Linux内核--基于Netfilter的内核级包过滤防火墙实现

最新推荐文章于 2024-06-03 20:40:56 发布
最新推荐文章于 2024-06-03 20:40:56 发布
阅读量898 收藏 4
点赞数
文章标签: 操作系统 网络

测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1

原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7572382

更多请查看专栏http://blog.csdn.net/column/details/linux-kernel-net.html

作者:闫明


知识基础:本防火墙的开发基于对Linux内核网络栈有个良好的概念,本人对网络栈的分析是基于早期版本(Linux 1.2.13),在明确了网络栈架构的前提下,上升一步分析高级版本内核中的Netfilter防火墙实现原理,然后进行模块或内核编程,开发一款基于包过滤的个人防火墙。

包过滤防火墙:包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。工作于网络层,能对IP数据报进行首部检查。例如:IP源地址,目的地址,源端口和目的端口等。

本防火墙的包过滤功能如下:  

* 拒绝来自某主机或某网段的所有连接。
  * 允许来自某主机或某网段的所有连接。
  * 拒绝来自某主机或某网段的指定端口的连接。
  * 允许来自某主机或某网段的指定端口的连接。
  * 拒绝发去某主机或某网段的所有连接。
  * 允许发去某主机或某网段的所有连接。
  * 拒绝发去某主机或某网段的指定端口的连接。
  * 允许发去某主机或某网段的指定端口的连接。

Netfilter框架是Linux内核分析和过滤特定协议数据包处理框架,为其他模块动态参与网络层数据包处理提供了方便的途径。

该防火墙的总体结构如下:


本防火墙的简单功能就是检查数据包是否符合过滤的条件,如果不符合就舍弃(Drop),否则就接受(Accept),这里定义八个链表头结点

struct ip_node  ip_allowed_in_node_head;/*允许的远程主机或网络IP地址头节点*/
struct ip_node  ip_denied_in_node_head;/*拒绝的远程主机或网络IP地址头节点*/
struct ip_node  ip_allowed_out_node_head;/*允许的本地主机或网络IP地址头节点*/
struct ip_node  ip_denied_out_node_head;/*拒绝的本地主机或网络IP地址头节点*/

struct port_node port_allowed_in_node_head;/*允许的远程主机或网络传输层端口号头节点*/
struct port_node port_denied_in_node_head;/*拒绝的远程主机或网络传输层端口号头节点*/
struct port_node port_allowed_out_node_head;/*允许的本地主机或网络传输层端口号头节点*/
struct port_node port_denied_out_node_head;/*拒绝的本地主机或网络传输层端口号头节点*/

用于保存配置文件中的地址或端口信息。

定义两个钩子函数hook_func_in和hook_func_out,分别将其挂载到INET协议族的入口NF_INET_LOCAL_IN和出口NF_INET_LOCAL_OUT:

static struct nf_hook_ops my_netfilter[] =
{
	{
		.hook		=hook_func_in,
		.owner		=THIS_MODULE,
		.pf		=PF_INET,
		.hooknum	=NF_INET_LOCAL_IN,
		.priority	=100
	},
	{
		.hook		=hook_func_out,
		.owner		=THIS_MODULE,
		.pf		=PF_INET,
		.hooknum	=NF_INET_LOCAL_OUT,
		.priority	=100
	}
};


说明一下自己定义的一些宏和引用的头文件:

#ifndef MODULE
#define MODULE
#endif

#ifndef __KERNEL__
#define __KERNEL__
#endif
//#define NET_DOWN
#define MY_FIREWALL_DEBUG

#include <asm/system.h>
#include <linux/module.h>
#include <linux/types.h>
#include <linux/kernel.h>
#include <linux/string.h>

#include <linux/net.h>
#include <linux/socket.h>
#include <linux/sockios.h>
#include <linux/in.h>
#include <linux/inet.h>


