深入理解netfilter

最新推荐文章于 2023-06-23 17:32:22 发布
最新推荐文章于 2023-06-23 17:32:22 发布
阅读量674 收藏 1
点赞数
分类专栏: Linux管理 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elearnings/article/details/41790039
版权

如果我们希望netfilter能为我们做些什么事情,那么我们就需要为netfilter设定一些执行规则,有了规则之后,netfilter才会知道哪些封包是可以被接受的,哪些是必须被过滤掉的等等。


netfilter存放规则的内存区块分为4个表:filter ,nat,mangle,raw.


filter:是netfilter内最为重要的机制,其任务是执行封包的过滤动作也就是防火墙的功能。

NAT:类似IP分享器

Mangle:可以借助Mangle机制修改行经防火墙内的封包内容。

RAW负责加快封包穿越防火墙机制的速度,借此提高防火墙的性能。


chain空间实际上就是我们存放“规则”的地方


input类型进入本机的;存放在input chain中

output类型离开本机的;存放在output chain中

forward类型路过本机的;存放在forward chain中。



table

chain
filter
INPUT

FORWARD

OUTPUT
NAT
PREROUTING

POSTROUTING

OUTPUT
MANAGLE
PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING
RAW
PREROUTING

OUTPUT


honghu79
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netfilter_读书笔记.pdf
05-13
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分 的实现。Netfilter 虽然集成了Firewall,NAT 和mangel 的功能,但本人觉得NAT 最为复杂。 当理解了NAT 部分的功能,再看Firewall 和mangle 的功能,会有“会当临绝顶,一览众山 小”的感觉。
netfilter 讲解 ,讲的很好
miaomiaodmiaomiao的专栏
08-01 1272
Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函数),把经过的数据包钓上来, 然后根据自定义的规则,来决定数据包的命运: 可以原封不动的放回IPv4协议,继续向上层递交;可以进行修改,再放回IPv4协议;也可以直接丢
netfilter简介
newand
12-03 1425
1. netfilter简介 netfilter是在Linux内核中一组钩子,这些钩子允许在网络协议栈中使用内核模块来注册回调函数,可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能,如过滤报文,修改报文等。 和netfilter常常出现在一起的还有iptable,它是在netfilter基础上在Linux内核中内置的防火墙架构,它工作在用户空间,根据我们配置的规则集工作,
netfilter介绍
xiakewudi的专栏
08-24 4730
一、什么是netfilter?         Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
Netfilter的使用和实现
weixin_30901729的博客
04-02 138
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog 概述 Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩...
深入Linux网络核心堆栈 netfilter详解.doc
11-29
深入Linux网络核心堆栈 netfilter详解.doc
ja-netfilter
02-09
ja-netfilter
Netfilter框架完全解析.pdf
09-30
Netfilter框架完全解析.pdf
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解
netfilter.pdf
12-31
主要对netfilter框架的原理和源码进行讲解,对于netfilter、iptables、conntrack、nat直接如何配合,进行了详细的图标绘制,源码分析,对于个人理解netfilter框架有很好的提高
netfilter
nongfuchui的博客
08-28 922
#firewalld&netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7中称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
大白话netfilter
yanchendage的博客
03-16 9750
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
linux-内核:netfilter框架
最新发布
赵凯月的博客
06-23 1244
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2134
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
netfilter----filter机制
化茧成蝶007
08-18 723
扎实的掌握防火墙需要了解数据包分类 数据包分类:  INPUT类型: 所谓INPUT类型数据包是指“网络上其他主机发送给本机进程的数据包”   例如:网络上其他使用者访问本机的httpd服务时,就会产生这种类型的数据包  OUTPUT类型:如果是“本机进程”所生成的数据包,即为OUTPUT类型数据包。   例如:使用者在本机启动firefox去访问网络上的其他主机时,就会生成这种
深入理解netfilter框架|经典PDF
极客重生
07-08 1096
hi,大家好,今天给大家分享一个学习Linux内核防火墙经典文档,文章贯穿了用户态 iptables,内核态 netfilter 及 conntrack,图文并茂,包含重要的数据结构解析和...
netfilter 结构整理
weixin_34077371的博客
08-31 311
@(Linux network) netfilter struct 整理 结构体关系图 阐述了结构体之间的关联 xt_table 在net->netns_ipv4结构体中,包含了如下几个xt_table iptable_filter iptable_mangle iptable_raw arptable_filter nat_...
IPSEC 中的AH,ESP,SPI用途
Jesse的黑洞
12-12 9083
IPSEC的加密通信中包含了两个协议,分别为AH(Authentication header验证包头),ESP(Encapsulating security payload,封装安全包头)协议。 AH负责执行封包的完整性验证 ESP则是负责执行封包的加密动作。 不管AH包头或是ESP包头,其内都包含有一个SPI字段,而该SPI值就是告知接收端主机要使用IPSEC数据库
查看Linux服务器的所占用的IP地址
Jesse的黑洞
07-26 5478
(1)从核心交换机上查看,mac+IP地址对应列表,查看形成的文档化的,服务器交换机网络连接对应表 (2)获取服务器的所有网卡的MAC地址 (3)服务器上ip addr show ------------------------------------------------------------ 面试题:          如何查看Linux服务器的网卡的MAC地址(Jes
liunx netfilter 编程
05-22
Linux Netfilter是Linux内核中的一个框架,用于对数据包进行过滤、转发、修改等操作。Netfilter可以在内核中通过一个叫做iptables的...如果你想深入了解Netfilter的编程,可以参考Linux内核源码中的相关代码和文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值