Netfilter 简易分析

最新推荐文章于 2021-03-21 00:01:51 发布
最新推荐文章于 2021-03-21 00:01:51 发布
阅读量702 收藏 1
点赞数 2
分类专栏: Wifidog 文章标签: iptables 防火墙 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strong46066999/article/details/48345759
版权 
Netfilter作为第三方源码拥有自己的网站http://www.netfilter.org/,确实比较牛逼。
尤其是应用层iptables作为工具对构建linux防火墙进行发挥特别大的作用。
Linux下通过nf_register_hooks对钩子函数进行注册,通过source insight对源码进行查看,
发现这么多地方调用了函数。

/* Connection tracking may drop packets, but never alters them, so
   make it the first hook. */
static struct nf_hook_ops ipv4_conntrack_ops[] __read_mostly = {
    {
        .hook       = ipv4_conntrack_in,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_PRE_ROUTING,
        .priority   = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook       = ipv4_conntrack_local,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_OUT,
        .priority   = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook       = ipv4_confirm,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_POST_ROUTING,
        .priority   = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
    {
        .hook       = ipv4_confirm,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority   = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
};

static struct nf_hook_ops ipv4_defrag_ops[] = {
    {
        .hook       = ipv4_conntrack_defrag,
        .owner      = THIS_MODULE,
        .pf     = PF_INET,
        .hooknum    = NF_INET_PRE_ROUTING,
        .priority   = NF_IP_PRI_CONNTRACK_DEFRAG,
    },
    {
        .hook           = ipv4_conntrack_defrag,
        .owner          = THIS_MODULE,
        .pf             = PF_INET,
        .hooknum        = NF_INET_LOCAL_OUT,
        .priority       = NF_IP_PRI_CONNTRACK_DEFRAG,
    },
};

/* We must be after connection tracking and before packet filtering. */

static struct nf_hook_ops nf_nat_ops[] __read_mostly = {
    /* Before packet filtering, change destination */
    {
        .hook       = nf_nat_in,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_PRE_ROUTING,
        .priority   = NF_IP_PRI_NAT_DST,
    },
    /* After packet filtering, change source */
    {
        .hook       = nf_nat_out,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_POST_ROUTING,
        .priority   = NF_IP_PRI_NAT_SRC,
    },
    /* Before packet filtering, change destination */
    {
        .hook       = nf_nat_local_fn,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_OUT,
        .priority   = NF_IP_PRI_NAT_DST,
    },
    /* After packet filtering, change source */
    {
        .hook       = nf_nat_fn,
        .owner      = THIS_MODULE,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority   = NF_IP_PRI_NAT_SRC,
    },
};

#define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \
                (1 << NF_INET_FORWARD) | \
                (1 << NF_INET_LOCAL_OUT))

static const struct xt_table packet_filter = {
    .name       = "filter",
    .valid_hooks    = FILTER_VALID_HOOKS,
    .me     = THIS_MODULE,
    .af     = NFPROTO_IPV4,
    .priority   = NF_IP_PRI_FILTER,
};

#define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \
                (1 << NF_INET_LOCAL_IN) | \
                (1 << NF_INET_FORWARD) | \
                (1 << NF_INET_LOCAL_OUT) | \
                (1 << NF_INET_POST_ROUTING))

static const struct xt_table packet_mangler = {
    .name       = "mangle",
    .valid_hooks    = MANGLE_VALID_HOOKS,
    .me     = THIS_MODULE,
    .af     = NFPROTO_IPV4,
    .priority   = NF_IP_PRI_MANGLE,
};

#define NAT_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \
             (1 << NF_INET_POST_ROUTING) | \
             (1 << NF_INET_LOCAL_OUT) | \
             (1 << NF_INET_LOCAL_IN))

static const struct xt_table nat_table = {
    .name       = "nat",
    .valid_hooks    = NAT_VALID_HOOKS,
    .me     = THIS_MODULE,
    .af     = NFPROTO_IPV4,
};
其中filter,mangle 表通过xt_hook_link间接调用了 nf_register_hook, 
分别注册了回调 iptable_filter_hook和iptable_mangle_hook 。  
倒是nat表没有像 filter,mangle采用这种方式,而是
nf_nat_ops 这些回调函数与nat表产生了千丝万缕的关系。
通过一番priority的比较,最终总结出了各个钩子函数的调戏skb的关系图,

PRE_ROUTING                                                                                                     
    ipv4_conntrack_defrag(NF_IP_PRI_CONNTRACK_DEFRAG)
    ipv4_conntrack_in(NF_IP_PRI_CONNTRACK)
    iptable_mangle_hook(NF_IP_PRI_MANGLE)
    nf_nat_in(NF_IP_PRI_NAT_DST)

FORWARD
    iptable_mangle_hook(NF_IP_PRI_MANGLE)
    iptable_filter_hook(NF_IP_PRI_FILTER)

