netfilter&iptables探讨(1)——基本原理

已于 2022-08-07 23:07:25 修改
阅读量625 收藏 8
点赞数
分类专栏: 网络数据处理 文章标签: 网络 linux iptables netfilter
于 2022-08-07 22:31:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dillanzhou/article/details/126112173
版权

网络数据的收发和处理是操作系统的核心功能之一,一般在内核中直接实现。要修改内核中的网络处理功能,就需要对内核的网络处理逻辑进行修改,之后经过内核编译、升级,才能生效。这个过程的代价很大,显然不能用于需要频繁定制内核网络行为的场景。因此,需要一种可以对内核网络行为进行灵活定制的机制,在不用修改内核核心代码,不升级内核的前提下实现对内核网络处理逻辑的自定义修改。

在Linux内核中,netfilter和iptables就提供了这样一套内核网络定制机制。本文将简单介绍netfilter和iptables的原理、用途以及两者的关系,从而说明这套机制是如何实现通过用户态的简单配置,就能修改linux内核网络行为的。对netfilter和iptables的具体实现和用法将在后续的文章中讨论。

问题

  1. netfilter的原理是什么,它是如何改变内核网络行为的?
  2. netfilter提供哪些功能和接口?如何通过netfilter来修改网络行为?
  3. iptables是在内核态还是用户态实现的?
  4. iptables是如何基于netfilter来修改网络行为的?
  5. iptables命令工具运行在用户态,它是如何将配置传入内核中,来改变内核网络行为的?
  6. 常用的netfilter+iptables机制都会涉及到哪些模块和组件,这些模块和组件间都是如何交互来实现最终的功能的?

概述

netfilter和iptables的应用非常广泛,linux系统上的防火墙、NAT,docker的bridge模式容器网络,都会基于这套机制实现。网上也有很多介绍netfilter和iptables机制的文章,其中一些为了简化概念,会将两者统称为iptables。但netfilter与iptables其实是有依赖关系的两套扩展机制,netfilter依赖内核提供内核态的基本网络扩展能力,iptables则基于netfilter提供了跨内核与用户态的网络定制能力。通过netfilter和iptables的组合,用户可以通过用户态的iptables配置工具下发网络行为规则,实现对网络功能的灵活定制。

上图是netfilter和iptables机制的整体结构示意图。可以看到其中主要包含了3个部分:内核协议栈中的netfilter,内核中的iptables相关模块,以及用户态的iptables工具。

netfilter

如上图中所示,netfilter是内核协议栈基本功能的一部分,是不能作为模块动态加载的。内核协议栈在ip报文的处理路径上选择了5个关键位置,在这些位置上可以调用预先注册的一系列函数指针,来修改报文内容和后续处理路径。图中所画的是其中的LOCAL_IN位置,处于ip_local_deliver和ip_local_deliver_finish这两个处理函数之间。netfilter模块提供了nf_register_net_hook接口,用于注册处理函数指针。

此外,netfilter提供了在setsockopt和getsockopt系统调用中添加option和相应处理函数的接口,便于网络功能模块和用户态进行交互。

每个网络名空间netns中的netfilter是独立的,开发者需要为需要定制行为的每个netns分别调用注册接口来注册自己的回调函数。

netfilter与iptables功能和模块之间没有必然的联系。基于netfilter提供的函数注册接口,可以通过内核模块的方式实现自己的网络定制功能,而不需要和iptables有任何关系。很多厂商都会通过netfilter接口实现自己的NAT、ACL、QoS等功能,而不会通过iptables配置的方式。

但是,在内核中开发网络模块并实现和用户态的规则同步毕竟是一个非常复杂的工作。对于绝大部分应用场景(例如小流量的NAT、firewall等)来说,为了并不复杂的需求专门实现一整套内核与用户态机制显然是不现实的。iptables正是为了满足这些需求而产生的。

iptables

iptables是包含了用户态工具和内核态模块在内的一整套功能体系。用户态的iptables工具主要负责下发和获取内核的网络处理规则。iptables工具通过getsockopt/setsockopt系统调用,和内核的ip_tables模块进行交互,同步规则信息。这里使用的getsockopt/setsockopt,也是ip_tables模块使用netfilter提供的接口注册实现的。

