Linux netfilter 模块优先级

最新推荐文章于 2023-02-07 20:49:25 发布
最新推荐文章于 2023-02-07 20:49:25 发布
阅读量1.2k 收藏 1
点赞数
文章标签: netfilter 内核模块 kernel module hook priority
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rclijia/article/details/104874778
版权

netfilter机制就不详述了,只想纪录一下netfilter模块匹配顺序。

比如下面的hook结构:

struct nf_hook_ops my_hook = {
    .hook = hook_func,
    .hooknum = NF_INET_PRE_ROUTING,  
    .pf = PF_INET,
    .priority = NF_IP_PRI_FIRST,
};

优先级定义为:NF_IP_PRI_FIRST,

如果有两个以上的模块都声明自己是NF_IP_PRI_FIRST,那么谁先?谁后呢?

加载模块的顺序为:

    insmod myhook1

    insmod myhook2

经实测,优先级匹配顺序类似队列的FIFO模式,先到先得,实际是myhook1先处理,

如果myhook1返回NF_ACCEPT,myhook2才能获取数据包,

myhook1返回NF_STOP或NF_DROP,myhook2都获取不到包。

 

类似iptables -A的加载顺序,后来的规则追加在后面,是否能执行取决于前面规则的执行结果。

iptables -I模式正好相反,是类似“栈”的模式,后进先得,总是把规则插入到匹配链的最前面。

rclijia
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
netfilter中挂钩子函数的优先级
weixin_33859504的博客
10-24 479
source/include/linux/netfilter_ipv4.h#055052 enum nf_ip_hook_priorities {053 NF_IP_PRI_FIRST = INT_MIN,054 NF_IP_PRI_CONNTRACK_DEFRAG = -400,055 NF_IP_PRI_RAW = -300...
Netfilter
dba2007的专栏
01-06 1677
偶的毕业设计是基于Netfilter的东西,最近也就对Netfilter有了一些了解。通过NetFilter这个名字,我感觉它是一个包过滤机制,然后分别在路有前后的几个关键点定义了一些钩子,允许内核的其他模块来对包进行处理。内核模块通过调用nf_register_hook来注册钩子函数,注册时提供一个叫做nf_hook_ops 的结构体以告诉Netfilter足够的信息,该结构体有几个域:
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1622
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Netfilter 概述及其hook点
咕唧咕唧shubo.lk的专栏
01-16 7812
Netfilter概述         Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2165
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
深入Linux内核网络堆栈
process的专栏
04-15 1502
前一段时间看到这篇帖子,确实很经典,于是翻出了英文原版再读,顺便再翻译出来供大家学习,这篇文章的中文版也早都有了,不过出于完全理解的目的,我还是将它翻译了出来,加进了自己的代码,虽然在上一周的翻译过程中,我尽量保留文章的原汁原味,但错误肯定在所难免,在末尾附上原文和我自己调试通过的代码,已经够构运行,大家可以参考一下!(有错误之处请指出) 深入Linux内核网络堆栈 作者:biofor
深入Linux网络核心堆栈 netfilter详解.doc
06-20
【深入Linux网络核心堆栈 netfilter详解】 NetfilterLinux 2.4内核中一个重要的子系统,它提供了一套灵活的框架,允许开发者在数据包通过内核网络堆栈时对其进行处理,如包过滤、网络地址转换(NAT)、会话跟踪等...
linux网路编程 中文 23M 版
03-11
1.5.1 Linux内核的主要模块............................................ 7 1.5.2 Linux的文件结构................................................ 9 1.6 G N U 通用公共许可证...................................
基于Linux的校园网中P2P流量识别及控制.pdf
09-06
Linux中,可以利用iptables和uip_tables模块来配置这些规则,实现对P2P流量的精细化管理。例如,可以设置规则优先级,对高优先级的业务(如在线课程、科研等)给予更多带宽,同时限制P2P流量的带宽使用,以确保...
