linux内核协议栈和netfilter框架

已于 2024-02-22 09:18:45 修改
阅读量806 收藏 22
点赞数 22
分类专栏: 云原生网络 文章标签: 网络 netfilter linux iptables
于 2024-02-19 12:54:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40148538/article/details/136167882
版权

linux内核的netfilter框架

netfilter的五个hook点

在linux的netfilter框架中定义了五个hook点,在这些hook点上可以控制流量的转发行为。

Prerouting

Input

Foward

Output

postrouting

内核协议栈的三条流量路径

网卡接收到发送到本主机的流量路径

  1. prerouting->路由选择->input->内核协议栈->应用层程序 1,2,3,4

  • 直接从网络层开始分析,网络层接收报文的第一个函数是ip_rcv函数,下面NF_HOOK是调用了我们的第一个hook点PRE_ROUTING,在执行完prerouting后会调用ip_rcv_finish函数

  • 在这个函数中调用了ip_rcv_finish函数

ip_rcv_finish_core函数中调用了ip_route_input_noref函数,这个函数是路由选择函数,在这里主要用来判断报文是否发送给本机或者需要本机转发的

  • 在路由选择后继续调用dst_input函数,因为这个报文是发送给本机的所有这里会调用ip_local_deliver函数

  • 在ip_local_deliver函数中进入到了LOCAL_IN的hook点,也就是input点,在执行完后会调用ip_local_deliver_finish函数

  • 在这个函数中调用ip_protocol_deliver_rcu函数

  • 到此网络层的已经处理完毕,下面调用了tcp_v4_rcv函数将报文送到传输层

  1. 到此将报文发送到本主机的核心代码已经完成

网卡收到需要本主机转发的流量路径

  1. prerouting->路由选择->forward->postrouting 1,5,6

  • 直接从网络层开始分析,网络层接收报文的第一个函数是ip_rcv函数,下面NF_HOOK是调用了我们的第一个hook点PRE_ROUTING,在执行完prerouting后会调用ip_rcv_finish函数

  • 在这个函数中调用了ip_rcv_finish函数

ip_rcv_finish_core函数中调用了ip_route_input_noref函数,这个函数是路由选择函数,在这里主要用来判断报文是否发送给本机或者需要本机转发的

  • 在路由选择后继续调用dst_input函数,因为这个报文不是发送给本机的所有这里会调用ip_forward函数,在这个函数中会调用FORWARD的hook点

  • 在ip_forward_finish中会调用dst_output函数

  • 继续调用ip_output函数

  • 在这里可以看到进入到了POST_ROUTING的hook点,然后调用ip_finish_output

  • 在ip_finish_output中又调用了ip_finish_output2函数

  • 又调用了ip_neigh_for_gw函数进行arp查询

  • 查看出neigh后调用neigh_output

  • 继续调用neigh_hh_output函数

  • 上图中设置了mac地址并且调用了dev_queue_xmit函数来将报文送入到数据链路层处理

从本主机发出的流量路径

  1. 应用层->内核协议栈->路由选择->output->postrouting 7,8,9,10,6

  • 从本机发送的报文仍然从网络层开始向下发送,第一个调用的函数__ip_queue_xmit,在这个函数中调用了 ip_route_output_ports进行路由查询,并将路由后从哪个设备信息设置到skbuf中,最后又调用了ip_local_out函数

