深入理解netfilter

最新推荐文章于 2023-06-23 17:32:22 发布

honghu79

最新推荐文章于 2023-06-23 17:32:22 发布

阅读量714

点赞数

分类专栏： Linux管理信息安全

本文链接：https://blog.csdn.net/elearnings/article/details/41790039

版权

Linux管理同时被 2 个专栏收录

46 篇文章 0 订阅

订阅专栏

信息安全

20 篇文章 0 订阅

订阅专栏

如果我们希望netfilter能为我们做些什么事情，那么我们就需要为netfilter设定一些执行规则，有了规则之后，netfilter才会知道哪些封包是可以被接受的，哪些是必须被过滤掉的等等。

netfilter存放规则的内存区块分为4个表：filter ,nat,mangle,raw.

filter：是netfilter内最为重要的机制，其任务是执行封包的过滤动作也就是防火墙的功能。

NAT：类似IP分享器

Mangle：可以借助Mangle机制修改行经防火墙内的封包内容。

RAW负责加快封包穿越防火墙机制的速度，借此提高防火墙的性能。

chain空间实际上就是我们存放“规则”的地方

input类型进入本机的；存放在input chain中

output类型离开本机的；存放在output chain中

forward类型路过本机的；存放在forward chain中。

table	chain
filter	INPUT
	FORWARD
	OUTPUT
NAT	PREROUTING
	POSTROUTING
	OUTPUT
MANAGLE	PREROUTING
	INPUT
	FORWARD
	OUTPUT
	POSTROUTING
RAW	PREROUTING
	OUTPUT

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

honghu79

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

netfilter简介

newand

12-03

1520

1. netfilter简介 netfilter是在Linux内核中一组钩子，这些钩子允许在网络协议栈中使用内核模块来注册回调函数，可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能，如过滤报文，修改报文等。和netfilter常常出现在一起的还有iptable，它是在netfilter基础上在Linux内核中内置的防火墙架构，它工作在用户空间，根据我们配置的规则集工作，

Netfilter框架-完全解析.doc

02-25

Netfilter框架是Linux内核中的一个核心组件，自2.4.x版本开始引入，它提供了一个通用且抽象的...理解Netfilter的工作原理和实现细节，对于网络管理员和系统开发者来说至关重要，因为它直接关乎到系统的网络安全和性能。

参与评论您还未登录，请先登录后发表或查看评论

Netfilter_读书笔记.pdf

05-13

本文以 NAT 中的应用层网关为线索，以ftp ALG 为例子，分析了netfilter 中NAT 部分的实现。Netfilter 虽然集成了Firewall，NAT 和mangel 的功能，但本人觉得NAT 最为复杂。当理解了NAT 部分的功能，再看Firewall 和mangle 的功能，会有“会当临绝顶，一览众山小”的感觉。

深入理解Netfilter和iptables

我心依旧，明月长歌

02-19

2091

本系列博文主要侧重于分析Netfilter的实现机制、原理和设计思想层面的东西，同时包括从用户态的iptables到内核态的Netfilter的交互过程和通信手段等。至于iptables的入门用法方面的东西，网上随便一搜罗就有一大堆，我这里不浪费笔墨了。很多人在接触iptables之后就会这么一种感觉：我通过iptables命令配置的每一条规则，到底是如何生效的呢？内核又是怎么去执行这些规则匹...

netfilter 讲解，讲的很好

miaomiaodmiaomiao的专栏

08-01

1322

Netfilter为多种网络协议（IPv4、IPv6、ARP等）各提供了一套钩子函数。在IPv4中定义了5个钩子函数，这些钩子函数在数据包流经协议栈的5个关键点被调用。这就像有5个钓鱼台，在每个钓鱼台放了一个鱼钩(钩子函数)，把经过的数据包钓上来，然后根据自定义的规则，来决定数据包的命运：可以原封不动的放回IPv4协议，继续向上层递交；可以进行修改，再放回IPv4协议；也可以直接丢

netfilter介绍

xiakewudi的专栏

08-24

4852

一、什么是netfilter? Netfilter是Linux 2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理。

Netfilter框架完全解析.pdf

09-30

Netfilter框架完全解析.pdf

"深入解析Netfilter/IPTables源代码及架构设计"。

Netfilter的架构和设计理念将逐一进行详细的分析和讨论，以便读者深入理解其实现和功能。 Netfilter源代码分析的第一个部分是对Netfilter/IPTables框架的概述。介绍了Netfilter/IPTables的发展历程和设计理念，以及...