内核态的iptables功能被解耦成了多个不同的模块来完成,解耦的原因是内核中支持的网络规则表类型在不断增加,而这些表操作的逻辑大部分是相同的,因此需要将这些公共逻辑提取出来供相关表操作共享,减少代码的重复和冗余。上图中只画了3个模块,事实上iptables(以及ip6tables等)的相关模块非常多,大致可以分为3类,图中画出的3个是其中的典型代表:

  1. x_tables,包含各类表的公共数据结构和表操作的逻辑实现。狭义的说,iptables只实现了对IPv4报文的规则处理,其他类型的网络报文例如IPv6同样需要处理。而IPv4和IPv6报文处理规则在很大程序上是类似的,因此可以把相关的结构和处理逻辑提取出来供两类表使用。这里的x就代表了不同类型的表,例如iptables、ip6tables、arptables等等。
  2. ip_tables,包含ipv4相关的表操作的接口和公共逻辑实现。与之对应的还有ip6_tables等。与用户态交互的getsockopt/setsockopt,以及与netfilter交互的函数指针注册等操作都在这个模块中实现。
  3. iptable_filter,iptables中filter表专用逻辑的实现模块。iptables支持多种类型的表用于不同用途,例如filter、mangle、nat、raw等,每类表会有一些特有的数据结构和规则,就实现在各自的模块中,例如iptable_filter、iptable_raw等。

下面以上图中展示的iptable filter表的功能为例,介绍iptables的主要功能逻辑:

  1. iptable_filter模块向netfilter中注册filter表的匹配处理回调函数iptable_filter_hook
  2. ip_tables模块从用户态的调用中获得filter表规则,保存在net.ipv4.iptable_filter表中
  3. 内核协议栈处理报文时,执行到netfilter的hook位置,调用filter的回调函数,在回调函数中会匹配filter表中的每条规则,并执行规则指定的操作。

通过上述方式,iptables就能将用户态下发的规则通过netfilter机制作用到内核协议栈中。

小结

本文介绍了netfilter和iptables机制存在的意义、最基本的实现原理、以及相关的模块架构。最后来回答一下文章起始时的问题作为总结:

