netfilter

最新推荐文章于 2022-03-16 18:06:28 发布
最新推荐文章于 2022-03-16 18:06:28 发布
阅读量435 收藏 2
点赞数

11.1.1  netfilter的结构框架(1)

1.Linux防火墙发展历程

最开始的ipfwadm是AlanCox在Linux Kernel发展的初期,从FreeBSD的内核代码中移植过来的。后来经历了ipchains,再经由Paul Russel在Linux Kernel 2.3系列的开发过程中发展了netfilter这个架构。而用户空间的防火墙管理工具,也相应的发展为iptables。在经历了Linux Kernel 2.4和2.6的发展以后,的确可以说,netfilter iptables经受住了大量用户广泛使用的考验。本文将基于Linux 2.6的内核来进行叙述。

2.什么是netfilter

netfilter是Linux 2.6内核实现的防火墙框架,它比以前任何一版Linux内核的防火墙子系统都要完善强大。netfilter提供了一个抽象、通用化的框架,该框架定义了一个子功能,实现的就是包过滤子系统。netfilter由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。

3.netfilter在IPv4中的结构

Linux 2.6支持对IPv4、IPv6及DECnet的钩子(本小节只提及IPv4的钩子)。IPv4协议栈为了实现对netfilter架构的支持,在IP包在IPv4协议栈上的游历路线(如图11.1所示)之中选择了5个检查点,可以在linux/netfilter_ipv4.h里面找到这些符号的定义,表11.1列出了IPv4中定义的钩子。

表11.1  IPv4中定义的钩子

钩子名称

调用时机

NF_IP_PRE_ROUTING

完整性校验之后,路由决策之前

NF_IP_LOCAL_IN

目的地为本机,路由决策之后

NF_IP_FORWARD

数据包要到达另外一个接口

NF_IP_LOCAL_OUT

本地进程的数据,发送出去的过程中

NF_IP_POST_ROUTING

向外流出的数据上线之前

在这5个检查点上,各引入了一行对NF_HOOK()宏函数的相应调用。如果没配置防火墙,NF_HOOK()便从netfilter模块转回到IPv4协议栈继续往下处理。如果配置了防火墙,NF_HOOK()就转去调用nf_hook_slow()函数,该函数会按顺序调用在该检查点注册的钩子函数,不管钩子函数对数据包做了哪些处理,它都必须返回表11.2中的一个预定义的值。NF_IP_PRE_ROUTING钩子是数据包接收后第一个调用的钩子程序,这个钩子在后面编写的模块当中将会被用到。

表11.2  netfilter的返回值

返回值

含义

NF_DROP

丢弃这个数据包

NF_ACCEPT

保留这个数据包

NF_STOLEN

忘掉这个数据包

NF_QUEUE

让这个数据包在用户空间排队

NF_REPEAT

再次调用这个钩子函数

NF_DROP表示要丢弃这个数据包,并且为这个数据包申请的所有资源都要得到释放。NF_ACCEPT告诉netfilter到目前为止,这个数据包仍然可以被接收,应该将它移到网络堆栈的下一层。NF_STOLEN是非常有趣的一个返回值,它告诉netfilter让其忘掉这个数据包,也就是说钩子函数会在这里对这个数据包进行完全处理,而netfilter应该放弃对它的任何处理。然而这并不意味着为该数据包申请的所有资源都要释放掉。这个数据包和它各自的sk_buff结构体依然有效,只是钩子函数从netfilter夺取了对这个数据包的掌控权。最后一个返回值NF_REPEAT,就是当用户改变了该数据包包头的某些信息时,那可以请求netfilter再次调用这个钩子函数对它进行操作。

4.注册和注销netfilter钩子函数

在上面提到了nf_hook_slow()函数会按顺序调用在该检查点注册的钩子函数,那钩子函数是怎样注册的呢?注册一个钩子函数是一个围绕nf_ hook_ ops结构体的简单过程,在linux/netfilter.h中有这个结构体的定义:

 
 
