netfilter学习

最新推荐文章于 2021-10-12 22:24:34 发布
最新推荐文章于 2021-10-12 22:24:34 发布
阅读量926 收藏
点赞数
分类专栏: 行为管理 防火墙 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dxt1107/article/details/18374099
版权
linux 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
行为管理
2 篇文章 0 订阅
订阅专栏
防火墙
1 篇文章 0 订阅
订阅专栏
//链接跟踪状态信息 enum ip_conntrack_info { IP_CT_ESTABLISHED, IP_CT_RELATED, IP_CT_NEW, IP_CT_IS_REPLY, IP_CT_NUMBER = IP_CT_IS_REPLY * 2 - 1 };
 
net/netfilter/core.c
包含全局数组
struct list_head  nf_hooks[ NPROTO][ NF_MAX_HOOKS]
注册一个钩子函数
int  nf_register_hook(struct nf_hook_ops *reg)
 
由NF_HOOK宏调用,在ip_input.c文件中的ip_rcv中调用NF_HOOK宏,ip_rcv是ip协议的第一个处理函数,当处理完后最后进入netfilter模块
int  nf_hook_slow(int pf, unsigned int hook, struct sk_buff **pskb,
         struct net_device *indev,
         struct net_device *outdev,
         int (*okfn)(struct sk_buff *),
         int hook_thresh)
 
static  inline  int dst_input( struct sk_buff  *skb)
{
     int err;

     for (;;) {
         //在此处调用ip_forward 或 ip_local_deliver函数
         //    rth->u.dst.input= ip_local_deliver;
         //ip_mkroute_input-->__mkroute_input-->    rth->u.dst.input = ip_forward;
         //rth->u.dst.output = ip_output;
        err  = skb - >dst - >input(skb);

         if (likely(err  ==  0))
             return err;
         /* Oh, Jamal... Seems, I will not forgive you this mess. :-) */
         if (unlikely(err  != NET_XMIT_BYPASS))
             return err;
    }
}
 
内核2.6.22链接跟踪启动过程

[ 42949379. 480000-- >[net /netfilter /nf_conntrack_standalone.c,nf_conntrack_standalone_init, 408]
[ 42949379. 490000-- >[net /netfilter /nf_conntrack_core.c,nf_conntrack_init, 1933]
[ 42949379. 490000] nf_conntrack version  0. 5. 0 ( 1023 buckets,  8184 max)
[ 42949379. 500000] nf_conntrack_register_cache : features =0x0, name =nf_conntrack :basic, size = 272
[ 42949379. 510000-- >[net /netfilter /nf_conntrack_proto.c,nf_conntrack_proto_init, 339]
[ 42949379. 520000-- >[net /netfilter /nf_conntrack_proto.c,nf_ct_l4proto_register_sysctl, 230]
[ 42949379. 520000-- >[net /netfilter /nf_conntrack_standalone.c,nf_conntrack_standalone_init, 415]
[ 42949379. 530000-- >[net /netfilter /nf_conntrack_standalone.c,nf_conntrack_standalone_init, 421]
[ 42949379. 540000-- >[net /netfilter /nf_conntrack_proto.c,nf_ct_l4proto_register_sysctl, 230]
[ 42949379. 550000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 560000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 570000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 570000] nf_conntrack_register_cache : reusing.
[ 42949379. 580000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 590000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 590000] nf_conntrack_register_cache : reusing.
[ 42949379. 600000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 610000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 610000] nf_conntrack_register_cache : reusing.
[ 42949379. 620000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 630000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 630000] nf_conntrack_register_cache : reusing.
[ 42949379. 640000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 650000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 650000] nf_conntrack_register_cache : reusing.
[ 42949379. 660000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 670000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 670000] nf_conntrack_register_cache : reusing.
[ 42949379. 680000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 690000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 690000] nf_conntrack_register_cache : reusing.
[ 42949379. 700000] nf_conntrack_register_cache : features =0x1, name =nf_conntrack :help, size = 304
[ 42949379. 710000] nf_conntrack_register_cache : already resisterd.
[ 42949379. 710000] nf_conntrack_register_cache : reusing.
[ 42949379. 720000]  create  /proc /behavior /emailbcc SUCCESSFULLY.
[ 42949379. 720000] netfilter smtp init successfully
[ 42949379. 730000] IPv4 over IPv4 tunneling driver
[ 42949379. 730000-- >[net /netfilter /nf_conntrack_proto.c,nf_ct_l4proto_register_sysctl, 230]
[ 42949379. 740000-- >[net /netfilter /nf_conntrack_proto.c,nf_ct_l4proto_register_sysctl, 230]
[ 42949379. 750000-- >[net /netfilter /nf_conntrack_proto.c,nf_ct_l4proto_register_sysctl, 230]
 