深入解析Netfilter中的连接跟踪技术

在深入探讨TFP（可能是指TCP Flow Processor）的链接跟踪技术之前，我们先理解Netfilter的整体架构。Netfilter是Linux内核中的一个框架，它提供了一种机制，允许内核模块在数据包通过网络栈的关键点进行干预。这个...

深入解析Linux Netfilter机制

通过对源码的深入分析，我们可以了解到Netfilter如何在运行时存储、遍历规则，以及如何高效地处理网络数据包。然而，由于内核代码的复杂性，分析可能存在不准确之处，需要持续学习和验证。以上是对Netfilter机制的...

Netfilter的使用和实现

weixin_30901729的博客

04-02

161

本文主要内容：Netfilter的原理和实现浅析，以及示例模块。内核版本：2.6.37 Author：zhangskd @ csdn blog 概述 Netfilter为多种网络协议（IPv4、IPv6、ARP等）各提供了一套钩子函数。在IPv4中定义了5个钩子函数，这些钩子函数在数据包流经协议栈的5个关键点被调用。这就像有5个钓鱼台，在每个钓鱼台放了一个鱼钩...

netfilter

nongfuchui的博客

08-28

1001

#firewalld&netfilter permissive,遇到真正需要阻断时不会真正阻断，只会提醒在centos7以前叫netfilter，在7中称之为netfilter 由于好多服务受限于selinux，并且开启selinux会增大运营成本，所以大多时候会处于关闭状态在centos7中 firewalld是默认开启的，下图显示如何开启netfilter关闭fi...

大白话netfilter

yanchendage的博客

03-16

9879

背景最近在看k8s源码，读到了kube proxy，网络应该是k8s里重要的一章节，看着看着发现还是之前学的又给忘了，所以先来一波技术储备。 netfilter net+filter，filter是过滤的意思，那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间，那也就是说netfilter在内核空间设立了一个个检测点（HOOK）。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后，送往本机的通过此检查点

linux-内核：netfilter框架

最新发布

赵凯月的博客

06-23

1824

Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制，是linux内核的一个子系统。Netfilter 采用模块化设计，具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接到内核态的 Netfilter 的架构中， Netfilter 与 IP 协议栈是无缝契合的，并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。

【协议森林】详解Netfilter（一）

平凡的世界

01-09

2231

1、Netfilter介绍 Netfilter是2.4.x内核引入的，工作在内核空间中，通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中，netfilter是一个包过滤框架，默认地，它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性，任何有内核开发经验的开发人员，也可以很容易地利用它提供接口，在内核的数据链路层、网络层，实现...

netfilter----filter机制

化茧成蝶007

08-18

757

扎实的掌握防火墙需要了解数据包分类数据包分类： INPUT类型：所谓INPUT类型数据包是指“网络上其他主机发送给本机进程的数据包” 例如：网络上其他使用者访问本机的httpd服务时，就会产生这种类型的数据包 OUTPUT类型：如果是“本机进程”所生成的数据包，即为OUTPUT类型数据包。例如：使用者在本机启动firefox去访问网络上的其他主机时，就会生成这种

深入理解netfilter框架|经典PDF

极客重生

07-08

1206

hi，大家好，今天给大家分享一个学习Linux内核防火墙经典文档，文章贯穿了用户态 iptables，内核态 netfilter 及 conntrack，图文并茂，包含重要的数据结构解析和...

netfilter 结构整理

weixin_34077371的博客

08-31

341

@(Linux network) netfilter struct 整理结构体关系图阐述了结构体之间的关联 xt_table 在net->netns_ipv4结构体中，包含了如下几个xt_table iptable_filter iptable_mangle iptable_raw arptable_filter nat_...

netfilter 理解