学iptables衍生出的疑问

已于 2023-05-06 14:44:27 修改
阅读量336 收藏 3
点赞数 5
文章标签: linux 网络 网络协议 tcp/ip
于 2023-04-19 17:29:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41781462/article/details/130237085
版权

iptables基本规则

iptables只是用户层用于管理防火墙规则的工具,具体的防火墙是由内核模块netfilter实现

netfilter基本概念

        Netfilter是一套融入在Linux内核网络协议栈中的报文处理(过滤或者修改)框架。它在内核中报文的关键流动路径上定义了5个HOOK点(下图蓝色方框),各个协议(如IPv4、IPv6、ARP)可以在这些HOOK点安装钩子函数,报文流经此地,内核会按照优先级调用这些钩子函数,这些钩子函数最终会决定报文是被NF_ACCEPT(放行)还是NF_DROP(丢弃)

如上图,iptables其实是向IP层(绿色的部分)的HOOK点注入一些数据包处理函数,这样当数据包经过相应的hook时,处理函数就被调用,从而实现包过滤功能,系统中还有其他层的HOOK点(ebtables设置Bridge 过滤规则,arptables设置ARP Layer规则)

  • iptables for IPv4 / NFPROTO_IPV4

  • ip6tables for IPv6 / NFPROTO_IPV6

  • arptables for ARP / NFPROTO_ARP

  • ebtables for Bridging / NFPROTO_BRIDGE

五链(chain)是什么?

         是数据包在协议栈下层要经过的5个钩子点,对应netfilter中的五个HOOK

 为什么叫链?

        因为一HOOK点上可以安装多个钩子(过滤规则),内核用“链条”将这些钩子串起来

四表(table)是什么?

  为什么需要表?(表的作用)

 上文介绍到防火墙过滤其实就在数据包经过内核关键的节点上设置一些钩子(过滤规则),决定包的去留,为啥还需要表?其实 Netfilter设计多个表的目的是:

1、方便分类管理

  • filter表——过滤数据包
  • Nat表——用于网络地址转换(IP、端口)
  • Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
  • Raw表——决定数据包是否被状态跟踪机制处理

2、限定各个钩子(或者说过滤规则)执行的顺序

     各表的有限顺序:Raw——mangle——nat——filter,也就是当包进过某HOOK点时,优先执行mangle表(如果有)中的过滤规则,再执行其他的。

 注:有些HOOK点只有特定的表,就比如网络地址转换的nat表只能存在于:

路由确定前的PREROUTING链中,做目的地址转换

 另外存在于路由决定后的,做源地址转换

各概念在内核源码中的实现

钩子点

linux-4.4\include\uapi\linux

钩子函数

linux-4.4\include\linux\netfilter.h

        这便是当包进过某钩子点是需要执行的钩子函数(过滤规则),我理解是iptables下发的规则最终解析成这函数,注册到链中。看nf_hookfn函数声明简单可知,应该根据传入sk_buff结构体,做一些判断,返回返回如下结果

着重解释下这两个:

  • NF_STOLEN:当钩子函数想要“窃取”一个数据包并避免后续的钩子函数或内核进一步处理时,使用此常量。这意味着钩子函数将拥有该数据包的所有权,需要自行处理或释放该数据包。
  • NF_QUEUE:Netfilter会将该数据包放入队列中,并生成一个标识符(即 Queue ID),该标识符用于与用户空间程序进行通信。用户空间程序可以通过libnetfilter_queue库的API从队列中获取数据包,决定是否丢弃该数据包、修改该数据包的内容等,并可以将该数据包发送回内核空间进行后续处理,或者将其丢弃

表(table)

链里有表,还是表里有链?

在网上经常看到这样的图

又有这样的

 让人产生到底链里有表,还是表里有链的疑惑,我认为第二张图更容易理解数据如何经过5个链(HOOK),分别匹配各表中规则的流程,而实际源码的数据结构中表是这样表示的

linux-4.4\include\linux\netfilter\x_tables.h

如下面伪代码,我们在定义table结构体时会指定该表支持的链,我想这可能是第一幅图的由来吧

struct xt_table_info my_table = {
    // ...
    .hook_entry = {[NF_INET_PRE_ROUTING] = my_pre_routing_func,
                   [NF_INET_FORWARD] = my_forward_func,
                   // ...
                  },
    // ...
};

上面结构体中hook_entry数组便是到达某节点后该回调的钩子函数

注册钩子函数

 

支线问题

连接跟踪机制contrack

是什么?