#include <net/ip.h>
#include <net/protocol.h>
#include <linux/skbuff.h>
#include <net/sock.h>
#include <net/icmp.h>
#include <net/raw.h>
#include <net/checksum.h>
#include <linux/netfilter_ipv4.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/igmp.h>

#include <linux/fs.h>
#include <linux/mm.h>
#include <asm/uaccess.h>

#define YES 1
#define NO 0

#define IP_MAX_LEN 20
#define PORT_MAX_LEN 20

#define ALLOWED_IP_IN 0
#define DENIED_IP_IN 1
#define ALLOWED_IP_OUT 2
#define DENIED_IP_OUT 3

#define ALLOWED_PORT_IN 0
#define DENIED_PORT_IN 1
#define ALLOWED_PORT_OUT 2
#define DENIED_PORT_OUT 3

#define ALLOWED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_in"
#define DENIED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_in"
#define ALLOWED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_in"
#define DENIED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_in"

#define ALLOWED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_out"
#define DENIED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_out"
#define ALLOWED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_out"
#define DENIED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_out"

//DEFINE FOR WORK_MODE

/*不工作状态,默认*/
#define MODE_FREE 0
/*允许来自某主机或某网段的所有连接*/
#define MODE_IP_ONLY_ALLOWED_IN 1

/*拒绝来自某主机或某网段的所有连接*/
#define MODE_IP_ONLY_DENIED_IN 2

/*允许来自某主机或某网段指定端口的连接*/
#define MODE_IP_PORT_ALLOWED_IN 3

/*拒绝来自某主机或某网段的指定端口的连接*/
#define MODE_IP_PORT_DENIED_IN 4

/*允许本地主机或本地网络与其他主机或网络的所有连接*/
#define MODE_IP_ONLY_ALLOWED_OUT 5

/*拒绝本地主机或本地网络与其他主机或网络的所有连接*/
#define MODE_IP_ONLY_DENIED_OUT 6

/*允许本地主机或网络与其他主机或其他网络的指定端口的连接*/
#define MODE_IP_PORT_ALLOWED_OUT 7

/*拒绝本地主机或网络与其他主机或其他网络的指定端口的连接*/
#define MODE_IP_PORT_DENIED_OUT 8


下面是防火墙模块的初始化函数:

int init_firewall()
{
	(&ip_allowed_in_node_head)->next = NULL;
	(&ip_denied_in_node_head)->next = NULL;
	(&port_allowed_in_node_head)->next = NULL;
	(&port_denied_in_node_head)->next = NULL;

	(&ip_allowed_out_node_head)->next = NULL;
	(&ip_denied_out_node_head)->next = NULL;
	(&port_allowed_out_node_head)->next = NULL;
	(&port_denied_out_node_head)->next = NULL;

	switch(work_mode)
	{
		case MODE_IP_ONLY_ALLOWED_IN:
			open_ip_cfg_file(ALLOWED_IN_IP_CONF_FILE_DIR,ALLOWED_IP_IN);
			break;
		case MODE_IP_ONLY_DENIED_IN:
			open_ip_cfg_file(DENIED_IN_IP_CONF_FILE_DIR,DENIED_IP_IN);
			break;
		case MODE_IP_PORT_ALLOWED_IN:
			open_port_cfg_file(ALLOWED_IN_PORT_CONF_FILE_DIR,ALLOWED_PORT_IN);
			open_ip_cfg_file(ALLOWED_IN_IP_CONF_FILE_DIR,ALLOWED_IP_IN);
			break;
		case MODE_IP_PORT_DENIED_IN:
			open_port_cfg_file(DENIED_IN_PORT_CONF_FILE_DIR,DENIED_PORT_IN);
			open_ip_cfg_file(ALLOWED_IN_IP_CONF_FILE_DIR,ALLOWED_IP_IN);
			break;
		case MODE_IP_ONLY_ALLOWED_OUT:
			open_ip_cfg_file(ALLOWED_OUT_IP_CONF_FILE_DIR,ALLOWED_IP_OUT);
			break;
		case MODE_IP_ONLY_DENIED_OUT:
			open_ip_cfg_file(DENIED_OUT_IP_CONF_FILE_DIR,DENIED_IP_OUT);
			break;
		case MODE_IP_PORT_ALLOWED_OUT:
			open_port_cfg_file(ALLOWED_OUT_PORT_CONF_FILE_DIR,ALLOWED_PORT_OUT);
			open_ip_cfg_file(ALLOWED_OUT_IP_CONF_FILE_DIR,ALLOWED_IP_OUT);
			break;
		case MODE_IP_PORT_DENIED_OUT:
			open_port_cfg_file(DENIED_OUT_PORT_CONF_FILE_DIR,DENIED_PORT_OUT);
			open_ip_cfg_file(ALLOWED_OUT_IP_CONF_FILE_DIR,ALLOWED_IP_OUT);
			break;
		default:break;
	}
	
