netfilter框架及基本原理介绍

IN钩子,即所有Director内核内的数据包路由规则都必须将数据包发送到LOCAL_ IN钩子, 在你建立Director时这很容易实现,因为所有抵达Director的集群服务数据包都有-一个虚拟ip地址(VIP) 作为目标地址,VIP实际上是属于Director的一- 个ip别名或从属ip地址,因为VIP是Director所有的- -个本地ip地址,Director 内核中的路由表将总是在内部传递数据包,因此Director接收到的目标地址为VIP的数据包总会命中LOCAL _IN钩子。
摘要由CSDN通过智能技术生成

【推荐阅读】

浅谈linux 内核网络 sk_buff 之克隆与复制

深入linux内核架构--进程&线程

了解Docker 依赖的linux内核技术

一、Netfilter/IPTables 框架简介

Netfiter/lPTables 是继2.0.x的IPfwadm、2.2.x的IPchains之后, 新- -代的Linux防火墙。Netilter采用 模

块化设计,具有良好的可扩展性,其重要工具模块IPTables连接到Netilter的架构中,并允许使用者对数据

报进行过滤、地址转换等处理操作。Netfilter提供了--个框架,将对网络的直接干涉降到最低,并允许规定

接口将其它包处理代码以模块的形式添加到内核中,具有极强的灵活性。

二、Netfilter总体架构

Netilter 主要通过表、链实现规则,可以这么说,Netfilter是 表的容器,表是链的容器,链是规则的容

器,最终形成对数据报处理规则的实现。

Netilter的通用框架不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数, 这些HOOK函数

在数据报经过协议栈的几个关键点时被调用,这样这些模块就有机会检查、修改、丢弃该数据报及指示Netf

ilter将该数据报传入用户空间的队列。

Netilter定义了五大HOOK,分别是: NF_ IP_ PRE_ ROUTING、 NF_

  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值