Linux协议栈-netfilter(5)-iptables

最新推荐文章于 2023-11-29 23:32:21 发布
最新推荐文章于 2023-11-29 23:32:21 发布
阅读量4.8k 收藏 14
点赞数 2
分类专栏: Linux内核源码 Linux系统 文章标签: netfilter iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonchen_gbd/article/details/44877543
版权

iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。

iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则表来对应netfilter中的表,以及定义了不同的链(chain)来对应netfilter中的hook点。这样,通过iptables命令生成的规则可以很容易的作用到内核中的netfilter模块,netfilter根据这些规则做真正的过滤工作。

netfilter模块中,不同的协议族定义了各自的一套hook点,例如,IPv4、IPv6、ARP、BRIDGE等协议族都分别定义了各自的netfilter处理流程以及各自的hook点,我们比较常见的就是IPv4协议定义的5个hook点(PRE_ROUTING,LOCAL_IN,LOCAL_OUT,FORWARD和POST_ROUTING)。同样的,为了和netfilter交互,在用户态分别有iptables、ip6tables、arptables、ebtables等命令来定义各协议族的过滤规则。

要使用iptables命令,则必须将netfilter模块编进内核。本文内容基于内核版本2.6.31。

1. 数据结构

netfilter中的每个表都定义成一个struct xt_table类型的结构体。例如下面定义的表:

   struct xt_table       *iptable_filter;

   struct xt_table      *iptable_mangle;

   struct xt_table      *iptable_raw;

   struct xt_table      *nat_table;

xt_table结构定义如下,表中的实际规则就放在其中的private成员中

struct xt_table
{
	struct list_head list;
	/* 在哪些hook点上注册了hook函数,是一个位图 */
	unsigned int valid_hooks;
	/*表的实际数据 */
	struct xt_table_info *private;
	struct module *me;
	/* 所属协议族 */
	u_int8_t af;
	/*表名,供用户空间设置iptables规则,或者内核匹配iptables规则 */
	const char name[XT_TABLE_MAXNAMELEN];
};

而private里的内容是:

/* The table itself */
struct xt_table_info
{
	/* 表的大小 */
	unsigned int size;
	/* Number of entries,即规则的数量 */
	unsigned int number;
	/* Initial number of entries,一般为上一次修改规则时的number */
	unsigned int initial_entries;

	/* 在每个hook点作用的entry的偏移(注意是相对于最后一个参数entry的偏移,即第一个hook的第一个ipt_entry的hook_entry为0) */
	unsigned int hook_entry[NF_INET_NUMHOOKS];

        /* 规则表的最大下界 */
	unsigned int underflow[NF_INET_NUMHOOKS];

	/* 规则表入口,即真正的规则存储结构. 在遍历一个规则表时,以此作为表的起始(即第一个ipt_entry)。由定义可知这是一个数组,每个元素对应每个CPU上的规则 入口。 */
	void *entries[1];
};

所以,通过private就可以定位到规则的实际内容了。

例如NAT表的定义如下,可知在定义时初始化好了下面4个成员。而在注册时会赋值list成员,在添加新规则时会给private赋值。 
static struct xt_table nat_table = {
	.name		= "nat",
	.valid_hooks	= (1 << NF_INET_PRE_ROUTING) | \
			 (1 << NF_INET_POST_ROUTING) | \
			 (1 << NF_INET_LOCAL_OUT),
	.me		= THIS_MODULE,
	.af		= AF_INET,
};

一条iptables规则包括三个部分:ipt_entry、ipt_entry_matches、ipt_entry_target。

ipt_entry_matches由多个ipt_entry_match组成,ipt_entry结构主要保存标准匹配的内容,ipt_entry_match 结构主要保存扩展匹配的内容,ipt_entry_target结构主要保存规则的动作。

struct ipt_entry
{
	/* ipt_ip结构:将要进行匹配动作的IP数据报报头的描述 */
	struct ipt_ip ip;
/* 经过这个规则后数据报的状态:未改变,已改变,不确定 */
	unsigned int nfcache;
	/* Size of ipt_entry + matches,target在matches的后面 */
	u_int16_t target_offset;
/* Size of ipt_entry + matches + target,即下一个ipt_entry的开始 */
	u_int16_t next_offset;
/* 指向数据报所经历的上一个规则地址。还可以作为hook mask表示规则作用于那个
hook点上 */
	unsigned int comefrom;
/* 匹配这个规则的数据报的计数以及字节计数 */
	struct xt_counters counters;
/* 存放matches(一条规则可有0到多个match)和一个target */
	unsigned char elems[0];
};

结构体中的elems成员用于定位规则的matches,target_offset用于定位规则的target,next_offset指向下一条规则入口即下一个ipt_entry。这样,只要定位到一个表中第一个规则的ipt_entry,就可以找到这个表中的所有规则了。