	
	
	//open_port_cfg_file(DENIED_PORT_CONF_FILE,DENIED_PORT);
	nf_register_hook(&my_netfilter[0]);
	nf_register_hook(&my_netfilter[1]);
	printk("INIT my firewall OK!\n");
	return 0;
}

先从文件读取配置文件,加载到内核,然后注册钩子操作结构my_netfilter[0],my_netfilter[1]

下图是Netfilter的IPV4下的结构

上述的两个函数挂载位置NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT,分别处理从本机发出和到达本机的数据包。

下面就是挂载到这两个挂载点的钩子函数,用于数据包的检查

static unsigned int hook_func_in(unsigned int hook,
				struct sk_buff *skb,
				const struct net_device *in,
				const struct net_device *out,
				int (*okfn)(struct sk_buff *))
{
#ifdef NET_DOWN
	return NF_DROP;
#else
	struct iphdr *iph = ip_hdr(skb);
	__be32 saddr = ntohl(iph->saddr);
	
	
	__be16 sport = 0,dport = 0;
	if(trans_port(iph,skb,&sport,&dport) == NO && \
		work_mode == MODE_IP_PORT_ALLOWED_IN || \
			work_mode == MODE_IP_PORT_DENIED_IN)
		return NF_ACCEPT;

#ifdef MY_FIREWALL_DEBUG
	__be32 daddr = ntohl(iph->daddr);
	printk("saddr= %u : %u  daddr= %u : %d\n",saddr,sport,daddr,dport);
#endif

	switch(work_mode)
	{
		case MODE_FREE:
			return NF_ACCEPT;
		case MODE_IP_ONLY_ALLOWED_IN:
			if(ip_in_cfg_file(saddr,&ip_allowed_in_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		case MODE_IP_ONLY_DENIED_IN:
			if(ip_in_cfg_file(saddr,&ip_denied_in_node_head))
				return NF_DROP;
			else return NF_ACCEPT;
			break;
		case MODE_IP_PORT_ALLOWED_IN:
			if(ip_in_cfg_file(saddr,&ip_allowed_in_node_head) && \
				port_in_cfg_file(sport,&port_allowed_in_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		case MODE_IP_PORT_DENIED_IN:
			if(ip_in_cfg_file(saddr,&ip_allowed_in_node_head) && \
				!port_in_cfg_file(sport,&port_denied_in_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		default:
			return NF_DROP;
			break;
	}
#endif

}

static unsigned int hook_func_out(unsigned int hook,
				struct sk_buff *skb,
				const struct net_device *in,
				const struct net_device *out,
				int (*okfn)(struct sk_buff *))
{
#ifdef NET_DOWN
	return NF_DROP;
#else
	struct iphdr *iph = ip_hdr(skb);
	
	__be32 daddr = ntohl(iph->daddr);
	
	__be16 sport = 0,dport = 0;

	if(trans_port(iph,skb,&sport,&dport) == NO && \
		work_mode == MODE_IP_PORT_ALLOWED_OUT && \
			work_mode == MODE_IP_PORT_DENIED_OUT)
		return NF_ACCEPT;

