网络虚拟化之内核能力NetFilter

已于 2022-07-14 21:28:00 修改
阅读量842 收藏 3
点赞数
分类专栏: Linux 网络技术 文章标签: NetFilter
于 2022-07-07 13:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feng_zi0yhv/article/details/125645525
版权

一、概述

网络技术分享第一篇网络虚拟化之内核能力NetFilter

关键点:

1.网络层,也就是IP层

2.有5个拦截点

3.NAT、IPTable 

二、核心原理

Netfilter框架由著名的Linux开发人员Rusty Russell于1998年开发,旨在改进以前实现ipchains(Linux2.2.x)和ipfwadm(Linux2.0.x)。

这套名为 Netfilter 的框架是 Linux 防火墙和网络的主要维护者 Rusty Russell 提出并主导设计的,它围绕网络层( IP 协议)的周围,埋下了五个 钩子 Hooks,每当有数据包流到网络层,经过这些钩子时,就会自动触发由内核模块注册在这里的回调函数,程序代码就能够通过回调来干预 Linux 的网络通信。
这五个钩子的名字与含义:
PREROUTING :来自设备的数据包进入协议栈后立即触发此钩子。 PREROUTING 钩子在进入 IP 路由之前触发,这意味着只要接收到的数据包,无论是否真的发往本机,都会触发此钩子。一般用于目标网络地址转换( Destination NAT DNAT )。
INPUT :报文经过 IP 路由后,如果确定是发往本机的,将会触发此钩子,一般用于加工发往本地进程的数据包。
FORWARD :报文经过 IP 路由后,如果确定 不是发往本机的,将会触发此钩子,一般用于处理转发到其他机器的数据包。
OUTPUT :从本机程序发出的数据包,在经过 IP 路由前,将会触发此钩子,一般用于加工本地进程的输出数据包。
POSTROUTING:从本机网卡出去的数据包,无论是本机的程序所发出的,还是由本机转发给其他机器的,都会触发此钩子,一般用于源网络地址转换( Source NAT ,SNAT )。

不同类型数据包流向需要经过的钩子节点不完全相同:

  • 发往本地:NF_INET_PRE_ROUTING-->NF_INET_LOCAL_IN
  • 转发:NF_INET_PRE_ROUTING-->NF_INET_FORWARD-->NF_INET_POST_ROUTING
  • 本地发出:NF_INET_LOCAL_OUT-->NF_INET_POST_ROUTING

三、使用示例

Netfilter挂载点定义: 
// include/linux/netfilter.h
enum nf_inet_hooks {
        NF_INET_PRE_ROUTING,
        NF_INET_LOCAL_IN,
        NF_INET_FORWARD,
        NF_INET_LOCAL_OUT,
        NF_INET_POST_ROUTING,
        NF_INET_NUMHOOKS
};

原文解释:

  • NF_INET_PRE_ROUTING: incoming packets pass this hook in the () function before they are processed by the routing code. ip_rcv()``linux/net/ipv4/ip_input.c
  • NF_INET_LOCAL_IN: all incoming packets addressed to the local computer pass this hook in the function . ip_local_deliver()
  • NF_INET_FORWARD: incoming packets are passed this hook in the function . ip_forwared()
  • NF_INET_LOCAL_OUT: all outgoing packets created in the local computer pass this hook in the function . ip_build_and_send_pkt()
  • NF_INET_POST_ROUTING: this hook in the ipfinishoutput() function before they leave the computer.