LOCAL_IN                                                            
    iptable_mangle_hook(NF_IP_PRI_MANGLE)
    ipv4_conntrack_defrag(NF_IP_PRI_CONNTRACK_DEFRAG)
    nf_nat_fn(NF_IP_PRI_NAT_SRC)
    iptable_filter_hook(NF_IP_PRI_FILTER)
    ipv4_confirm(NF_IP_PRI_CONNTRACK_CONFIRM)

 LOCAL_OUT
     ipv4_conntrack_local(NF_IP_PRI_CONNTRACK)
     iptable_mangle_hook(NF_IP_PRI_MANGLE)   
     nf_nat_local_fn(NF_IP_PRI_NAT_DST)
     iptable_filter_hook(NF_IP_PRI_FILTER)

 POST_ROUTING
     iptable_mangle_hook(NF_IP_PRI_MANGLE)
     nf_nat_out(NF_IP_PRI_NAT_SRC)
     ipv4_confirm(NF_IP_PRI_CONNTRACK_CONFIRM)
strong46066999
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解
基于Netfilter框架设计的软件防火墙过滤系统
qq_53928256的博客
05-05 960
本此的防火墙设计是基于Netfilter框架设计的软件防火墙过滤系统基于学习和实践的目的,本次的防火墙设计主要面向于初学者,简单入门防火墙设计。所以本次只对源IP、目的IP地址、源端口、目的端口以及一些简单协议进行过滤。欢迎大家学习交流,如有不足之处,敬请批评指正!其实到这里,这个基于Netfilter框架设计的软件防火墙过滤系统就已经设计完毕了。啪啪啪啪啪啪!!!!
linux下iptables与Netfilter详解(2):原理详解
qq_18144747的博客
01-13 853
Linux-iptables详解 一:前言   防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。   目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的...
ipvs负载均衡(五)代码结构简易分析
绯浅yousa的笔记
04-09 1013
ipvs负载均衡(五) 从本章开始,将会开始分析ipvs代码,尽量按照ipvs原理介绍的思路以及netfilter机制进行介绍 如何获取源码既然要开始阅读ipvs代码,那么肯定需要源码源码在哪里获得呢?我这里提供了两个方式: 我这里提供了一个git分支里面存储了4.4.60linux内核源码版本的ipvs源码,https://github.com/Miss-you/kernel-netfilt
信息安全实验二:iptables设置代理和netfilter实现包过滤
qq_24293765的博客
03-21 1375
信息安全实验二:iptables设置代理和netfilter实现包过滤 通过wireshark分析http报文结构 HTTP报文结构 - 简书 iptables设置代理 任务:需要同一网络下的三台主机,通过设置iptables实现一个代理服务器,用户主机可以通过代理主机访问网页服务器上的网页 原理:实现代理,即需要用代理服务器将用户主机与内部服务器隔离起来,当用户向内部服务器申请资源时,请求报文的目的ip是代理服务器的ip,到达代理服务器后,在路由选择之前进行目标地址转换,将目的地址转换为内部服务器的地址。
linux netfilter 机制分析
09-12
linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析
netfilter框架分析_netfilter_linuxnetfilter_
09-29
Linux协议栈,Netfilter框架分析文档,Linux内核中进行数据包过滤、连接跟踪、地址转换等的主要实现框架。
iptable-netfilter分析
09-06
iptable-netfilter分析 iptable-netfilter分析 iptable-netfilter分析
netfilter框架分析
06-04
2.6.19内核的netfilter框架的实现分析和对应的内核转发路径
数据更新至2020年历年电力生产和消费弹性系数.xls
05-05
数据来源:中国电力统计NJ-2021版
数据更新至2020年电力建设本年投资完成情况(设备工器具购置).xls
05-05
数据来源:中国电力统计NJ-2021版
词根单词 2.2.4 修改版.apk
05-04
词根单词 2.2.4 修改版.apk
毕业论文-基于JSP的个人通讯录管理系统设计与实现.docx
05-04
毕业论文-基于JSP的个人通讯录管理系统设计与实现.docx
数据更新至2020年分地区35千伏及以上输电线路杆路长度.xls
05-05
数据来源:中国电力统计NJ-2021版
node-v12.9.1-linux-armv7l.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
数据更新至2020年分电压等级新增110千伏及以上变电设备容量(交流).xls
05-05
数据来源:中国电力统计NJ-2021版
node-v8.17.0-linux-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
(更新至2022年)城镇按受教育程度、性别分的失业人员寻找工作方式构成.xls
最新发布
05-05
数据来源:中国人口与就业统计NJ-2023版
netfilter netlink
07-28
Netfilter是一个内核模块,它Linux操作系统中用于实现网络包过滤和网络连接跟踪的框架。Netlink是Linux内核与用户空间之间进行通信的一种机制,它允许用户空间程序与内核模块进行交互,包括对Netfilter进行配置和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值