基于Linux 的防火墙技术研究
11-24
Netfilter/Iptables 系统采用模块化的架构方式,其主要模块 有:通用框架Netfilter、数据包选择系统、连接跟踪系统及NAT系统等等。 2.1 Netfilter/Iptables 系统工作原理 Netfilter/Iptables 系统所提供的数据包...
linux下简单nat及带宽控制实现
08-27
Linux内核中,Netfilter框架提供了一个接口,允许开发者通过编写内核模块或者用户空间程序来实现网络数据包的处理,其中包括NAT功能。Netfilter有五个挂钩点(hook points):PREROUTING、INPUT、FORWARD、OUTPUT...
linux nf_conntrack 连接跟踪机制 3-hook
weixin_30340617的博客
05-12 380
conntrack hook函数分析 enum nf_ip_hook_priorities { NF_IP_PRI_FIRST = INT_MIN, NF_IP_PRI_CONNTRACK_DEFRAG = -400//优先级最大, 涉及到ip 分片重组 NF_IP_PRI_RAW = -300, NF_IP_PRI_SELINUX_F...
深入Linux网络核心堆栈--netfilter详解
linux
10-24 1073
目录   1 - 简介   1.1 - 本文涉及的内容   1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法   2.1 - Linux内核对数据包的处理   2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1]   4.1 - 深入hook函数
Ethernet Bridge Netfilter框架及Data Path分析
weixin_45254661的博客
03-17 3140
1. Netfilter简介 ​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地...
linux nefilter 框架,Nefilter细节实现分析
weixin_31992237的博客
05-16 173
Nefilter细节实现分析Netfilter定义了协议栈中的检查点和检查点上引用的数据结构以及对这些数据结引用的过程。首先看看在检查点上引用的数据结构,如图所示: 图1 nf_hoo_ops数据结构的组织图中ns_hook_ops就是在检查点上引用的结构。每个协议栈预先定义的8个链表数组用于保存这些结构,这些链表与协议栈中的检查点一一对应。在实际的应用中,这8个链表并不一定都被使用,比如在IPV...
深入理解 netfilter 和 iptables
qq_40989769的博客
02-07 719
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernetes 的 Service 转发都是通过 iptables 来实现的。关于 netfilter 的介绍文章大部分只描述了抽象的概念,实际上其内核代码的基本实现不算复杂,本文主要参考 Linux 内核 2.6 版本代码(早期版本较为简单),与最新的 5.x 版本在实现上可能有较大差异,但基本设计变化不大,不影响理解其原理。
Netfilter和iptables学习总结
u012114705的专栏
09-17 518
最近一段时间一直在学习netfilter和iptables相关的知识。首先要感谢我的老大能给我时间、给我机会来学习。写这篇总结就只有一个目的,总j结近来学到的知识,理清思路,查漏补缺。看了半个多月的基础知识(加上前面一段时间自己也一直在看,差不多也有一个月了),刚开始看netfilter和iptables的时候感觉是很空旷的,于是找了很多篇文档来一字一句的理解,现在总算有点眉目了。学习完之后的感觉
初识netfilter
人生如棋
08-22 3371
初步学习netfilter的总结
linux netfilter 过滤数据包,Netfilter-iptabes报文过滤框架(一)
weixin_32744285的博客
05-15 223
什么是Netfilter/iptableNetfilter/iptables是Linux内核内置的报文过滤框架,程序可以通过该框架完成报文过滤、地址转换(NAT)以及连接跟踪等功能。Netfilter/iptables由两部分组成,一部分是Netfilter的"钩子(hook)",这些"钩子"由Linux内核协议栈提供,内核模块可以通过注册"钩子"来完成各种各样的功能。 另一部分是iptables...
linux 删除netfilter文件夹
最新发布
07-25
要在Linux系统中删除netfilter文件夹,您可以使用以下命令: ``` sudo rm -r netfilter ``` 请注意,这是一个具有潜在风险的操作,因为它会永久删除netfilter文件夹及其所有内容。在执行此命令之前,请确保您有足够的权限,并且确认您希望删除该文件夹。删除操作是不可逆的,一旦文件夹删除,其中的数据将无法恢复,请谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值