nat linux 内核模块,Linux netfilter/iptables内核模块介绍

最新推荐文章于 2022-09-12 18:55:05 发布
最新推荐文章于 2022-09-12 18:55:05 发布
阅读量219 收藏 1
点赞数
文章标签: nat linux 内核模块

netfilter架构

netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么?

5dd784ceee822c5dba7dd297338a2005.gif

在钩子函数的代码最后需要决定netfiler框架接下来需要怎么处理packet,可以返回以下5种值:

NF_ACCEPT: continue traversal as normal.

NF_DROP: drop the packet; don't continue traversal.

NF_STOLEN: I've taken over the packet; don't continue traversal.

NF_QUEUE: queue the packet (usually for userspace handling).

NF_REPEAT: call this hook again.

Iptables--filter、nat、mangle表

IPtables作为一个packet选择系统建立在netfilter框架之上。Iptables可扩展内核,注册一系列规则表,从而要求每一个packet进过某个表从而实现对某些packet的过滤。系统中默认含有3张表,它们分别是:filter、nat、mangle

1. filter,默认表,不能修改packet的内容,只能过滤packet。filter表中设置的规则仅能在NF_IP_LOCAL_IN,NF_IP_FORWARD和NF_IP_LOCAL_OUT钩子点上注册监听器。其中对于NF_IP_FORWARD钩子,netfilter还提供INPUT和OUTPUT两种接口。

2. nat, 在‘nat’领域使用,在修改源和目的地址时使用。对于非本地packet,NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING钩子可以使用来修改packet的源和目的地址。如果定义了CONFIG_IP_NF_NAT_LOCAL,可是使用NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING钩子修改本地packet的源和目的地址。

3. mangle, 在修改packet信息时使用。mangle表支持所有的5类钩子。

对于一个packet,程序用能够编写钩子函数的地方及处理的顺序如下图所示:

