netfilter简介

最新推荐文章于 2023-05-24 17:49:01 发布
最新推荐文章于 2023-05-24 17:49:01 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Linux 文章标签: linux内核 Netfilter 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newand/article/details/8250623
版权

1. netfilter简介

netfilter是在Linux内核中一组钩子,这些钩子允许在网络协议栈中使用内核模块来注册回调函数,可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能,如过滤报文,修改报文等。

和netfilter常常出现在一起的还有iptable,它是在netfilter基础上在Linux内核中内置的防火墙架构,它工作在用户空间,根据我们配置的规则集工作,每一个规则都由一些匹配(match)和动作(target)组成。

2. netfilter编程

2.1 netfilter钩子

如图1所示,netfiter提供的钩子分两部分,一部分是接收网络中的数据,另一部分是发送数据到网络中去。

 

图1

  • NF_IP_PRE_ROUTING (0)
    从网络中接收到的,进行完正确性检查的数据报文。经过这个钩子后,对报文进行路由检查,判断是进入本机还是转发。
  • NF_IP_LOCAL_IN (1)
    对目的地是本机的报文,会经过这个钩子。
  • NF_IP_FORWARD (2)
    而对需要转发的数据报文,则会经过这个钩子。(组播报文最终也会经过这个钩子?)
  • NF_IP_LOCAL_OUT (3)
    本地发出的报文做发送路由之前经过的钩子。
  • NF_IP_POST_ROUTING (4)
    所有将要发出的报文都会通过此钩子。

2.2 netfilter对数据包处理方式

netfilter的钩子函数返回值有5种,分别如下:

  • NF_ACCEPT:继续处理数据包;
  • NF_DROP:丢弃此包,不再继续处理;
  • NF_STOLEN:表示此包已经被处理过,不需继续处理;
  • NF_QUERE:队列化数据包(通常是为用户空间处理做准备);
  • NF_REPEAT:再一次调用这个钩子函数。

做屏蔽数据包处理时常常会使用NF_ACCEPT,NF_DROP,而拷贝数据包时常常会用到NF_STOLEN。

2.3 注册和注销钩子

2.3.1 NF_HOOK宏

netfilter在协议栈处理过程中在注册的钩子处调用NF_HOOK()宏来插入回调函数的。

在3.2.0-26内核中:

如果配置了netfilter则调用nf_hook_thresh,并在返回NF_ACCEPT的情况下,调用okfn。

static inline int
NF_HOOK(uint8_t pf, unsigned int hook, struct sk_buff *skb,
	struct net_device *in, struct net_device *out,
	int (*okfn)(struct sk_buff *))
{
	return NF_HOOK_THRESH(pf, hook, skb, in, out, okfn, INT_MIN);
}

否则,直接调用okfn,

#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) (okfn)(skb)

okfn是一个函数指针,是从钩子函数返回协议栈时继续要执行的函数。在ip_rcv()函数中调用时设置的ip_rcv_finish。


2.3.2 nf_hook_ops

在内核中操作网络数据的模块的注册与注销。

nf_hook_ops结构体:

struct nf_hook_ops {
	/* 用户从这里开始向下填 */
	struct list_head list;

	/* 用户从这里开始向下填 */
	/* hook为钩子处理函数*/
	nf_hookfn *hook;
	/* 模块所有者 */
	struct module *owner;
	/* 协议簇 */
	u_int8_t pf;
	/* 2.1中5个挂载点之一 */
	unsigned int hooknum;
	/* 优先级,依据升序来排列钩子 */
	int priority;
};


 注册和注销函数:

int nf_register_hook(struct nf_hook_ops *reg);
void nf_unregister_hook(struct nf_hook_ops *reg);
int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n);
void nf_unregister_hooks(struct nf_hook_ops *reg, unsigned int n);

例如:

/*Initialize the hook*/
static struct nf_hook_ops nf_out_modify =
{
	.hook = ip4_multi_modify,
	.hooknum = NF_IP_POST_ROUTING,
	.pf = PF_INET,
	.priority = NF_IP_PRI_FIRST,
};


// static
static int __init hello_init(void)
{
	nf_register_hook(&nf_out_modify);
	return 0;
}


static void __exit hello_exit(void)
{
	nf_unregister_hook(&nf_out_modify);
}

/*module initial and exit*/
module_init(hello_init);
module_exit(hello_exit);

2.3.3 nf_sockopt_ops

socket选项控制的钩子函数的注册与注销。(TODO)
 

3. IPv4与IPv6的区别

1. nf_hook_ops里面的协议簇不同,IPv4的是PF_INET,而IPv6的是PF_INET6.