 解释下上图中的contrack,这个在之前的图中也出现过,这标识Linux单独的内核模块连接跟踪机制,该机制运行内核“审查”通过此处的包,并能识别出这数据包属于哪个网络连接(比如数据包a属于IP1:8888->IP2:80这个tcp连接,数据包b属于ip3:9999->IP4:53这个udp连接),并将这些连接数据(conntrack条目)存在一二维数组结构的哈希表(hash table)中。

可以用cat /proc/net/nf_conntrack查看当前跟踪的所有conntrack条目

记录这些条目有什么用?

conntrack机制是iptables实现状态匹配(-m state)以及NAT的基础

如何实现拒绝所有建立的TCP连接?

iptables -A INPUT -m state --state NEW -j DROP

如何利用conntrack机制实现NAT功能?

先查看下路由器的nat表,如下,所有要出去的包过POSTROUTING时都会执行下面这规则

MASQUERADE是iptables中一种用于实现NAT的动作,主要用于将内部网络(如局域网)的私有IP地址转换为公网IP地址,具体干的操作应该是:

  1. 当一个包从内网发出去时,根据IP和端口查conntrack表
  2. 若已被记录在表中,用该连接对应的公网IP和端口来替换数据包的源IP和端口
  3. 若未记录在表中,为该连接分配新的公网IP和端口号,并将该连接记录在conntrack表中,标记状态为NEW

回到主线

注册钩子函数

学着有什么用,为什么需要注册钩子函数?

netfilter框架在链路层、网络层有很多钩子点,如果想在这抓包调试的话,直接写个netfilter模块,insmod插入到内核(我还没试过

注册全局的钩子函数

之前我们看到每个iptable规则都指定了特定的表,可不可以不指定表,数据包进过某钩子点时就回调注册的钩子函数?这应该是注册全局的的钩子函数的作用。

linux-4.4\net\netfilter\core.c

 上面是注册时调用的源码,其实只需要找到它调用list_add_rcu将钩子函数加入到了一个链表中

如何注册全局钩子函数?

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

/* Hook function to be called on outgoing packets */
unsigned int hook_func_out(void *priv,
                           struct sk_buff *skb,
                           const struct nf_hook_state *state)
{
    /* Manipulate the outgoing packet */
    /* ... */

    /* Accept the packet */
    return NF_ACCEPT;
}

/* Initialization routine */
static int __init init_hook(void)
{
    /* Fill in the hook structure */
    nfho.hook = hook_func_out;              /* Hook function */
    nfho.pf = PF_INET;                      /* IPv4 packets */
    nfho.hooknum = NF_INET_POST_ROUTING;    /* Post-routing */
    nfho.priority = NF_IP_PRI_FIRST;        /* Highest priority */

    /* Register the hook */
    nf_register_net_hook(&init_net, &nfho);

    printk(KERN_INFO "Custom netfilter hook registered.\n");

    return 0;
}

/* Cleanup routine */
static void __exit exit_hook(void)
{
    /* Unregister the hook */
    nf_unregister_net_hook(&init_net, &nfho);

    printk(KERN_INFO "Custom netfilter hook unregistered.\n");
}

/* Entry point */
module_init(init_hook);
module_exit(exit_hook);

/* Module information */
MODULE_AUTHOR("Your Name");
MODULE_DESCRIPTION("Custom netfilter hook example");
MODULE_LICENSE("GPL");

通过注册新的netfilter表的方式注册钩子函数

除了上面注册全局钩子函数,还可以通过注册新的netfilter表的方式注册钩子函数,比如下面代码注册了个名为“my_table”的表,数据经过PREROUTING和FAROWRD节点时会调用此表的钩子函数

也可以iptables向这表中添加新的规则

iptables -t my_table -A OUTPUT -j ACCEPT

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>

/* Hook function for the PREROUTING hook */
static unsigned int my_prerouting_hook(void *priv, struct sk_buff *skb,
                                       const struct nf_hook_state *state)
{
    printk(KERN_INFO "my_prerouting_hook called\n");
    return NF_ACCEPT;
}

/* Hook function for the FORWARD hook */
static unsigned int my_forward_hook(void *priv, struct sk_buff *skb,
                                    const struct nf_hook_state *state)
{
    printk(KERN_INFO "my_forward_hook called\n");
    return NF_ACCEPT;
}

/* Table structure */
static struct xt_table_info my_table = {
    .name = "my_table",
    .size = sizeof(struct xt_entry),
    .number = 10,
    .initial_entries = 5,
    .hook_entry = {//钩子函数在这!!
        [NF_INET_PRE_ROUTING] = my_prerouting_hook,
        [NF_INET_FORWARD] = my_forward_hook,
    },
    .underflow = {},
    .stacksize = 4,
    .jumpstack = NULL,
};