 
static int ct_seq_show(struct seq_file *s, void *v);//链接跟踪打印函数
//注意内核中顺序文件的操作
nf_conntrack_standalone.c
static struct seq_operations ct_seq_ops = {
    .start = ct_seq_start,
    .next  = ct_seq_next,
    .stop  = ct_seq_stop,
    .show  = ct_seq_show //注册
};
//链接跟踪钩子点优先级,netfilter_ipv4.h文件中定义

enum nf_ip_hook_priorities {
    NF_IP_PRI_FIRST  = INT_MIN,
    NF_IP_PRI_CONNTRACK_DEFRAG  =  - 400,
    NF_IP_PRI_RAW  =  - 300,
    NF_IP_PRI_SELINUX_FIRST  =  - 225,
    NF_IP_PRI_CONNTRACK  =  - 200,
    NF_IP_PRI_MANGLE  =  - 150,
    NF_IP_PRI_NAT_DST  =  - 100,
    NF_IP_PRI_FILTER  =  0,
    NF_IP_PRI_NAT_SRC  =  100,
    NF_IP_PRI_SELINUX_LAST  =  225,
    NF_IP_PRI_CONNTRACK_HELPER  = INT_MAX  -  2,
    NF_IP_PRI_NAT_SEQ_ADJUST  = INT_MAX  -  1,
    NF_IP_PRI_CONNTRACK_CONFIRM  = INT_MAX,
    NF_IP_PRI_LAST  = INT_MAX,
};
//钩子函数结构体在nf_conntrack_l3proto_ipv4.c文件中定义

