Linux-Netfilter

最新推荐文章于 2024-08-21 10:25:22 发布
最新推荐文章于 2024-08-21 10:25:22 发布
阅读量296 收藏
点赞数
分类专栏: 系统运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40342459/article/details/102245839
版权

netfilter 为linux  第三代防火墙,前面为 ipfwadm  与  ipchains  

netfilter 有四个表,五条链,四种状态

四个表:     raw  表       在连接链路检测之前,主要做防火墙性能优化用

                  mangle 表   修改进入linux设备的数据包相关参数,可以改ip的dscp 值,后者加上 mangle 的mark 标记 

                  nat  表     只要是一些 SNAT,DNAT 用

                  filter 表   防火墙的核心,包过滤的作用

 

每个表有不同的链:

      raw:   

               PREROUTING  链

               OUTPUT 链

     mangle:   

             PERROUTING 链,

             INPUT链,

             FORWARD链,

             OUTPUT链

             POSTROUTING链

   

   nat:    

         PERROUTING 链,

         OUTPUT链

         POSTROUTING链

 

数据包的转发流程依次是 raw> mangle > nat > filter

 

netfilter 数据转发流程:

 

iptables  为 netfilter 统一的规则匹配接口

部分举例:

iptables   -A    INPUT  -p  tcp  -i  eth1   --dport  22  -j  ACCEPT

iptabels  -A  FORWARD -i  eth1   -o  eth0  -p  tcp  --dport  80  -j   DROP

 

iptables  -t   nat  -A  POSTROUTING  -o  eth0  -s  192.168.0.0/24   -j  SNAT  --to  10.0.1.200

iptables  -t   nat  -A  POSTROUTING  -o  eth0  -s  192.168.0.0/24   -j  MASQUERADE

iptables -t   nat  -A  POSTROUTING  -i   eth0  -p  tcp  --dport  80  -j   DNAT  --to  192.168.0.1:80

 

iptables  -t  mangle  -A  OUTPUT  -p  tcp  --dport  22   -j  DSCP  --set-dscp  43

 

 

天上掉下个猪八戒
关注
专栏目录
Linux内核防火墙Netfilter和iptables用户工具
m0_74282605的博客
03-06 373
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
goland 开发工具插件 ja-netfilter-all
08-24
《Goland 开发工具插件 Ja-Netfilter-All 全面解析》 在软件开发领域,高效且功能丰富的开发工具对于程序员来说至关重要。Goland,作为一款由JetBrains公司推出的Go语言专用IDE(集成开发环境),凭借其强大的代码...
linux netfilter
weixin_30902251的博客
10-12 90
netfilter 是一种内核中用于扩展各种网络服务的结构化底层框架。netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性加入到内核中并不需要从新启动内核。这样,可以通过简单的构造一个内核模块来实现网络新特性的扩展。给底层的网络特性扩展带来了极大的便利,使更多从事网络底层研发的开发人员能够集中精力实现新的网络特性。netfilter有4大特性:1. 每一个协议定义"hoo...
Linux 内核源码分析---netfilter 框架
最新发布
学习记录
08-21 1031
学习记录
Netfilter in Linux
lcxhjg的专栏
07-11 415
内核参照2.6.34 (部分2.6.21)Packet flow in netfilter netfilter框架1.        netfilter中的链  2.        netfilter 中的表 a)        netfilter中的表有raw,mangle, filter, nat, security(新加), 表存在于链中, 由ipt_register_table()注册, ...
Linux Netfilter介绍
weixin_42915431的博客
12-31 7346
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
Linux-Netfilter&iptables实现机制的分析及应用.pdf
08-04
### Linux-Netfilter & iptables 实现机制的分析及应用 #### 1. 引言 本文档旨在深入探讨Linux下的Netfilter与iptables实现机制,重点关注用户态与内核态规则之间的交互方式及其管理方法。此外,文档还讨论了如何...
Linux-netfilter-conntrack机制初步分析
04-27
### Linux-netfilter-conntrack机制初步分析 #### 一、前言 Netfilter中的连接跟踪(conntrack)模块作为网络地址转换(NAT)等基础功能的关键组成部分,在深入理解Netfilter架构的同时,掌握conntrack的工作原理至关...
Linux-Netfilter机制分析
09-01
Linux-Netfilter机制深入解析 Netfilter作为Linux内核中重要的网络过滤框架,为系统提供了强大的数据包处理能力。本文将基于2.6.15版本的Linux内核源码,详细解析Netfilter的核心机制,包括钩子函数的注册管理、...
pcp-pmda-netfilter-4.1.0-4.el7.x86_64.rpm
11-30
离线安装包,亲测可用
linux防火墙Netfilter(iptables)
beeworkshop的博客
11-07 914
Linux的防火墙由Netfilter实现: Netfilter的过滤功能在内核中实现,不依靠daemon。 工作于OSI 7层模型的第2, 3, 4层。 只检测报文头。 iptables是Netfilter的客户端管理工具。 Netfilter的模块位于/lib/modules/$(uname -r)/kernel/net/netfilter/中。 Netfilter Tables ...
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2261
Linux 内核开发 - NetFilter
Linux内核中Netfilter介绍
Linux知识积累
04-28 1549
Netfilter概述 Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模...
linux-内核:netfilter框架
赵凯月的博客
06-23 1741
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
Linux下Netfilter简介
血饮渊虹的博客
10-27 3389
1、什么是Netfilter NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 iptables是Linux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配...
linux Netfilter在网络层的实现详细分析(iptables)
maimang1001的专栏
06-10 646
Linux下使用Netfilter框架编写内核模块_yg@hunter的博客-CSDN博客_linux netfilter编程上篇文章我们从内核源码的角度分析Linux Netfilter框架下,hook钩子是如何被执行的,这次我们写个简单的示例代码,详细介绍下如何使用Netfilter框架编写内核模块。https://blog.csdn.net/weixin_42915431/article/details/122226079我在之前已经写过两篇关于netfilter的文章:Linux netfilter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值