  • 在里面调用了LOCAL_OUT的hook点,又继续调用dst_output函数

  • 继续调用ip_output函数

  • 在这里可以看到进入到了POST_ROUTING的hook点,然后调用ip_finish_output

  • 在ip_finish_output中又调用了ip_finish_output2函数

  • 又调用了ip_neigh_for_gw函数进行arp查询

  • 查看出neigh后调用neigh_output

  • 继续调用neigh_hh_output函数

  • 上图中设置了mac地址并且调用了dev_queue_xmit函数来将报文送入到数据链路层处理

总结

上面说明了netfilter的五个hook点在linux内核协议栈的处理位置,通过说明内核协议栈的三条流量处理路径和经过的hook点在源码中的位置来更好的理解

长着翅膀的乌龟
关注
  • 22
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1794
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filter 表 hook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
大白话netfilter
yanchendage的博客
03-16 9781
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3415
本文对netfilter中NAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook点
知秋一叶
01-14 3342
Netfilter概述          Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
Linux内核防火墙Netfilter实现与应用研究
05-13
介绍了Linux内核防火墙的发展,对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析,通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法,对Netfilter框架下的防火墙...
netfilter框架分析_netfilter_linuxnetfilter_
09-29
Linux协议栈,Netfilter框架分析文档,Linux内核中进行数据包过滤、连接跟踪、地址转换等的主要实现框架
Linux平台双协议栈主机网络管控系统设计与实现.pdf
09-06
Linux平台双协议栈主机网络管控系统设计与实现》这篇...通过利用Netfilter框架和白名单策略,该系统能够有效地管理和控制网络访问,降低了因网络行为导致的安全隐患,为Linux环境下的网络安全管理提供了有力的支持。
操作系统安全:Netfilter框架.pptx
06-01
Netfilter框架 Netfilter框架 1、Netfilter概述 Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从...
千万字肝翻Linux内核源码,对底层原理深耕深分析,从入门到入狱
01-03
动态、缺页中断、Kfifo环形缓冲区、开发工具ARM-LInux-gcc安装、网络协议栈、构建嵌入式Lnux系 统、内存性能优化、核心知识CPU、内核编译、UDP收包率、反向映射机制、MMu-gather操作、进程 描述符、虚拟内存机制、...
Linux协议栈-netfilter(5)-iptables
落尘纷扰的专栏
04-04 4895
iptables是用户态的配置工具,用于实现网络层的防火墙,用户可以通过iptables命令设置一系列的过滤规则,来截获特定的数据包并进行过滤或其他处理。 iptables命令通过与内核中的netfilter交互来起作用。我们知道netfilter通过挂在每个hook点上的hook函数来过滤数据包,并且将过滤规则存放在几个表中供hook函数使用。相应的,iptables工具也定义了同样的几张规则
Linux Netfilter介绍
weixin_42915431的博客
12-31 7251
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
Linux协议栈-netfilter(4)-期望连接
落尘纷扰的专栏
04-04 5156
传统的conntrack和NAT处理只对IP层和传输层头部进行转换处理,但是一些应用层协议,在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG的技术,它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。 例如:对于FTP协议的PORT/PASV命令,在数据包载荷中需要包含地址信息,并且数据包如果需要做NAT,那应用层数据部分的地址也需
netfilter 理解
热门推荐
ruisenabc的专栏
02-25 2万+
Netfilter概述          Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...
深入Linux网络核心堆栈--netfilter详解(整理)
maimang1001的专栏
04-02 2080
目录 1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1] 4.1 - 深入hook函数 4.2 - 基于接口进行过滤 4.3 - 基于地址进行过滤 4.4 - 基于TCP端口进行过滤 5 - Netfilter...
协议栈(Netfilter
Jiajun Zhu
05-21 1012
ip_rcv() int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev) { struct iphdr *iph; u32 len; /* When the interface is in promisc. mo...
理解 Linux 网络栈(1):Linux 网络协议栈简单总结
weixin_33724659的博客
02-29 1338
本系列文章总结 Linux 网络栈,包括: (1)Linux 网络协议栈总结 (2)非虚拟化Linux环境中的网络分段卸载技术 GSO/TSO/UFO/LRO/GRO (3)QEMU/KVM + VxLAN 环境下的 Segmentation Offloading 技术(发送端)  (4)QEMU/KVM + VxLAN 环境下的 Segmentation Offloading 技术(接收...
linux内核CONFIG_BRIDGE_NETFILTER配置
最新发布
07-27
Linux 内核中的 CONFIG_BRIDGE_NETFILTER 配置是用于启用或禁用桥接网络过滤功能的选项。当启用此配置时,Linux 内核将支持在桥接设备上应用网络过滤规则。 具体来说,当 CONFIG_BRIDGE_NETFILTER 被启用时,桥接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值