Linux协议栈-netfilter(3)-NAT

最新推荐文章于 2024-05-05 09:50:58 发布
最新推荐文章于 2024-05-05 09:50:58 发布
阅读量3.4k 收藏 19
点赞数 1
分类专栏: Linux内核源码 文章标签: linux协议栈 netfilter NAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonchen_gbd/article/details/44874631
版权
本文详细分析了Linux协议栈中netfilter的NAT模块,包括NAT模块的初始化过程,如全局变量初始化和hook函数注册,以及NAT处理数据包的流程,特别是PRE_ROUTING和POST_ROUTING链上的DNAT和SNAT操作。通过对iptables规则的匹配和conntrack连接的更新,解释了如何实现NAT转换,并特别讨论了UDP分片包和ICMP报文的NAT处理情况。
摘要由CSDN通过智能技术生成

本文对netfilter中NAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。

1. NAT模块的初始化

NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。

nf_nat_init()函数:


nf_nat_standalone_init()函数:


NAT表是一个xt_table,定义如下:

static struct xt_table nat_table = {
	.name		= "nat",
	.valid_hooks	= NAT_VALID_HOOKS,
	.me		= THIS_MODULE,
	.af		= AF_INET,
};

iptables的表如filter, nat,mangle表都是通过ipt_register_table()注册的,在netfilter中被使用。我们需要知道iptables的表中的每条规则都包括三部分:

entry:规则的入口,同时做一些匹配数据包的工作。

match:匹配数据包的条件大多放在这里。

target:对于符合条件的数据包要执行的动作放在这里。

NAT表中的每条规则就包括上面三个部分。

注册NAT表时传入的第三个参数nat_initial_table定义如下:

static struct
{
	struct ipt_replace repl;
	struct ipt_standard entries[3];
	struct ipt_error term;
} nat_initial_table __net_initdata = {
	.repl = {
		.name = "nat",
		.valid_hooks = NAT_VALID_HOOKS,
		.num_entries = 4,
		.size = sizeof(struct ipt_standard) * 3 + sizeof(struct ipt_error),
		.hook_entry = {
			[NF_INET_PRE_ROUTING] = 0,
			[NF_INET_POST_ROUTING] = sizeof(struct ipt_standard),
			[NF_INET_LOCAL_OUT] = sizeof(struct ipt_standard) * 2
		},
		.underflow = {
			[NF_INET_PRE_ROUTING] = 0,
			[NF_INET_POST_ROUTING] = sizeof(struct ipt_standard),
			[NF_INET_LOCAL_OUT] = sizeof(struct ipt_standard
最低0.47元/天 解锁文章
落尘纷扰
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
netfilter 链接跟踪机制与NAT原理
m0_74282605的博客
01-11 365
(原因:当数据包进入连接跟踪后,会建立一个tuple以及相应的replay tuple,而应答的数据包,会查找与之匹配的repaly tuple,——对于源地址转换而言,应答包中的目的地址,将是转换后的地址,而不是真实的地址,所以,为了让应答的数据包能找到对应的replay tuple,很自然地,NAT模块应该修改replaly tuple中的目的地址,以使应答数据包能找到属于自己的replay)。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。
Netfilter框架-完全解析.doc
02-25
Netfilter框架主要涉及到五个关键点,即"A"、"B"、"C"、"D"和"E",它们分别代表了网络协议中的不同处理阶段。这些点为数据包的处理提供了插入点,使得开发者可以通过注册钩子函数来拦截和操作数据包。 在...
linux下的nat源码分析,关于linux中nat实现的一些思考
weixin_32001191的博客
05-12 379
DNAT主要是用于保护nat内侧的服务器,针对外部主动连接内部的情形,而SNAT恰恰相反,为了保护和限制内部的网络客户机,针对的是内部主动连接外部的情形,在linux中,nat是基于连接跟踪模块起作用的,连接跟踪模块将每一个数据包试图和一个连接关联,结果就是要么这个数据包属于一个已经存在的连接,要么这个数据包不属于任何一个已经存在的连接,这种情况下连接跟踪模块将要为此数据包创建一个连接,显然该数据...
linux nat源码分析,Linux下NAT/NAPT规则源码分析
weixin_28674303的博客
05-12 147
38 static int39 udp_unique_tuple(struct ip_conntrack_tuple *tuple,40 const struct ip_nat_range *range,41 enum ip_nat_manip_type maniptype,42 const struct ip_conntrack *...
创建一个nats消息应用层协议
最新发布
leijmdas的专栏
05-05 637
3. **消息序列化/反序列化**:实现消息的序列化和反序列化机制,确保消息能够在客户端和服务器之间正确传输。1. **协议定义**:首先,你需要定义NATS协议的规范,包括消息格式、命令类型、连接和断开连接的流程等。2. **网络连接**:封装网络连接的建立和维护,包括TCP/IP连接的创建、心跳检测、自动重连机制等。4. **命令处理**:封装NATS协议中定义的各种命令的处理逻辑,如订阅、发布、取消订阅等。6. **错误处理**:实现错误处理机制,能够处理网络错误、协议错误等,并提供清晰的错误反馈。
netfilter&iptables探讨(4)——nat的实现与使用
dillanzhou的博客
12-11 1235
在之前的几篇文章中,我们讨论了netfilter与iptables的实现原理与基本用法。在netfilter&iptables的各种使用场景中,nat是最常用也是最复杂的用法之一。许多常用的网络使用模式都是通过nat iptables规则实现的,例如docker默认的bridge网络模式。本文将具体分析iptables中nat规则的实现方式,介绍报文经过nat规则实现地址转换的过程。并以docker bridge模式使用的nat规则为例,具体了解nat规则的实际用法。
Linux内核--基于Netfilter的内核级包过滤防火墙实现
星.云计算
05-16 903
测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1 原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7572382 更多请查看专栏http://blog.csdn.net/column/details/linux-kernel-net.html 作者:闫明 知识基础:本防火墙的开发基于...
基于Linux的TCP_IP协议安全性研究.pdf
09-07
Linux系统提供了Netfilter框架,这是一个强大的包过滤和防火墙机制,用于增强TCP/IP协议的安全性。Netfilter允许设置规则来过滤进出的数据包,阻止恶意流量,同时实现NAT转换和连接跟踪等功能。然而,配置不当或...
Reading-and-comprehense-linux-Kernel-network-protocol-stack:linux内核网络协议源码阅读分析注释-带详尽的中文分析注释以及相关流程分析调用注释,对理解分析内核协议源码很有帮助(源码学习交流QQ群:568892619)
03-22
由于工作中经常需要修改协议源码,包括封包解包各种隧道报文, NAT功能添加,路径修改,添加自己的netfilter代 编码等,由于部分内容涉及到公司保密内容,因此这些工作中添加修改的内核代码已经从本
Linux netfilter/iptables知识点详解
01-09
Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议之间...
深入Linux网络核心堆 netfilter详解.doc
06-20
Netfilter是Linux 2.4内核中一个重要的子系统,它提供了一套灵活的框架,允许开发者在数据包通过内核网络堆时对其进行处理,如包过滤、网络地址转换(NAT)、会话跟踪等。Netfilter的钩子(hook)机制允许在特定的...
linux下简单nat及带宽控制实现
08-27
采用了C++写的linux下简单nat及带宽控制实现,里面有
Linux netfilter 学习笔记 之二 ip 层netfilter的hook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 9040
上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
Linux内核路由器模式 内网ip的nat转换实现流程
taochao90的博客
03-29 2478
nat表需要的三个链:  1.PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。需要用到的几个动作选项...
Linux NAT基本流程与实现技巧
互联网
10-04 472
基于matches的NAT Linux的NAT是基于match的,即在满足一系列条件的前提下执行SNAT或者DNAT,因此要求也就比较宽松,唯一的约束就是路由,即路由动作发生的时候,必须是基于最终的目标IP地址,因此DNAT必须发生在路由之前(对于本机发出的数据包,则在路由之后,然后重新路由),如下图所示 附:Netfilter与ip_conntrack NetfilterLinux协议仅仅实...
Netfilter学习之NAT类型动态配置(八)nf_nat_proto_common.c代码解析
ty的博客
05-25 1349
   nf_nat_proto_common.c实现了对称型的端口改变,在此我决定对其代码进行分析,以便实现对对称型NAT的随意改动。    具体代码如下: #include <linux/types.h> #include <linux/random.h> #include <linux/netfilter.h> #include <linux/
谁动了你的五元组-Linux Netfilter NAT之nf_nat_alloc_null_binding
Netfilter
01-16 3460
Linux的Netfilter NAT实现中,为什么会有一个nf_nat_alloc_null_binding(在低版本内核比如2.6,它叫alloc_null_binding)调用? 该函数是在一条流没有命中任何NAT规则的时候调用了,其内部实现和对待命中了NAT规则的流的方式几乎一样,唯一的约束是,它只能修改一条流的源端口。 问题是,既然没有命中任何规则,为什么要修改流的源端口呢? 我早就想好好解释一下这个问题了,但我一直觉得有人已经解释过了,所以就没有写任何东西。周二下午家里有事正好休假,等待期
ja-netfilter idea 2023
08-08
2023年的"Ja-Netfilter"是一个基于网络过滤技术的创新想法。它旨在提供更高效、更智能的网络过滤解决方案,帮助用户更好地管理和保护他们的网络安全。 "Ja-Netfilter"将利用最新的人工智能和机器学习技术,通过深度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值