linux内核netfilter,linux内核netfilter实现url重定向

最新推荐文章于 2024-04-28 12:35:10 发布
最新推荐文章于 2024-04-28 12:35:10 发布
阅读量214 收藏
点赞数
文章标签: linux内核netfilter

原标题:linux内核netfilter实现url重定向

一、NetFilter

NetFilter在2.4.x内核中引入,成为linux平台下进行网络应用的主要扩展,不仅包括防火墙的实现,还包括报文的处理(如报文加密、报文分类统计等)等。

1、NetFilter数据结构:

struct nf_hook_ops {

struct list_head list;

/* User fills in from here down. */

nf_hookfn *hook;

struct module *owner;

u_int8_t pf;

unsigned int hooknum;

/* Hooks are ordered in ascending priority. */

int priority;

};

成员list用于链入全局勾子数组nf_hooks中,它一定在第一位,保证&nf_hook_ops->list的值与&nf_hook_ops相同,稍后在使用时会用到这一技巧;

成员hook即用户定义的勾子函数;owner表示注册这个勾子函数的模块,因为netfilter是内核空间的,所以一般为模块来完成勾子函数注册;pf与hooknum一起索引到特定协议特定编号的勾子函数队列,用于索引nf_hooks;priority决定在同一队列(pf与hooknum相同)的顺序,priority越小则排列越靠前。

struct nf_hook_ops只是存储勾子的数据结构,而真正存储这些勾子供协议栈调用的是nf_hooks,从定义可以看出,它其实就是二维数组的链表。

struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS]; [net\filter\core.c]其中NFPROTO_NUMPROTO表示勾子关联的协议,可取值:

enum {

NFPROTO_UNSPEC = 0,

NFPROTO_IPV4 = 2,

NFPROTO_ARP = 3,

NFPROTO_BRIDGE = 7,

NFPROTO_IPV6 = 10,

NFPROTO_DECNET = 12,

NFPROTO_NUMPROTO,

};

NF_MAX_HOOKS表示勾子应用的位置,可选值在每个协议模块内部定义,这些值代表了勾子函数在协议流程中应用的位置(稍后会以bridge为例详细说明),大致上都有以下值:

NF_XXX_PRE_ROUTING,

NF_XXX_LOCAL_IN,

NF_XXX_FORWARD,

NF_XXX_LOCAL_OUT,

NF_XXX_POST_ROUTING,

NF_XXX_NUMHOOKS

2、NetFilter注册

在了解了nf_hook_ops和nf_hooks后,来看下如何操作nf_hooks中的元素。nf_register_hook()将nf_hook_ops注册到nf_hooks中:

int nf_register_hook(struct nf_hook_ops *reg)

{

struct nf_hook_ops *elem;

int err;

err = mutex_lock_interruptible(&nf_hook_mutex);

if (err < 0)

return err;

list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {

if (reg->priority < elem->priority)

break;

}

list_add_rcu(®->list, elem->list.prev);

mutex_unlock(&nf_hook_mutex);

return 0;

}

这个函数很简单,从指定pf&hooknum的nf_hooks队列遍历,按priority从小到大顺序,将reg插入相应位置,完成勾子函数的注册。

nf_unregister_hook()将nf_hook_ops从nf_hooks中注销掉:

void nf_unregister_hook(struct nf_hook_ops *reg)

{

mutex_lock(&nf_hook_mutex);

list_del_rcu(®->list);

mutex_unlock(&nf_hook_mutex);

synchronize_net();

}

这个函数更简单,从nf_hooks中删除reg。

内核同时还提供了nf_register_hooks()和nf_unregister_hooks(),将reg重复注册n次或将reg从nf_hooks中注销n次。当勾子函数注册完成后,nf_hooks的结构如图所示:

8c0521401c5d35b0092513cf7868b1ea.png

3、NetFilter调用

在报文在内核协议栈传递时,会调用NetFilter模块对报文进行特定的进滤,这样的过滤在代码中随处可见。以上一篇讲过的网桥为例,对于要进行网桥处理的报文,handle_bridge()->br_handle_frame(),如果端口处理于LEARNING或FORWARDING状态,且报文目的地址正确,则会调用br_handle_frame()进行后续处理,而这个函数调用就是:

NF_HOOK(PF_BRIDGE, NF_BR_PRE_ROUTING, skb, skb->dev, NULL,

br_handle_frame_finish);

NF_HOOK()->NF_HOOK_THRESH()->nf_hook_thresh()->nf_hook_slow():

int nf_hook_slow(u_int8_t pf, unsigned int hook, struct sk_buff *skb,

struct net_device *indev,

struct net_device *outdev,

int (*okfn)(struct sk_buff *),

int hook_thresh)

{

struct list_head *elem;

unsigned int verdict;

int ret = 0;

/* We may already have this, but read-locks nest anyway */

rcu_read_lock();

elem = &nf_hooks[pf][hook];

next_hook:

verdict = nf_iterate(&nf_hooks[pf][hook], skb, hook, indev,

outdev, &elem, okfn, hook_thresh);

if (verdict == NF_ACCEPT || verdict == NF_STOP) {

ret = 1;

} else if (verdict == NF_DROP) {

kfree_skb(skb);

ret = -EPERM;

} else if ((verdict & NF_VERDICT_MASK) == NF_QUEUE) {

if (!nf_queue(skb, elem, pf, hook, indev, outdev, okfn,

verdict >> NF_VERDICT_BITS))

goto next_hook;