  1. struct nf_hook_ops  
  2. {  
  3.   struct list_head list;  
  4.   nf_hookfn *hook;  
  5.   int pf;  
  6.   int hooknum;  
  7.   int priority;  
  8. };  
这个结构体的成员列表主要是用来维护注册的钩子函数列表的,对于用户来说,在注册时并没有多么重要。list是一个有prev和next两个域的双向链表,各检查点的钩子函数就是通过它按照priority的值由小到大链接在一起的,nf_hook_slow()函数依靠遍历这个表来调用该检查点的钩子函数。hook 是指向nf_hookfn函数的指针,也就是为这个钩子将要调用的所有函数。nf_hookfn同样定义在linux/netfilter.h文件中。pf字段指定了协议簇(Protocol Family),linux/socket.h中定义了可用的协议簇。对于IPv4而言,只使用PF_INET。hooknum 域指明了为哪个检查点安装这个函数,即表11.1中所列出的条目中的一个。priority域表示在运行时这个钩子函数执行的顺序。我们选择NF_IP_PRI_FIRST这个最高优先级来运行编写的内核模块。
killmice
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Netfilter笔记-01
七七的博客
03-27 485
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。 netfilter架构中不同的协议类型有不同的HOOK。协议类...
C语言中位域
作一个独立连续的思考者
07-30 728
引自:http://wenku.baidu.com/view/5efe35ccda38376baf1fae9a.html 这是C语言位域 ( 冒号 ) 问题 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位。例如在存放一个开关量时,只有0和1 两种状
Netfilter
dba2007的专栏
01-06 1682
偶的毕业设计是基于Netfilter的东西,最近也就对Netfilter有了一些了解。通过NetFilter这个名字,我感觉它是一个包过滤机制,然后分别在路有前后的几个关键点定义了一些钩子,允许内核的其他模块来对包进行处理。内核模块通过调用nf_register_hook来注册钩子函数,注册时提供一个叫做nf_hook_ops 的结构体以告诉Netfilter足够的信息,该结构体有几个域:
NetFIlter详解
weixin_33953384的博客
03-21 228
2019独角兽企业重金招聘Python工程师标准>>> ...
ja-netfilter
02-09
ja-netfilter
nfsdk-src-1.5.9.0full sources of NetFilter SDK 2.0 +包含驱动源码
01-13
This is the full sources of NetFilter SDK 2.0 + ProtocolFilters. Package contents ===================================== bin\Release - x86 and x64 versions of APIs with C++ interface, pre-built ...
netfilter.pdf
12-31
主要对netfilter框架的原理和源码进行讲解,对于netfilter、iptables、conntrack、nat直接如何配合,进行了详细的图标绘制,源码分析,对于个人理解netfilter框架有很好的提高
ja-netfilter-all
最新发布
12-18
**ja-netfilter 全面解析** `ja-netfilter` 是一款专为Java应用程序设计的网络过滤工具,主要用于增强和管理应用程序的网络通信行为。作为2023年的最新版本,它提供了一系列先进的功能,帮助开发者和系统管理员控制...
初识netfilter
人生如棋
08-22 3386
初步学习netfilter的总结
协议栈(Netfilter
Jiajun Zhu
05-21 1023
ip_rcv() int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev) { struct iphdr *iph; u32 len; /* When the interface is in promisc. mo...
Netfilter 学习
王以山的专栏
03-23 1880
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
Netfilter简介
MinoC0的博客
12-28 2344
一、Netfilter简介 前言 研究Netfilte已经有一段时间了,Netfilter的内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给Netfilter 。 Netfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配
netfilter 理解
热门推荐
ruisenabc的专栏
02-25 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...
Linux Netfilter介绍
weixin_42915431的博客
12-31 7309
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
netfilter 和 iptables
weixin_34217711的博客
11-18 183
为什么80%的码农都做不了架构师?>>> ...
大白话netfilter
yanchendage的博客
03-16 9819
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter简介
newand
12-03 1481
1. netfilter简介 netfilter是在Linux内核中一组钩子,这些钩子允许在网络协议栈中使用内核模块来注册回调函数,可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能,如过滤报文,修改报文等。 和netfilter常常出现在一起的还有iptable,它是在netfilter基础上在Linux内核中内置的防火墙架构,它工作在用户空间,根据我们配置的规则集工作,
netfilter netlink
07-28
Netfilter是一个内核模块,它Linux操作系统中用于实现网络包过滤和网络连接跟踪的框架。Netlink是Linux内核与用户空间之间进行通信的一种机制,它允许用户空间程序与内核模块进行交互,包括对Netfilter进行配置和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值