003a18f8c5953d6ae1717c77994c68e4.gif0b1331709591d260c1c78e86d0c51c18.png

weixin_39952502
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3427
本文对netfilterNAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
Linux netfilter 学习笔记 之十二 ip层netfilterNAT模块代码分析
热门推荐
lickylin的专栏
07-04 1万+
本节主要是分析NAT模块相关的hook函数与target函数,主要是理清NAT模块实现的原理等。   1.NAT相关的hook函数分析 NAT模块主要是在NF_IP_PREROUTING、NF_IP_POSTROUTING、NF_IP_LOCAL_OUT、NF_IP_LOCAL_IN四个节点上进行NAT操作,在上一节中我们知道nat表中只有PREROUTING、POSTROUTING、LOC
Linux netfilter/iptables内核模块介绍
chengfangang的专栏
03-20 1867
http://www.linuxidc.com/Linux/2012-09/71468.htm netfilter架构 netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么? 在钩子函数的代
Linux netfilter 学习笔记 之七 ip层netfilter的连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6177
内核版本 2.6.16   连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
Linux netfilter/iptables知识点详解
01-09
NetfilterLinux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间...
NetFlow/IPFIX iptables module:用于Linux内核的NetFlow iptables模块-开源
05-08
这是netfilter / iptables模块,添加了对-j NETFLOW目标的支持。 设计用于不使用conntrack即可有效地工作。 支持NetFlow协议v5,v9和IPFIX。 解释IPv4,IPv6流量和NAT转换事件(NEL)。 其他选项是SNMP索引转换规则...
Linux_net_internal.rar_linux 内核详解_linux驱动编程
最新发布
09-22
- **数据包过滤**:实现netfilter/iptables,用于防火墙规则或NAT转换。 - **性能优化**:针对特定场景调整内核参数,如队列管理、缓冲区大小等。 **驱动程序编程:** Linux驱动程序是内核与硬件设备之间的桥梁。...
Linux的Netfilter功能框架.pdf
09-07
NetfilterLinux 2.4内核实现数据包过滤、数据包处理、NAT等的功能框架。它提供了一个抽象、通用化的框架,相比之前的任何一版本Linux内核防火墙子系统都要完善强大。 Netfilter的功能框架主要包括数据包过滤、...
nat.rar_linux nat_nat_nat 实现_数据包转发
09-14
Linux中,NAT功能主要由`netfilter`框架和`iptables`工具实现。`netfilter`是内核中的一个钩子系统,允许用户空间程序对进出的数据包进行操作。而`iptables`是控制这些钩子的命令行工具,可以设置规则来转发、拒绝...
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
linux下的netfilter防火墙配置
09-04
ipt 1/7 http://www.boobooke.com/v/bbk3648 ipt 2/7 http://www.boobooke.com/v/bbk3649 ipt 3/7 http://www.boobooke.com/v/bbk3671 ipt 4/7 http://www.boobooke.com/v/bbk3679 ipt 5/7 http://www.boobooke.com/v/bbk3680 ipt 6/7 http://www.boobooke.com/v/bbk3685 ipt 7/7 http://www.boobooke.com/v/bbk3686
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2096
Linux 内核开发 - NetFilter
利用Linux Netfilter框架实现Linux内核模块阻断HTTP数据包
qq_41727987的博客
05-08 865
主要参考内容: netfilter数据包过滤【https://tcspecial.iteye.com/blog/2174784】(很旧版netfilter下阻断http包) Linux内核编程 -- 从HelloWord到基于NetFilterLinux驱动Demo【https://blog.csdn.net/xushuzhan/article/details/78843218】(很详细...
linux内核与内核模块,8、Linux内核与内核模块
weixin_36071392的博客
04-30 130
既然要处理内核模块,自然就得要了解内核提供的模块之间的相关性。基本上,内核模块的放置处是在/lib/modules/$(uname-r)/kernel,里面主要分成几个目录:arch:与硬件平台有关的选项,例如CPU的等级等。crypto:内核所支持的加密技术,例如md5或者是des等。drivers:一些硬件的驱动程序,例如显卡、网卡、PCI相关硬件等。fs:内核所支持的文件系统,例如vfat...
netfilter内核实现概述
qq_17045267的博客
01-23 2080
netfilter内核实现概述 一、前言 netfilterLinux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
深入Linux网络核心堆栈
超然楼
07-14 1323
|=---------------------=[ 深入Linux网络核心堆栈 ]=-----------------------=||=-----------------------------------------------------------------------=||=------------------=[ bioforge ]=--------------------=||
基于linux的netfilter处理数据包的过程分析,基于Netfilter的网络数据包分析
weixin_34324082的博客
05-12 385
前面的几篇文章我已经对Netfilter的大概的机制作了比较详细的介绍,这篇文章我就说一下如何分析网络数据包。我刚刚写了一个程序,程序的功能很简单,就是提取出网络数据包的源地址和改包所使用的网络协议,大家可以看看源代码:#define __KERNEL__#define MODULE#include #include #include #include #include #include #inc...
Linux 网络层收发包流程及 Netfilter 框架浅析
~~ LINUX ~~
03-20 885
1. 前言 本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 Netfilter 数据包过滤框架的基本原理以及使用方式进行简单阐述。 内容如有理解错误而导致说明错误的地方,还请指正。如存在引用而没有添加说明的,也请及时告知,非常感谢! 2. 基础网络知识 2.1 网络分层模型 OSI 模型中将网络划分为七层,但在目前实际广泛使用的 TCP/IP ...
15-防火墙与Linux代理服务器.docx
12-21
首先,netfilter/iptablesLinux内核2.4版本后内置的IP数据包过滤系统,它允许用户灵活地控制进出系统的网络流量。它不仅具备基本的防火墙功能,还能实现有状态连接跟踪,这意味着它能够识别和记忆已建立的连接,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值