/* Module initialization function */
static int __init my_module_init(void)
{
    int ret;

    /* Register the table with Netfilter */
    ret = xt_register_table(&my_table, AF_INET);
    if (ret != 0) {
        printk(KERN_ERR "Failed to register table\n");
        return ret;
    }

    printk(KERN_INFO "Table registered\n");
    return 0;
}

/* Module cleanup function */
static void __exit my_module_exit(void)
{
    /* Unregister the table from Netfilter */
    xt_unregister_table(&my_table, AF_INET);

    printk(KERN_INFO "Table unregistered\n");
}

module_init(my_module_init);
module_exit(my_module_exit);
MODULE_LICENSE("GPL");

前面可知这些标准表raw filter nat mangle是有优先级顺序的,那自定义的表和标准表谁先执行?

先注册先执行,标准表也需要注册

一图了解xt_register_table做了什么?

应该是在xt_tables数组中在加一个xt_table结构体

  • 绿色的箭头 表示指针 hook_entry[NF_INET_PRE_ROUTING]
  • 紫色的箭头 表示指针 hook_entry[NF_INET_LOCAL_OUT]
  • 绿色的箭头 表示指针 hook_entry[NF_INET_POUST_ROUTING

 hook 在内核网络栈中对应特定的触发点位置?

以 IPv4 协议栈为例

 

以PRE_ROUTING为例,其在ip_rcv函数中触发

 

 看到这rcu是不是有点眼熟,我们在前面注册钩子函数时遇到过

 iptables为什么自定义链无法主动调用只能从其它链跳转过来?

自定义链的触发依赖jump target,用户定义的 chain 只能通过从另一个规则跳转(jump)到它,因为它们没有注册到 netfilter hook,因为netfilter hook中没有自定义hook点,只有固定的5个内置点。 用户定义的 chain 可以看作是对调用它的 chain 的扩展

 

参考文章

浅入浅出 iptables 原理:在内核里骚一把 netfilter~

iptables与内核的交互

netfilter分析2-表在内核的初始化

Netfilter 是如何工作的(二):表(table)与规则(rule)

Netfilter是如何工作的(一):HOOK点

Netfilter是如何工作的(三):扩展匹配条件和动作

Linux协议栈-netfilter(5)-iptables

【Linux网络协议分析】网络协议剖析之IP转发介绍

基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码

http://iptables详解(10):iptables自定义链

【博客598】从netfilter hook执行原理分析iptables为什么自定义链无法主动调用只能从其它链跳转过来
深入理解 netfilter 和 iptables
Nftables - Packet flow and Netfilter hooks in detail
云计算底层技术-netfilter框架研究
Bridge与netfilter





 