一个表中可以有多条规则,下图以IPV4上注

最低0.47元/天 解锁文章
落尘纷扰
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1799
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filter 表 hook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
Linux内核--基于Netfilter的内核级包过滤防火墙实现
星.云计算
05-16 898
测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1 原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7572382 更多请查看专栏http://blog.csdn.net/column/details/linux-kernel-net.html 作者:闫明 知识基础:本防火墙的开发基于...
(一)洞悉linux下的Netfilter&iptables:什么是Netfilter
01-23 914
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。     能在CU上混的人绝非等闲之辈。因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核
iptables和netfilter的通信流程
脚踏实地,不断突破自我,每天有收获就OK
12-14 2787
iptables和netfilter通信采用的是setsockopt和getsockopt函数 一、用户态iptables代码 前面博客文章 https://blog.csdn.net/haolipengzhanshen/article/details/84888489 我们分析了iptables的主流程,相信大家会熟悉下面的代码 ret = do_command4(argc, argv,...
iptables的自定义链--子链
weixin_33735077的博客
06-25 974
我个人理解:子链的作用就是为了减少重复设置,有的时候可能对数据包进行一系列的处理,而且还被多种规则引用。这样就可以设置成子链,一起跳转过去处理。 -j subchain 子链用-N来创建。 iptables -N 规则  ...
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
论文首先分析了 Linux 2.4 内核的 Netfilter 结构在 IP 协议栈中的位置和结构,然后介绍了应用 Patch-o-matic 结构扩展 Netfilter-iptables 目标(target)选项的机制和方法。 NetfilterLinux 防火墙的底层机构...
Linux netfilter/iptables知识点详解
01-09
Netfilter是位于网卡和内核协议栈之间的一堵墙,是一种免费的软件防火墙。 Netfilter中有三个主要的概念:规则、表、链,等级依次递增。 规则是对特定报文的处理说明,包括匹配字段和action。 链是一组规则的集合...
改进优化Linux网络协议栈
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
Linux Netfilter实现机制和扩展技术
08-18
2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的改动, Netfilter-iptables更是其一大特色,由于它功能强大,并且与内核完美结合,因此迅速成为Linux平台下进行网络2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的...
深入Linux网络核心堆栈 netfilter详解.doc
06-20
【深入Linux网络核心堆栈 netfilter详解】 NetfilterLinux 2.4内核中一个重要的子系统,它提供了一套灵活的框架,允许开发者在数据包通过内核网络堆栈时对其进行处理,如包过滤、网络地址转换(NAT)、会话跟踪等...
Red hat Linux内置防火墙软件iptables---子链RH-Firewall-1-INPUT
anonymalias的专栏
01-07 9346
iptablesLinux内置的封装包过滤软件。它定义了进出Linux封包的过滤规则。Iptables由多个表格组成,每个表格由若干链组成,每个链由若干规则组成。 其中最常用也是最重要的是管理本机进出封包的filter(过滤器)表格,filter默认包含以下3个链:  INPUT链:定义了进入Linux主机的封包的过滤规则; OUTPUT链:定义了送出Linux主机的封包的过滤规则;FO
iptables详解
Windeal
04-09 2259
基本概念防火墙Net-wall  Net-wall 即防火墙   简单地说,网络防火墙的作用就是对计算机流入或者流出的网络通信进行扫描处理。   防火墙提供了许多有用的功能,下面是一些例子:1. 过滤掉经过计算机的垃圾报文和攻击报文 2. 端口转发:外网PC通过端口转发可以访问内网PC 3. 限制特殊站点的访问 4. 限制特定流量的流出 ......防火墙的工作原理: 在内核表里生成一系列防火墙
iptables学习
Ghost_199503的博客
11-27 626
iptables学习
(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】
~~ LINUX ~~
04-16 492
向Netfilter中注册自己的hook函数 数据包在协议栈中传递时会经过不同的HOOK点,而每个HOOK点上又被Netfilter预先注册了一系列hook回调函数,当每个清纯的数据包到达这些点后会被这些可恶hook函数轮番调戏一番。有时候我们就在想,只让系统自带的这些恶棍来快活,我自己能不能也make一个hook出来和它们同流合污呢?答案是肯定的。 我们来回顾一...
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1603
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Netfilter 概述及其hook点
咕唧咕唧shubo.lk的专栏
01-16 7811
Netfilter概述         Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处
linux防火墙】iptables的四表五链以及实操应用
最新发布
liu_xueyin的博客
11-29 563
iptables的组成概述linux的防火墙体系主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者说是网络层防火墙,4层原理的防火墙)。linux系统的防火墙体系是基于内核编码实现的,是非常稳定和高效的,所以应用广泛;netfilter/iptables:ip信息包过滤系统,实际上是由两个组件组成:netfilteriptables;主要工作在网络层,针对ip数据包,体现在对包内的ip地址、端口信息处理。
linux ip 过滤器,Linux表驱动IP过滤器的基本工作过程
weixin_29337309的博客
05-07 273
表驱动IP过滤器的基本工作过程表驱动IP过滤器的基本工作过程(1) Linux的IP过滤器主要采用了表驱动方法, 表驱动入口函数为ipt_do_table(), 驱动表称为IP表, 用ip_table结构描述. IP表是位置无关的数据块, 它由表头(ipt_table_info)和变长的规则链组成. 表头包含了IP表的尺寸,规则数量和不同的过滤编号对应的规则项的起始位置. 规则链是由多个变长的规则...
linux下ip协议(V4)的实现(四)
但行好事 莫问前程
07-26 402
这次主要介绍的是ip层的切片与组包的实现。 首先来看一下分片好的帧的一些概念: 1 第一个帧的offset位非0并且MF位为1 2 所有的在第一个帧和最后一个帧之间的帧都拥有长度大于0的域 3 最后一个帧MF位为0 并且offset位非0。(这样就能判断是否是最后一个帧了). 这里要注意在linux中,ip头的frag_off域包含了 rfcip头的定义中的nf,df...
ja-netfilter idea 2023
08-08
2023年的"Ja-Netfilter"是一个基于网络过滤技术的创新想法。它旨在提供更高效、更智能的网络过滤解决方案,帮助用户更好地管理和保护他们的网络安全。 "Ja-Netfilter"将利用最新的人工智能和机器学习技术,通过深度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值