2. nf_hook_ops中的priority和hooknum针对IPv6的在netfilter_ipv6.h里也有定义。

3. 取得报文header处理不同。

IPv4:ip_hdr(skb)

IPv6:ipv6_hdr(skb)

 

参考:

[1] http://www.netfilter.org/

[2] 宋敬彬,孙海滨等,《Linux网络编程》

[3] http://blog.csdn.net/efan_linux/article/details/4605073

 

newand
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netfilter简介
MinoC0的博客
12-28 2307
一、Netfilter简介 前言 研究Netfilte已经有一段时间了,Netfilter内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给Netfilter 。 Netfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配
Netfilter,获取http明文用户名和密码
城志的学习笔记
02-21 693
文章目录target端内核模块的操作初始化netfilter用netfilter过滤发出去的http包解析http包,获取用户名和密码用netfilter过滤收到的包清理netfilterhack端遇到的问题 实验环境:ubuntu 18.04 kernel 4.15 源代码:nf_http.c getData.c Makefile target端 源代码:nf_http.c 内核模块的操作 ...
Netfilter框架-完全解析.doc
02-25
对netfilter的框架进行完全解析,详解各个钩子等信息。NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。
深入理解Netfilter
weixin_36184908的博客
05-24 786
NetfilterLinux内核中的一个框架,用于进行网络数据包的过滤和操作。它提供了强大的网络数据包处理功能,使系统管理员能够在Linux系统上实施高级的网络安全策略,包括防火墙、网络地址转换(NAT)、流量控制等。Netfilter的核心是一个包过滤器,它可以在数据包通过网络协议栈的不同阶段进行处理。当数据包经过网络协议栈时,Netfilter可以检查、修改或丢弃这些数据包,从而允许管理员根据自己的需求对网络流量进行控制和管理。
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2126
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
netfilter框架及基本原理介绍
m0_74282605的博客
01-11 1311
IN钩子,即所有Director内核内的数据包路由规则都必须将数据包发送到LOCAL_ IN钩子, 在你建立Director时这很容易实现,因为所有抵达Director的集群服务数据包都有-一个虚拟ip地址(VIP) 作为目标地址,VIP实际上是属于Director的一- 个ip别名或从属ip地址,因为VIP是Director所有的- -个本地ip地址,Director 内核中的路由表将总是在内部传递数据包,因此Director接收到的目标地址为VIP的数据包总会命中LOCAL _IN钩子。
Netfilter简介.ppt
03-06
Netfilter简介.ppt
Netfilter-IPTables框架简介
07-19
Netfilter-IPTables,次文档详细的阐述了Netfilter-IPTables框架,具有较好的研究价值。
Linux_Netfilter_Iptables简介.pdf
10-27
Linux_Netfilter_Iptables简介.pdf
netfilter详解
09-11
本文讨论模块编写者如何利用Netfilter hook来实现任意目的以及如何将将网络通信在基于Libpcap的应用程序中隐藏。虽然Linux 2.4支持对IPv4、IPv6以及DECnet的hook
iptables防火墙原理详解
weixin_34226706的博客
02-06 570
1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控...
netfilter 讲解 ,讲的很好
miaomiaodmiaomiao的专栏
08-01 1271
Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函数),把经过的数据包钓上来, 然后根据自定义的规则,来决定数据包的命运: 可以原封不动的放回IPv4协议,继续向上层递交;可以进行修改,再放回IPv4协议;也可以直接丢
Netfilter框架通过hook捕获数据包
李耀辉的博客
10-14 2734
数据包截获:Netfilter Netfilter 是由内核 2.4.x 和 2.6.x 提供的数据包截获机制,它替代了内核 2.2.x 中 使用的 ipchains、防火墙钩子和其他方法。Netfilter 也可以作为 LKM 获得。 要使用 netfilter,在内核编译时设置 Packet Filtering 选项。 可以对采用防火墙钩子机制的同类应用程序使用 netfilter 机制
内核3.10 显示发送的数据包 netfilter程序
qq_42882717的博客
06-21 163
1、段错误解决 1)错误码6:用户态程序访问越界+写操作越界+无效地址 错误码14:保留位使用+用户态程序访问越界+写操作越界+无效地址 2)经过上网查找libwayland 与libX11库发现是协议的图形显示库,结合centos多做为命令行服务器而我安装了图形界面,思考觉得应该是新安装的驱动不能以图形状态在某个地方显示,所以段错误。 2、数据包显示成功: 数据包打印数据出现一直显示\xffffffff: 或者 不显示内容 查看libselinux发现是系统包,思考觉得是查找linux的更新(自动更新
NetFIlter详解
weixin_33953384的博客
03-21 216
2019独角兽企业重金招聘Python工程师标准>>> ...
大白话netfilter
yanchendage的博客
03-16 9739
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter netlink
最新发布
07-28
Netfilter是一个内核模块,它Linux操作系统中用于实现网络包过滤和网络连接跟踪的框架。Netlink是Linux内核与用户空间之间进行通信的一种机制,它允许用户空间程序与内核模块进行交互,包括对Netfilter进行配置和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值