橘橙是我
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
iptables命令简单
12-11
iptables简单使用说明,iptables简介,iptables相关表的介绍
netfilter分析1-钩子函数在内核的初始化
一个码农的足迹
07-20 1008
Linux内核中网络防火墙是通过NF_HOOK宏调用钩子函数进行报文处理,本文基于内核版本4.4对钩子函数的初始化流程进行描述。 以过滤本地报文的钩子函数为例。本地报文过滤钩子函数调用宏: NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN, net, NULL, skb, skb->dev, NULL, ip_local_deliver_finish); 这个宏在文件/include/linux/netfilter.h中定义: sta...
Netfilter之table、rule、match、target数据结构
九天小哥的专栏
03-24 1317
表、规则、匹配和target在内核中都有其对应的数据结构,在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及它们之间的关系。 如标题,这篇笔记记录的内容针对的是PF_INET协议族,对于PF_INET6,相同概念对应的数据结构并不相同。 数据结构 struct net 如下,每个协议族有一个自己的链表,用来组织该协议族的表。 struct net { ... #ifdef CONFIG_...
洞悉linux下的Netfilter&iptables:什么是Netfilter?
海边顽石的专栏
08-31 1万+
转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 很多人在接触iptables之后就会这么一种感觉:我通过iptables命令配下去的每一条规则,到底是如何生效的呢?内核又是怎么去执行这些规则匹配呢?如果iptables不能满足我当下的需求,那么我是否可以去对其进行扩展呢?这些问题,都是我在接下来的博文中一一和大家分享的话题。
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1602
1.前言 Netfilter/iptablesLinux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
Netfilter笔记-03
七七的博客
03-28 151
当我们使用nf_register_hook在内核中注册好hook之后,内核是如何来引用的呢? 当设备的硬件接收帧以后,会使用中断事件通知CPU,该帧已经可用了,CPU接收到终端事件之后,会执行do_IRQ函数,IRQ编号会引发正确的处理函数被启用,在该过程中,内核会把帧拷贝到sk_buff数据结构中进行处理。按照IP数据包接收流程 内核会调用ip_rcv函数,此函数内会调用NF_HOOK ...
iptables
10-18
iptables
iptables入门
09-13
iptables 实验手册
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
IPTABLES习心得
12-28
IPTABLES习心得,实用的个人总结
XTTable:一种用于快速布局和配置UITable和UICollectionView的工具
02-19
XTTable 快速布局和配置UITable和UICollectionView的工具 例子 要运行示例项目,请克隆存储库并运行目录。 要求 iOS 8.0或更高版本 安装 XTTable可通过。 要安装它,只需将以下行添加到您的Podfile中: pod "XTTable" 使用情况 #import <XTTable> // for UITableView and UITableViewCell #import <XTTable> // for UICollectionView and UICollectionViewCell 设置 [MyCell xt_registerNibFromTable: self .table] ; [ self .table xt_setup ] ; self.tabl
Netfilter_读书笔记.pdf
05-13
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分 的实现。Netfilter 虽然集成了Firewall,NAT 和mangel 的功能,但本人觉得NAT 最为复杂。 当理解了NAT 部分的功能,再看Firewall 和mangle 的功能,会有“会当临绝顶,一览众山 小”的感觉。
【博客597】iptables如何借助连续内存块通过xt_table结构管理流量规则
qq_43684922的博客
01-18 653
xt_table 的初始化:不同的规则表有以下特征:基于规则的最终目的,iptables 默认初始化了 4 个不同的规则表,分别是 raw、 filter、nat 和 mangle。以 filter 为例介绍 xt_table的初始化和调用过程:filter table 的定义如下: 在 iptable_filter.c 模块的初始化函数 iptable_filter_init中,调用xt_hook_link 对 xt_table 结构 packet_filter 执行如下初始化过程:不同 table
Linux netfilter 习笔记 之三 ip层netfilter的table、rule、match、target结构分析
热门推荐
lickylin的专栏
06-22 1万+
上一节分析了iphook回调函数的注册以及调用流程,本节我们就开始分析每一个模块的具体实现。 工欲善其事必先利其器,一个功能模块的代码实现与其数据结构的设计有很大的关系,所以我们本节主要是分析table、rule、match、target相关的数据结构,争取本节能把数据结构的定义以及数据结构之间的关系分析明了。   在分析table、rule、match、target之前,先把它们之间的联系
linux内核协议栈 netfilter 之 ip 层的table、rule、match、target结构分析
10-30 1948
在使用iptables过程中,经常会提到table、rule、match和target,这些在内核都有对应的数据结构(rule并没有对应结构体),在理解内核的逻辑代码之前,非常有必要先熟悉这些数据结构,以及内核到底是如何组织它们的,这里顺便分析ip层对于rule、match、target 的组织形式。 目录 1 struct xt_table 1.1 struct xt_table_info 2规则rule struct ipt_entry 2.1 标准匹配 struct ipt_ip 3规..
linux Netfilter在网络层的实现详细分析(iptables
weixin_42915431的博客
12-31 1万+
本文来详细分析linux netfilter在网络层的实现细节,本文代码分析是基于Linux内核版本4.18.0-80(也即centos8.0系统上)。我画了一张linux内核协议栈网络层netfilter(iptables)的全景图,里面涉及内容比较多,本文会详细讲解。
netfilter数据结构设计的艺术
Netfilter
02-09 3595
netfilter较以前的ipchains提升了一个层次,在ipchains的东西中抽象来共性的东 西然后形成了一个框架,从ipchains到netfilter的发展展现了软件发展的数据不断抽象的过程,也正是《重构》一书中讲的精髓。 netfilter不再为具体的过滤服务,而是提供了一个过滤模板,用户不再需要重新设计具体的过滤过程,而只需要填充这个模板就可以了,也就是说 netfilter只提供
table模块各个结构定义 及 iptables filter hook函数注册
sidemap的博客
12-04 280
1、iptables filter tables 首先看一下xt_table -> xt_table_info -> xt_entry -> ipt_entry / ipt_entry_match / ipt_standard_target ->ipt_entry_target / verdict之间的关系 涉及到的部分结构体 ///< include/l...
Netfilter笔记-01
七七的博客
03-27 477
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。 netfilter架构中不同的协议类型有不同的HOOK。协议类...
iptables 站规则
最新发布
07-12
iptables 中,可以使用以下命令来设置站规则: 1. 允许所有的站连接: ```shell iptables -P OUTPUT ACCEPT ``` 2. 禁止所有的站连接: ```shell iptables -P OUTPUT DROP ``` 3. 允许特定端口的站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值