Web应用防火墙WAF详解
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
Linux包过滤防火墙概述
Rikkatang的博客
11-30 1163
文章目录一、Linux包过滤防火墙概述1.1.netfilter1.2.iptables1.3 包过滤的工作层次二、iptables的表、链结构2.1 规则链2.2五链2.3 规则链之间的顺序(重要 )2.4规则链内部各防火墙规则之间的顺序2.5.规则表2.6.四表2.7.规则表之间的顺序(重要)2.8.规则链内的匹配顺序三、使用iptables工具3.1.iptables安装3.2.iptables的基本语法3.3添加新的规则3.4查看规则列表3.5 **设置默认策略**四、规则的匹配条件4.1.匹配类型
基于NetfilterLinux防火墙.pdf
09-06
基于NetfilterLinux防火墙.pdf
使用NetFilter构建Linux防火墙.pdf
09-06
使用NetFilter构建Linux防火墙.pdf
code_linux.rar_LINUX防火墙_ip过滤_linux 防火墙_netfilter过滤_防火墙过滤
09-23
netfilter防火墙,实现ip过滤,协议过滤,端口过滤
基于Netfilter框架防火墙设计与实现
05-17
【项目介绍】:这是一外个网络层轻量级防火墙项目。主要包涵Driver,Application。 ##底层:Driver 底层驱动在linux3.13内核中实现。主要是巧妙利用了内核的Netfilter框架中 nf_hook钩子函数,然后,建立自己的...
基于netfilterLinux防火墙可扩展性研究.pdf
09-07
基于netfilterLinux防火墙可扩展性研究.pdf
Linux:基础命令学习
qq_55038440的博客
07-20 1510
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
LINUX之MMC子系统分析
gy794627991的博客
07-23 1100
MMC子系统从协议到源码分析
RockyLinux 9 PXE Server bios+uefi 自动化部署 RockLinux 8 9
极致,细节
07-24 114
PXE(Preboot eXecution Environment,预启动执行环境)是一种网络启动协议,允许计算机通过网络启动而不是使用本地硬盘。PXE服务器是实现这一功能的服务器,它提供了启动镜像和引导加载程序,使得客户端计算机可以通过网络启动并安装操作系统或运行其他软件。
(leetcode学习)110. 平衡二叉树
最新发布
m0_54888411的博客
07-24 378
很久没写结构体了,复习一下。学习二叉树的通用解题方法。给定一个二叉树,判断它是否是。
Linux:进程信号(一.认识信号、信号的产生及深层理解、Term与Core)
qq_74415153的博客
07-23 1558
1.认识信号 进程看待信号方式 2.信号的产生 2.1信号的处理的方式 --- signal()函数 2.2kil指令产生信号 2.3键盘产生信号 2.4系统调用发送信号 -kil系统调 用、raise()和abort()库函数 2.5软件条件产生信号 2.6异常产生信号 3.信号产生的深层理解 键盘产生信号 异常产生信号 4.Term与Core core文件
Linux中将文件解压到指定目录
weixin_61663117的博客
07-23 352
请确保目标目录已经存在,否则上述命令可能会报错。如果目录不存在,你可以使用。通常是用来压缩单个文件的,而不是目录。所以你需要指定解压后的文件名。选项会创建所有必要的父目录。是你想要解压到的目标目录。选项后面跟着的是目标目录。通常用于压缩单个文件。
Linux——DNS服务搭建
ln2915275834的博客
07-23 884
要求能够ping通外网,有yum源。
linux离线安装mysql8(单机版)
八月林城的博客
07-24 833
mysql单机安装以及解决安装初始化过程中遇到的问题
基于NetfilterLinux防火墙设计:包过滤与入侵检测
首先,作者从网络安全的基本概念出发,介绍防火墙在保护网络边界、控制进出流量和阻止潜在威胁方面的关键作用。TCP/IP协议在此过程中扮演了基础角色,因为数据包过滤主要是基于这些协议的地址和端口信息来进行操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值