#ifdef MY_FIREWALL_DEBUG
	__be32 saddr = ntohl(iph->saddr);
	printk("saddr= %u : %u  daddr= %u : %d\n",saddr,sport,daddr,dport);
#endif

	switch(work_mode)
	{
		case MODE_FREE:
			return NF_ACCEPT;
		case MODE_IP_ONLY_ALLOWED_OUT:
			if(ip_in_cfg_file(daddr,&ip_allowed_out_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		case MODE_IP_ONLY_DENIED_OUT:
			if(ip_in_cfg_file(daddr,&ip_denied_out_node_head))
				return NF_DROP;
			else return NF_ACCEPT;
			break;
		case MODE_IP_PORT_ALLOWED_OUT:
			if(ip_in_cfg_file(daddr,&ip_allowed_out_node_head) && \
				port_in_cfg_file(dport,&port_allowed_out_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		case MODE_IP_PORT_DENIED_OUT:
			if(ip_in_cfg_file(daddr,&ip_allowed_out_node_head) && \
				!port_in_cfg_file(dport,&port_denied_out_node_head))
				return NF_ACCEPT;
			else return NF_DROP;
			break;
		default:
			return NF_DROP;
			break;
	}
#endif

}

下面是打开文件并读取信息的函数,这里以打开IP地址的配置文件为例 

static int open_ip_cfg_file(char * file_dir,int flag)
{
	struct file * filp = NULL;
	
	char str[IP_MAX_LEN];
	int i = 0;

	if((filp = filp_open(file_dir,O_RDONLY,0)) < 0) 
		return NO;

	mm_segment_t fs;
	fs = get_fs();
	set_fs(KERNEL_DS);


	struct ip_node * work = NULL;

	while((filp->f_op->read(filp,&str[i],1,&filp->f_pos)) == 1)
	{
		if(str[i] == '\n')//next line
		{
			str[i] = '\0';//the end of a string
			i = 0;
#ifdef MY_FIREWALL_DEBUG
			printk("%s\n",str);
#endif
			work = (struct ip_node *)kmalloc(sizeof(ip_allowed_in_node_head),GFP_ATOMIC);
		
			
			if( ip_to_unsigned(str,&(work->ip_start),&(work->ip_end)) == 0 )
				return NO;

			switch(flag)
			{
				case ALLOWED_IP_IN:
					work->next = (&ip_allowed_in_node_head)->next;
					(&ip_allowed_in_node_head)->next = work;//head insert
					break;
				case DENIED_IP_IN:
					work->next = (&ip_denied_in_node_head)->next;
					(&ip_denied_in_node_head)->next = work;//head insert
					break;
				case ALLOWED_IP_OUT:
					work->next = (&ip_allowed_out_node_head)->next;
					(&ip_allowed_out_node_head)->next = work;//head insert
					break;
				case DENIED_IP_OUT:
					work->next = (&ip_denied_out_node_head)->next;
					(&ip_denied_out_node_head)->next = work;//head insert
					break;
				default:break;
			}
				
			filp->f_op->read(filp,&str[0],1,&filp->f_pos);//eat the '\r'
		}
		

		if(i > IP_MAX_LEN) return NO;
		i++;
		
	}
	return YES;
}

这里配置文件中不仅支持具体的IP地址,还支持IP地址网段,例如

192.168.1.1

192.168.1.*

192.168.*.*

192.*.*.*

下面是处理函数

/************************************************
str:The IP Address like 192.168.1.1
start:The pointer to the start IP
end:The pointer to the end IP
***********************************************/
static int ip_to_unsigned(const char * str,unsigned int * start,unsigned int * end)
{
	char cache[4][4];
	/*split the IP address*/
	int i;
	int k = 0;
	int j = 0;
	for(i = 0;str[i] != '\0';i++)
	{
		cache[j][k] = str[i];
		if(str[i] == '.')
		{
			cache[j][k] = '\0';
			k = 0;
			j++;
			