kernel提供如下函数来注册和解除hook函数。

// include/linux/netfilter.h
/* Function to register/unregister hook points. */

int nf_register_hook(struct nf_hook_ops *reg);
void nf_unregister_hook(struct nf_hook_ops *reg);
int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n);
void nf_unregister_hooks(struct nf_hook_ops *reg, unsigned int n);
Netfilter 的钩子回调虽然很强大,但毕竟要通过程序编码才能够使用,并不适合系统管理员用来日常运维,日常用得最多的自然是iptables。
TechingOn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3064
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
netlink和NF_INET_LOCAL_OUT
m0_37383085的博客
08-30 467
#include <linux/mm.h> #include <linux/module.h> #include <net/tcp.h> #include <net/dst.h> #include <linux/relay.h> #include <linux/debugfs.h> #include <linux/timer.h> #include <linux/kallsyms.h> #include <
linux 内核协议栈 ip_rcv_finish,Linux内核协议栈学习笔记(二)--netfilter框架
weixin_39604092的博客
05-15 331
Linux netfilter提供了五个hook的注册点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。这五个hook点在Linux协议栈中调用之处如下:NF_INET_PRE_ROUTING --> ip_rcv():点击(此处)折叠或打开retu...
LINUX系统
weixin_34384557的博客
09-26 112
安全基础:简单解析Linux系统防火墙框架 【赛迪网-IT技术报道】Linux系统中的Netfilter提供了一个抽象、通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统,框架包含以下五部分: 1. 为每种网络协议(IPv4、IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数), 这些钩...
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1622
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
深入Linux网络核心堆栈 netfilter详解.doc
11-29
深入Linux网络核心堆栈 netfilter详解.doc
ja-netfilter-网络过滤器
06-16
JA-网络过滤器
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1061
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
Netfilter实验
Zzxy
04-30 1048
利用netfilter过滤http报文,获取POST请求中的name和password。
互联网络层的内核实现[内核中的路由机制]
wangpengqi的专栏
09-09 4250
内核中网络层3条线: A 主机到网络->互联网络层-->传输层: ip_rcv()   -->NF_INET_PRE_ROUTING   -->ip_rcv_finish         -->ip_route_input查找该分组路由,确定下一步处理函数ip_local_deliver              -->在内核高速路由缓冲中查找              -->在内核
linux Netfilter网络层的实现详细分析(iptables)
weixin_42915431的博客
12-31 1万+
本文来详细分析linux netfilter网络层的实现细节,本文代码分析是基于Linux内核版本4.18.0-80(也即centos8.0系统上)。我画了一张linux内核协议栈网络层netfilter(iptables)的全景图,里面涉及内容比较多,本文会详细讲解。
Hook技术--⑥Netfilter
最新发布
一些个人笔记,写的不好之处,还请海涵
10-31 265
Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是一套融入到linux内核网络协议栈的框架,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,在报文流经的关键位置处,基于不同协议(ipv4/ipv6)的hook方式,使用hook列表中对应的钩子函数匹配处理,以实现过滤、修改报文、跟踪等功能;
网络协议栈(10)netfilter
jasenwan88的专栏
06-27 1229
一、机制 该工具相当于内核中的车匪路霸,它们在内核网络栈中各处安装关卡,对内核中报文的流动进行监控管理,它是Linux系统下实现防火墙的基础,利用用户态的iptables的实现就是netfilter机制的一个典型应用。 该机制直接嵌入内核,在内核生成的时候这些监测点就已经被编译入内核,所以是顽固而可靠的检测机制。 二、实现 1、数据结构 这是一个三维的实现模型,第一维可以认为是不同的网络
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
iCloudEnd的博客
03-02 1367
介绍 Firewalls是一个重要的工具,可以配置为保护您的服务器和基础设施。防火墙的主要功能是过滤数据、重定向流量和防止网络攻击。既有基于硬件的防火墙,也有基于软件的防火墙。在这里我不会过多讨论背景,因为您可以在网上找到很多关于它的文档。 你有没有想过从头开始实现一个简单的迷你防火墙?听起来很疯狂?但借助 Linux 的强大功能,您可以做到这一点。看完本系列文章,你会发现其实很简单。 您可能曾经...
Netfilter 内核数据包过滤框架
maimang1001的专栏
06-21 839
作者:属乌鸦的 原文:http://www.hyuuhit.com/2018/07/15/netfilter/ Netfilter 内核数据包过滤框架 Jul 15, 2018 文章目录 1.协议族 2.hook点 3.裁决值 4.例子 5.实现原理 5.1.注册回调函数 5.2.执行回调函数 Netfilter是linux内核中的数据包过滤框架,2.4版本及其后的内核包含该框架,该框架使数据包过滤、网络地址转换(NAT)和其他数据包修改功能成为可能。Netfilt...
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2103
Linux 内核开发 - NetFilter
UDP socket流程(14)——ip_local_out及其调用的函数
weixin_33868027的博客
02-01 345
作者:gfree.wind@gmail.com 博客:linuxfocus.blog.chinaunix.net ip_local_out的代码很短 int ip_local_out(struct sk_buff *skb) { int err; /* 调用netfilter的hook检查该包是否可以发送...
linux内核netfilter模块分析之:HOOKs点的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
Linux下的简单网络管理控制系统的设计与开发毕业论文.doc
08-14
关键词“内核模块”表明了研究者将netfilter作为内核扩展来实现网络管理,这种模块化设计使得系统具有高度可扩展性。同时,“数据包”强调了底层网络通信的处理,而“netfilter”则直接关联到网络数据的筛选和控制。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TechingOn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值