netfilter框架及基本原理介绍

最新推荐文章于 2024-04-28 12:35:10 发布
最新推荐文章于 2024-04-28 12:35:10 发布
阅读量1.4k 收藏 11
点赞数
文章标签: linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74282605/article/details/128650101
版权
IN钩子,即所有Director内核内的数据包路由规则都必须将数据包发送到LOCAL_ IN钩子, 在你建立Director时这很容易实现,因为所有抵达Director的集群服务数据包都有-一个虚拟ip地址(VIP) 作为目标地址,VIP实际上是属于Director的一- 个ip别名或从属ip地址,因为VIP是Director所有的- -个本地ip地址,Director 内核中的路由表将总是在内部传递数据包,因此Director接收到的目标地址为VIP的数据包总会命中LOCAL _IN钩子。
摘要由CSDN通过智能技术生成

【推荐阅读】

浅谈linux 内核网络 sk_buff 之克隆与复制

深入linux内核架构--进程&线程

了解Docker 依赖的linux内核技术

一、Netfilter/IPTables 框架简介

Netfiter/lPTables 是继2.0.x的IPfwadm、2.2.x的IPchains之后, 新- -代的Linux防火墙。Netilter采用 模

块化设计,具有良好的可扩展性,其重要工具模块IPTables连接到Netilter的架构中,并允许使用者对数据

报进行过滤、地址转换等处理操作。Netfilter提供了--个框架,将对网络的直接干涉降到最低,并允许规定

接口将其它包处理代码以模块的形式添加到内核中,具有极强的灵活性。

二、Netfilter总体架构

Netilter 主要通过表、链实现规则,可以这么说,Netfilter是 表的容器,表是链的容器,链是规则的容

器,最终形成对数据报处理规则的实现。

Netilter的通用框架不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数, 这些HOOK函数

在数据报经过协议栈的几个关键点时被调用,这样这些模块就有机会检查、修改、丢弃该数据报及指示Netf

ilter将该数据报传入用户空间的队列。

Netilter定义了五大HOOK,分别是: NF_ IP_ PRE_ ROUTING、 NF_

最低0.47元/天 解锁文章
Linux加油站
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3121
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilterlinux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
Netfilter机制的框架分析
12-16
很好的Netfilter分析,适合初学者...
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1243
Linux,网络,Netfilter
大白话netfilter
yanchendage的博客
03-16 9811
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
Netfilter简介
railzen的博客
02-26 1394
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
linux-内核:netfilter框架
赵凯月的博客
06-23 1617
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1064
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
netfilter框架基本原理介绍.zip
09-16
本篇文章将深入探讨netfilter基本原理和主要功能,帮助读者理解其在网络通信中的作用。** **一、netfilter框架概述** Netfilter是一个灵活的框架,它定义了多个钩子点(hooks),这些钩子点分布在数据包在网络栈...
High Performance Packet Classification for Netfilter
11-04
- **iptables的概念与设计**:阐述了iptables的基本原理及其在包分类中的局限性。 - **iptables的实现细节**:讨论了iptables模块的具体实现方式,以及其实现上的一些限制。 - **PCP与iptables的比较**:比较了基于...
Linux-Netfilter机制分析
09-01
要将自定义的钩子函数注册到Netfilter框架中,开发者需要定义一个`nf_hook_ops`结构体,该结构体包含了钩子函数的指针、协议族类型、钩子点标识以及优先级。然后,调用`nf_register_hook()`函数将这个结构体添加到`...
Linux下基于Netfilter的网络监听器的设计与实现.pdf
09-06
文章首先介绍了Netfilter基本原理,包括其定义的五个HOOK点,分别是: 1. NF_IP_PRE_ROUTING:在数据包进行路由选择前进行处理。 2. NF_IP_LOCAL_IN:对要传递给本地进程的数据包进行处理。 3. NF_IP_FORWARD:对...
RFC Framework-开源
07-11
- `readme.txt`:简要介绍如何使用框架,包括安装步骤和基本示例。 - `license.txt`:框架的开源许可证,规定了使用、修改和分发的条款。 - `api`:API文档,详细解释了框架提供的各个类和函数。 - `src`:源代码...
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2181
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
Netfilter和iptables命令详解,从入门到精通
meihualing的专栏
05-09 2322
iptables命令详解
深入理解Netfilter
weixin_36184908的博客
05-24 905
NetfilterLinux内核中的一个框架,用于进行网络数据包的过滤和操作。它提供了强大的网络数据包处理功能,使系统管理员能够在Linux系统上实施高级的网络安全策略,包括防火墙、网络地址转换(NAT)、流量控制等。Netfilter的核心是一个包过滤器,它可以在数据包通过网络协议栈的不同阶段进行处理。当数据包经过网络协议栈时,Netfilter可以检查、修改或丢弃这些数据包,从而允许管理员根据自己的需求对网络流量进行控制和管理。
Linux Netfilter介绍
weixin_42915431的博客
12-31 7291
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
走进Linux内核之Netfilter框架
m0_74282605的博客
03-07 1152
而 okfn 设置为 ip_rcv_finish,也就是说,当 NF_IP_PRE_ROUTING 链上的所有钩子函数都成功对数据包进行处理后,将会调用 ip_rcv_finish 函数来继续对数据包进行处理。在用户态层面,根据不同的协议类型,为上层用户提供了不同的系统调用工具,比如我们常用的针对IPv4协议iptables,IPv6 协议的ip6tables,针对ARP协议的arptables,针对网桥控制的ebtables,针对网络连接追踪的conntrack等。
netfilter 工作原理
06-01
netfilterLinux 内核中的一个网络数据包过滤框架,它的主要作用是在数据包进出 Linux 系统的网络接口时,对数据包进行处理和过滤。其基本工作流程如下: 1. 数据包进入系统时,首先会经过 netfilter 的 PREROUTING 链,这个链可以对数据包进行过滤、修改等操作,然后根据规则将数据包发往相应的网络接口。 2. 数据包经过网络接口后,会进入 netfilter 的INPUT链,这个链会对数据包进行进一步的过滤和处理,如果数据包被允许通过,就会交给相应的应用程序进行处理。 3. 当应用程序需要将数据包发送到网络上时,数据包会经过 netfilter 的OUTPUT 链,进行进一步的过滤和处理,然后发送到相应的网络接口。 4. 数据包离开系统时,会经过 netfilter 的POSTROUTING 链,这个链可以对数据包进行修改,例如 NAT 等操作。 在上述的工作流程中,netfilter 会根据预定义的规则对数据包进行处理和过滤,如果数据包符合规则,则会执行相应的操作,例如允许数据包通过、拒绝数据包等。这些规则可以通过 iptables 等工具来进行配置和管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值