		}
		else k++;
		if(j > 3) return NO;
	}
	cache[3][k] = '\0';

	short int a[4];
	for(i = 0;i < 4;i++)
	{
		if(cache[i][0] != '*')
		{
			a[i] = (short)simple_strtol(cache[i],NULL,0);
			if(a[i] < 0 || a[i] > 255) return NO;
		}
		else
		{
			break;
		}
	}

	switch(i)
	{
		case 4:/*Specific IP Address eg.  192.168.1.1   */
			*start = *end = (a[0]<<24) + (a[1]<<16) + (a[2]<<8 )+a[3];
			break;
		case 3:/*  eg. 192.168.1.*   */
			*start = (a[0]<<24) + (a[1]<<16) + (a[2]<<8);
			*end = *start + (1<<8) - 1;
			break;
		case 2:/*  eg. 192.168.*.*   */
			*start = (a[0]<<24) + (a[1]<<16);
			*end = *start + (1<<16) - 1;
			break;
		case 1:/*  eg. 192.*.*.*    */
			*start = (a[0]<<24);
			*end = *start + (1<<24) - 1;
			break;
		default:
			*start = 0;
			*end = (1<<32) - 1;
			break;
	}

	return 	YES;
}

模块的移除函数 

void remove_firewall()
{
	free_ip_list(&ip_allowed_in_node_head);
	free_ip_list(&ip_denied_in_node_head);

	free_ip_list(&ip_allowed_out_node_head);
	free_ip_list(&ip_denied_out_node_head);

	free_port_list(&port_allowed_in_node_head);
	free_port_list(&port_denied_in_node_head);

	free_port_list(&port_allowed_out_node_head);
	free_port_list(&port_denied_out_node_head);

	nf_unregister_hook(&my_netfilter[0]);
	nf_unregister_hook(&my_netfilter[1]);
	printk("CLEAN up my firewall OK!\n");
}

MODULE_LICENSE("Dual BSD/GPL");
MODULE_AUTHOR("yming0221@gmail.com");
该防火墙支持命令参数设置,根据参数设置防火墙的工作模式,只需定义和声明 

static int work_mode = 0;//default mode
module_param(work_mode,int,S_IRUGO);