}

rcu_read_unlock();

return ret;

}

相关代码:http://blog.chinaunix.net/uid-23390992-id-3485745.html?page=3返回搜狐,查看更多

责任编辑:

weixin_39760295
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
大白话netfilter
yanchendage的博客
03-16 9794
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
信息安全实验二:iptables设置代理和netfilter实现包过滤
qq_24293765的博客
03-21 1416
信息安全实验二:iptables设置代理和netfilter实现包过滤 通过wireshark分析http报文结构 HTTP报文结构 - 简书 iptables设置代理 任务:需要同一网络下的三台主机,通过设置iptables实现一个代理服务器,用户主机可以通过代理主机访问网页服务器上的网页 原理:实现代理,即需要用代理服务器将用户主机与内部服务器隔离起来,当用户向内部服务器申请资源时,请求报文的目的ip是代理服务器的ip,到达代理服务器后,在路由选择之前进行目标地址转换,将目的地址转换为内部服务器的地址。
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1165
Linux,网络,Netfilter
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1061
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
Netfilter简介
railzen的博客
02-26 1318
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
利用iptables过滤URL目标请求的小技巧
Linux512的专栏
09-04 9882
最近发现越来越多的office里过多的在上班时间滥用视频网站,可能是由于脑残会的影响,但必竟是上班时间,不应该做与工作无关的事,也过多地影响了office的工作带宽。我在路由上测试了一条规则来block视频网站的访问请求,发现非常有效: iptables -A FORWARD  -m string –string “ku6.com” –algo bm -j DROP iptables -A F
linux内核实现url重定向
03-17
Linux内核实现URL重定向是一项复杂的技术,涉及到网络协议栈的深入理解和内核编程。在提供的代码中,可以看到几个关键的函数和结构体,它们共同构成了URL重定向内核模块。 1. `tcp_newpack` 函数:这个函数用于...
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_...这种实现方法既保证了重定向的高性能,又能避免Linux内核中的繁琐程序开发,降低程序开发复杂度,提高系统运行的稳定性。
基于Linux内核的BT流量控制的原理与实现.pdf
09-06
【基于Linux内核的BT流量控制的原理与实现Linux操作系统以其开源、可定制的特点,在系统开发领域广泛应用,尤其在网络流量控制方面具有显著优势。针对BitTorrent(BT)这种大量占用带宽的P2P协议,Linux内核提供...
一种基于linux环境下NAT技术的实现.pdf
09-06
Linux系统中,NAT技术主要通过iptables这个用户空间工具和内核中的netfilter框架实现。iptables是一个强大的命令行工具,用于配置Linux内核的包过滤规则,包括NAT转换规则。 实现NAT通常需要以下步骤: 1. **...
Linux下的透明代理技术
08-10
这是一种复杂的方法,需要修改内核代码,并且需要维护netfilter/iptables的内核态模块和用户态模块。 2. 方法二:PRELOAD方式。这是一种基于库的方法,通过PRELOAD一个库,修改socks连接函数的调用来达到目的。 3. ...
Linux实现路由器和包过滤防火墙
stonesharp的专栏
09-16 1840
路由器和防火墙 路由器是一种广泛运用在IP网段之间的设备,市场上有许多现成的产品。在应用中,我 们经常将路由器跨接在广域网和局域网之间,大多数的路由器产品也就是基于这种需要来设计的。但是随着用户IP网络的扩展,我们需要一种能够在多个以太网络 之间进行寻址的路由器,传统的路由器产
Netfilter和iptables命令详解,从入门到精通
meihualing的专栏
05-09 2258
iptables命令详解
netfilter内核实现概述
qq_17045267的博客
01-23 2084
netfilter内核实现概述 一、前言 netfilterLinux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
Netfilter是什么?如何快速入门使用
code2day的博客
03-03 602
NetfilterLinux 操作系统内核中的一个重要组成部分,它提供了一个框架来处理网络数据包的过滤、修改和重定向等操作。Netfilter 的主要功能是实现防火墙,它可以根据一系列规则对进出网络接口的数据包进行过滤和处理,以保护网络安全。此外,Netfilter 还可以对数据包进行 NAT(网络地址转换)操作,使得内部网络可以通过一个公共 IP 地址来访问互联网。Netfilter内核中的具体实现是通过一个称为 iptables 的工具来实现的。
linux Netfilter在网络层的实现详细分析(iptables)
热门推荐
weixin_42915431的博客
12-31 1万+
本文来详细分析linux netfilter在网络层的实现细节,本文代码分析是基于Linux内核版本4.18.0-80(也即centos8.0系统上)。我画了一张linux内核协议栈网络层netfilter(iptables)的全景图,里面涉及内容比较多,本文会详细讲解。
Netfilter 学习
王以山的专栏
03-23 1873
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
Linux Netfilter实现机制和扩展技术
08-27 2004
Linux Netfilter实现机制和扩展技术内容:1. IP Packet Flowing2. Netfilter Frame3. Netfilter-iptables Extensions4. 案例:用Netfilter实现VPN
linux内核防火墙的实现
06-10
Netfilter框架是Linux内核中的一个模块,它可以拦截网络数据包并对其进行处理,包括过滤、修改、重定向等。 Netfilter框架的核心是由五个钩子函数组成的,它们分别是:PREROUTING、INPUT、FORWARD、OUTPUT和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值