  1. netfilter是一个内核功能,netfilter在内核协议栈的关键执行路径上插入了hook点,会在这些hook点位置执行其他内核模块注册的网络处理函数,通过这些函数可以修改网络报文的处理逻辑和协议栈的后续行为。
  2. netfilter提供的主要接口有两个:hook点处理函数注册接口,以及setsockopt/getsockopt处理函数注册接口。通过这两个接口,可以修改内核协议栈的报文处理逻辑,并从用户态动态获取配置信息,动态修改网络行为。
  3. iptables是由用户态和内核态模块协同实现的机制。
  4. iptables相关的内核模块会调用netfilter的接口在协议栈的多个位置注册多种网络处理函数,在这些处理函数中根据用户态配置的规则来决定网络报文的处理方式。
  5. 用户态的iptables工具和内核态模块通过getsockopt/setsockopt系统调用来下发规则和获取规则执行情况。这两个系统调用的扩展是ip_tables模块基于netfilter提供的接口实现的。
  6. 如文中图片所示,netfilter是内核协议栈的一部分,iptables则由用户态工具和内核态的3类模块构成。
dillanzhou
关注
专栏目录
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2233
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
IPTables工具及其与netfilter关系介绍
瑞风轻拂
09-08 5026
IPTables概述         IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函
Linux iptables:规则原理和基础
weixin_33979363的博客
06-10 473
什么是iptablesiptablesLinux下功能强大的应用层防火墙工具,但了解其规则原理和基础后,配置起来也非常简单。 什么是Netfilter? 说到iptables必然提到Netfilteriptables是应用层的,其实质是一个定义规则的配置工具,而核心的数据包拦截和转发是Netfiler。 NetfilterLinux操作系统核心层内部的一个数据包处理模块。...
iptables和netfilter的关系、原理和应用
weixin_40354988的博客
05-31 708
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
netfilter&iptables探讨(2)——netfilter原理与实现
dillanzhou的博客
08-09 1214
​在上一篇文章《netfilter&iptables探讨(1)——基本原理》中,我们分析了netfilteriptables机制的基本原理以及相关的模块和接口。本文将进一步探讨这套机制的基石——netfilter的原理和实现。
Netfilteriptables关系
化茧成蝶007
08-19 364
Netfilter所需要的规则是存放的内存中 iptables 对内存中的规则执行添加,删除,及修改等操作。
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
洞悉linux下的Netfilter&iptables;整理
08-27
洞悉linux下的Netfilter&iptables; 内核中的ip_tables小觑、内核中的rule,match和target、包过滤子系统iptable_filter、如何理解连接跟踪机制、状态防火墙、DNAT、SNAT、iptables命令行工具源码解析
洞悉linux下的netfilter&iptables
07-06
洞悉linux下的netfilter&iptables, 根据博客整理而成
netfilteriptables & ufw与iptables关系
宾宾宝宝的博客
11-22 1388
本篇主要来介绍一下 什么是netfilteriptables 以及两者的关系 什么是ufw ,以及ufw与iptables的关系 先给出一段英文文献供同学们阅读学习 Traffic into or out of a computer is filtered through “ports,” which are relatively arbitrary (任意的)designations(名称) appended to(附加到) traffic packets destined for(注定要) use
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
Netfilteriptables的关系
goingstudy的专栏
10-06 1308
Netfilteriptables的关系   我们常听说Linux防火墙叫做“iptables”,其实这样的称呼并不是很正确,什么是iptables呢?在前面我们提过Netfilter所需要的规则是存放在内存中的,但问题是防火墙管理人员该如何将规则存放到内存呢?因此,防火墙管理人员会需要一个规则编辑工具,通过这个工具来对内存中的规则执行添加、删除及修改等操作,这个工具就是iptables
netfilter&iptables探讨(3)——iptables的功能与实现
dillanzhou的博客
08-26 688
介绍iptables的基本概念、功能和用法。包括链、表的概念和原理,规则的匹配模式、处理动作和管理命令。
(一)洞悉linux下的Netfilter&iptables:什么是Netfilter
01-23 933
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。     能在CU上混的人绝非等闲之辈。因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables内核
三张图彻底搞懂 iptables 和 netfilter
06-19 3829
我们都知道,iptables 和 netfilter 构成了 Linux 防火墙的坚实屏障,这两个技术涉及的知识点太广了,面面俱到的话足以写成一本书。但其实抓住重点核心知识的话,三张图就...
netfilter/iptables简介
weixin_44260459的博客
11-22 282
netfilteriptables是什么关系?常说的iptables里面的表(table)、链(chain)、规则(rule)都是什么东西?本篇将带着这些疑问介绍netfilter/iptables的结构和相关概念,帮助有需要的同学更好的理解netfilter/iptables,为进一步学习使用iptables做准备。 什么是netfilteriptables 用通俗点的话来讲: netfilter指整个项目,不然官网就不会叫www.netfilter.org了。 在这个项目里面,n
Netfileter & iptables 实现(一)— Netfilter实现
maimang1001的专栏
05-24 381
Netfileter & iptables 实现(一)— Netfilter实现本文主要介绍 Netfilter 的实现,因为 NetfilterLinux网络数据包过滤的框架,而 iptables 就是建立在 Netfilter 之上的。先了解Netfilter的实现对分析 iptables 的实现有非常大的帮助https://mp.weixin.qq.com/s/3Os9elb_TBSN9ofRveihDg 在《Netfilter & iptables 原理》一文中,我们介绍了 N
Linux协议栈-netfilter(1)-框架
热门推荐
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
netfilter模块及iptables基本概念
数据库
11-23 202
㈠ netfilter linux一般都是作为服务器使用,对外提供一些基于网络的服务 通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能 常见的访问控制包括:哪些IP可以访问服务器,可以使用哪些协议,哪些接口,是否需要对数据包进行修改等等 如服务器可能受到来自某IP的攻击,这时就要禁止来自该IP的所有访问 linux内核集成了网络访问的控制功能,通...
"深入解析Netfilter/IPTables源代码及架构设计"。
本文将对Netfilter源代码进行详细的分析,探讨其在Linux 2.4.21内核版本中的实现细节。 Netfilter主要源代码文件包括Linux内核版本2.4.21、Netfilter主文件net/core/netfilter.c、Netfilter主头文件include/linux/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值