目前测试,防火墙正常工作。

可以看到数据包能到达网络层,但由于防火墙启用的相应检查规则,浏览器等应用层软件无法联网,数据包被丢弃。




iteye_12675
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kernel: netfilter
mzhan017的博客
10-30 210
走进Linux内核之Netfilter框架
m0_74282605的博客
03-07 1145
而 okfn 设置为 ip_rcv_finish,也就是说,当 NF_IP_PRE_ROUTING 链上的所有钩子函数都成功对数据进行处理后,将会调用 ip_rcv_finish 函数来继续对数据进行处理。在用户态层面,根据不同的协议类型,为上层用户提供了不同的系统调用工具,比如我们常用的针对IPv4协议iptables,IPv6 协议的ip6tables,针对ARP协议的arptables,针对网桥控制的ebtables,针对网络连接追踪的conntrack等。
基于Linux过滤防火墙设计与实现
03-24
Linux下,基于netfilter框架设计的过滤防火墙。该防火墙分为用户空间和内核空间两个部分的内容。
基于Netfilter从零开始写一个Linux防火墙
qq_41781462的博客
03-21 145
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码。
linux Netfilter网络层的实现详细分析(iptables)
maimang1001的专栏
06-10 625
Linux使用Netfilter框架编写内核模块_yg@hunter的博客-CSDN博客_linux netfilter编程上篇文章我们从内核源码的角度分析Linux Netfilter框架下,hook钩子是如何被执行的,这次我们写个简单的示例代码,详细介绍下如何使用Netfilter框架编写内核模块。https://blog.csdn.net/weixin_42915431/article/details/122226079我在之前已经写过两篇关于netfilter的文章:Linux netfilter
Linux内核--基于Netfilter内核过滤防火墙实现.doc
10-29
本人对网络栈的分析是基于早期版本(Linux 1.2.13),在明确了网络栈架构的前提下,上升一步分析高版本内核中的Netfilter防火墙实现原理,然后进行模块或内核编程,开发一款基于过滤的个人防火墙过滤防火墙...
Linux内核Netfilter过滤防火墙的设计与实现.pdf
09-06
Linux内核Netfilter过滤防火墙的设计与实现.pdf
内核防火墙netfilter
11-07
能(过滤,地址伪装,透明代理),又避免了商业防火墙那高的惊人的价格。如果 你用的是某款国产防火墙,那么十有八九你实际在受到ipchains(有些甚至是2.0系列 中ipfwadm)的保护:-).在未来的2.4内核中,被称为...
基于Linux内核Netfilter框架的P2P管理.pdf
09-06
【基于Linux内核Netfilter框架的P2P管理】 P2P(Peer-to-Peer)技术是一种分布式网络架构,允许网络中的每个节点既是客户端也是服务器,直接与其他节点交互,共享资源和服务。这种技术广泛应用于文件共享、流媒体、...
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
最新发布
qq_21160025的博客
06-03 6526
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
kernel netfilter配置
10-13
kernel netfilter的配置,通过这个配置实现IPTABLES的访问。
继iptables之后的新一代过滤框架是nftables
weixin_34183910的博客
11-12 590
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日 记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊 中得过且过,就准备把自己知道的关于Linux网络的东西一点一...
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3418
本文对netfilter中NAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
netfilter 防火墙 过滤 实例
eqxu的专栏
06-19 1597
下面这个模块是用来将 #include #include static struct nf_hook_ops user_hook_ops= {   { NULL, NULL },   user_hookfn, //用户定义的钩子函数   PF_INET,   NF_IP_LOCAL_IN, //挂载点 。对于所有进入本机的数据使用网络套接字的IPC),都是在此挂载点完成的过滤
NetFilter权限提升
m0_64053653的博客
01-19 432
linux内核漏洞
linux禁用设备怎么实现,Linux下如何禁止加载某些模块
weixin_28721743的博客
05-05 1643
本文最后更新于2017年5月28日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!=Start=缘由:正文:参考解答:对内核模块来说,黑名单是指禁止某个模块装入的机制。当对应的硬件不存在或者装入某个模块会导致问题时很有用。# vim /etc/modprobe.d/blacklist.conf...install MODULE_NAME /bin/false...这样就可以 "屏蔽...
Linux Netfilter 内核参数调优
屈帅波的技术博客
03-06 4642
Netfilterlinux 内在的一个软件框架,用来记录管理网络数据,Netfilter提供了5个hook 来记录管理网络。 Netfilter进行的管理,则需要记录每个连接的状态信息。这就是nf_conntrack的工作内容。 PREROUTING, 所有都会经过这个hook LOCAL INPUT, 进入本机的会经过这个hook FORWARD, 不进入本机的,做转发的会经过这个hook LOCAL OUTPUT, 从本机出去的会经过这个hook POSTROUTING, 所.
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4900
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
linux内核netfilter,Linux内核报文收发
weixin_42287030的博客
04-29 303
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?Linux版本: 3.10.103网卡驱动: ixgbe位置框架图ip_rcv调用NF_HOOK开始进入netfilter框架对数据进行处理NF_HOOK(pf, hook, skb, indev, outdev, okfn)pf :协议族名,Netfilter架构可以用于IP层之外,ipv4、arp、bridge、ip...
Linux下的简单网络管理控制系统的设计与开发毕业论文.doc
08-14
控制管理模块的关键部分是利用Linux的netfilter数据控制过滤机制,这是一种强大的网络过滤工具,能够对进出网络的数据进行精细的管理和控制。 作者深入解析了netfilter在IPv4网络协议中的结构,特别关注了在Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值