/* Connection tracking may drop packets, but never alters them, so
   make it the first hook. */
static  struct nf_hook_ops ipv4_conntrack_ops[]  = {
    {
        .hook         = ipv4_conntrack_defrag,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_PRE_ROUTING,
        .priority     = NF_IP_PRI_CONNTRACK_DEFRAG,
    },
    {
        .hook         = ipv4_conntrack_in,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_PRE_ROUTING,
        .priority     = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook            = ipv4_conntrack_defrag,
        .owner           = THIS_MODULE,
        .pf              = PF_INET,
        .hooknum         = NF_IP_LOCAL_OUT,
        .priority        = NF_IP_PRI_CONNTRACK_DEFRAG,
    },
    {
        .hook         = ipv4_conntrack_local,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_LOCAL_OUT,
        .priority     = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook         = ipv4_conntrack_help,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_POST_ROUTING,
        .priority     = NF_IP_PRI_CONNTRACK_HELPER,
    },
    {
        .hook         = ipv4_conntrack_help,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_LOCAL_IN,
        .priority     = NF_IP_PRI_CONNTRACK_HELPER,
    },
    {
        .hook         = ipv4_confirm,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_POST_ROUTING,
        .priority     = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
    {
        .hook         = ipv4_confirm,
        .owner         = THIS_MODULE,
        .pf         = PF_INET,
        .hooknum     = NF_IP_LOCAL_IN,
        .priority     = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
};
i-derry
关注
专栏目录
netfilter学习总结一:规则结构表示及其内存布局
ljq32的专栏
12-07 811
最近对netfilter进行了研究,已经搞明白了其框架结构、运行流程、以及与iptables的交互流程包括规则设置,慢慢总结一下理解的知识,记录下来,加深理解,以防忘记。 另外,虽然我只是记录我的学习过程,以免忘记,而且不成体系,但是字段说明增加了结构体的重要字段在程序里的关键点的使用时机,这个是网上资料所没有的,网上资料只说明字段含义,从不说什么时候用,什么时候赋值,在哪里...
netfilter 学习练习一:通过目的端口过滤发出去的数据包
ljq32的专栏
12-03 576
kernel版本 3.10.0-514.el7.x86_64 netfilter框架通过在内核网络协议栈五个数据包处理点注册回调函数,调用这些回调函数实现数据包过滤、修改、转发。 表示回调函数的hook结构体如下: struct nf_hook_ops { struct list_head list; //hook钩子函数双向列表,每一个hook点可以注册多个钩子函数 ...
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter的table注册及规则的添加》、《ip层netfilter的table中规则的匹配检查》、《ip层netfilterfilter表的创建及其hook函数分析》、《ip层netfilter的连接跟踪模块的概念及相关的数据结构分析》、《 ip层netfilter的连接跟踪模块初始化》、《ip层netfilter的连接跟踪模块代码分析》、《ip层netfilter的连接跟踪模块 学习小结》、《ip层netfilter的NAT模块初始化以及NAT原理》、《ip层netfilter的NAT模块代码分析》等内容
Netfilter学习(一)
weixin_30455661的博客
09-20 158
  开始学习Netfilter了,由于以前没有接触过该方面的知识,开始学习比较吃力,所以找了份资料,比着前辈的思路慢慢学习,这样我想会较快的了解Netfilter,在这里非常感谢这为前辈,由于不知道您尊姓大名,所以,再次表示感谢。   我为自己制定的计划:先把前辈的文档好好学习,对Netfilter有大概了解后,然后按照自己的路走下去。   凡是在这里记录的前辈的内...
Linux netfilter 学习笔记 之十一 ip层netfilter的NAT模块初始化以及NAT原理
lickylin的专栏
07-01 6276
1.NAT的原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。 1.1 SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的lan侧会下挂至少两台设备,而这两台设备的ip地址都是lan侧地址,而lan侧设备又要访问公网,这就需要SNAT大展身手了,通过将lan侧发送的ip数据包的源ip地
Netfilter 学习
王以山的专栏
03-23 1904
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
linux 网络netfilter学习
u012335044的博客
04-17 218
学习网上有关Linux 内核hook博客。 深入Linux网络核心堆栈–netfilter详解(整理) 通过hook过滤ip地址代码: /* * 安装一个丢弃所有到达的数据包的Netfilter hook函数的示例代码 */ #define __KERNEL__ #define MODULE #include <linux/kernel.h> #include...
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
ja-netfilter-2022.2.0.zip
06-03
ja-netfilter是一个专门为Java应用程序设计的网络过滤框架,它的核心目标是帮助开发者对进出Java...通过学习和使用ja-netfilter-2022.2.0,开发者可以更好地理解和管理他们的网络环境,提高应用程序的安全性和效率。
Netfilter学习笔记
qq_43470425的博客
10-12 381
I am definitely no kernel guru and the information provided by this document may be wrong. So don’t expect too much, I’ll always appreciate Your comments and bugfixes. Netfilter Netfilter是Linux 2.4内核的一个子系统,Netfiler使得诸如数据包过滤、网络地址转换(NAT)以及网络连接跟踪等技巧成为可能,这些功能仅
内核编程学习(2)netfilter初探
07-31 2416
本次的任务是要在linux下利用netfilter往内核挂钩子,截获数据包。 这几天的练习,发现很多结构体以及技术涉及到内核版本,如果你发现有些结构体的成员什么的未定义,大多是这种问题。本机内核版本2.6.32-21-generic。查看内核版本命令uanme -r。 通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数
编译2.6.35内核安装L7-filter2.23实现七层过滤及QQ协议分析
weixin_34406086的博客
08-28 272
一、前言 本文,接着上篇《Linux下Netfilter/IPTables防火墙案例分析》来说说七层过滤。 iptables等防火墙工作在四层及四层以下,都是通过数据包过滤或能够基于传输层状态检测的。 但是一般企业应用的时候,很多场景下,需要提供屏蔽不良内容、封堵某些应用层软件的功能。 QQ是一款最常用的即时通讯软件,但是很多情况下,它的使用会影响工...
linux充当防火墙,Linux下主机充当防火墙的巧妙应用之iptables!
weixin_39944074的博客
05-13 97
清默网络双CCIE于康老师课堂笔记实验综合拓扑图:注意事项:防火墙由Red Hat Linux 5.4 版本的机器充当,eth0 使用Host-only (vmware 1),eth1 使用Bridge(本地连接),eth2(vmware 2)前期工作:iptables 仅能过滤网络层的内容,例如协议、端口等等如果想要过滤应用层的,需要打上七层协议的补丁包!还需内核支持!操作步骤如下:一、重新编译...
Linux netfilter 学习笔记 之十五 netfilter模块添加一个match
lickylin的专栏
07-24 7331
通过这段时间的学习,基本上熟悉了netfilter模块,为了进一步加深对netfilter的认识以及理解iptables与netfilter的联系,准备添加一个match模块。   在看到网关产品会有一个公网限制的功能,就想着添加一个公网数目限制的功能。   该模块实现的功能, 通过该match我们可以设置能够通过网关上网的数目,要想进行公网限制,就需要根据mac地址进行限制操作,这个模块
linux 内核网络协议栈--IP层开始直到包被处理(三)
bob的博客
06-06 1403
先看看ip头结构: struct iphdr { #if defined(__LITTLE_ENDIAN_BITFIELD) // 小端 __u8 ihl:4, // 首部长度(4位):首部长度指的是IP层头部占32 bit字的数目(也就是IP层头部包含多少个4字节 -- 32位),包括任何选项 version:4; // 版本(4位),目前的协议版本号是4,称作IPv4。(注意头最长是:当
Linux netfilter 学习笔记 之七 ip层netfilter的连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6261
内核版本 2.6.16   连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
netfilter&firewalld防火墙学习路线
林隐的专栏
11-29 1149
netfilter&firewalld iptables 学习路线netfilterfirewallediptablesiptables详解iptables命令格式 iptables过滤条件 包过滤防火墙工作原理技术原理Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议
深入解析Linux Netfilter机制
然而,由于内核代码的复杂性,分析可能存在不准确之处,需要持续学习和验证。 以上是对Netfilter机制的一个基础分析,实际应用中,开发者还需要结合具体的内核版本、模块和配置来理解和调整Netfilter的行为,以满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值