Netfilter中返回值的具体用法

最新推荐文章于 2024-08-24 12:20:35 发布
最新推荐文章于 2024-08-24 12:20:35 发布
阅读量1k 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc889078/article/details/8796808
版权
返回值                  含义                                                                                     用途
NF_ACCEPT      数据包被该hook允许,继续netfilter流程                       如果数据包为正常数据包,一般都是这个返回值
NF_DROP           数据包被该hook拒绝,不再继续被netfilter处理           如果数据包为非法数据包,需要直接丢弃,采用这个返回值
NF_STOLEN       数据包被该hook处理,不再继续被netfilter处理           如果需要对数据包修改,并且不希望别的hook再处理该数据包,   采用这个返回值
NF_QUEUE         数据包需要放到queue队列中,等待queue的处理      如果需要将数据包导入用户态处理,采用这个返回值
NF_REPEAT       数据包需要重新走一遍netfilter流程                               这个返回值一般是QUEUE后,在用户态处理后,如果希望数据包在重新走一遍netfilter
xc889078
关注
专栏目录
Netfilter——Netfilter的HOOK机制
Windeal
04-20 9325
Netfilter 是 Linux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。一、如何在协议栈调用钩子函数  在协议栈相应位置嵌入Netfilter的函数NF_HOOK,来拦截报文送到Netfilter进行处理。  协议栈的五条内置链我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUT
Ethernet Bridge Netfilter框架及Data Path分析
weixin_45254661的博客
03-17 3320
1. Netfilter简介 ​ netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地...
netfilter位于内核的那一层
Wait for 的专栏
12-19 4090
Netfilter 概述           Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。 Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构 , Netfilter 与 IP 协议栈是无缝契合
一个完整的netfilter的hook的例子
Hello World!
10-22 3767
http://www.xml.org.cn/blog/more.asp?name=hongrui&id=48276这个例子 就是阻断以后的网络数据包 //'Hello World' netfilter hooks example //For any packet, we drop it, and log fact to /var/log/messages#include #include #include #include static struct nf_hook_ops nfho;
在netfilterACCEPT、DROP、CONTINUE 和 RETURN 对应的值
alittlefish1的博客
08-20 218
在 Linux 内核的 Netfilter 框架,ACCEPTDROPCONTINUE、和RETURN对应的值是通过一组常量定义的。这些常量用于表示不同的处理动作。
网络虚拟化常见问题
m0_37313888的博客
08-18 512
1.网卡收发包的过程 收包过程 https://blog.csdn.net/jiangganwu/article/details/83037139 0.网卡驱动创建rx descriptor ring,并将地址写入网卡寄存器;网卡驱动为每个descriptor分配skb,并将地址写入descriptor; 1.包到达网卡,网卡对包进行校验 2.网卡将帧写入FIFO缓冲区 3.DMA通过PCI总线将数据包复制到skb缓冲区, 4.产生断,交给内核处理,这些断处理程序在网卡驱动 .
linux netfilter
最新发布
lydstory123的专栏
08-24 150
当某条规则的判定结果为NF_STOP,那么可以直接返回结果NF_STOP,无需 进行后面的判定了。NF_REPEAT:为netfilter的一个内部判定结果,需要重复该条规则的判定,NF_STOP: 数据包通过了挂载点的所有规则。而NF_ACCEPT需要所以的规则都为ACCEPT,才能返回NF_ACCEPT。NF_QUEUE:将数据包enque到用户空间的enque handler;NF_ACCEPT:数据包通过了挂载点的所有规则;NF_DROP:直接drop掉这个数据包;直至不为NF_REPEAT;
linux网络之netfilter 五个钩子点
m0_74282605的博客
03-08 420
在三层IPv4数据包的处理过程,可能经过Netfilter的五个钩子点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING,在每个点都可以设置一些规则,来对数据包进行匹配检查处理,这些规则的配置、布局和匹配流程。数据包已经被接管,回调函数处理该包,NF不再处理,该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。
(一)洞悉linux下的Netfilter&iptables:什么是Netfilter
wjlkoorey的专栏
07-24 917
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。     能在CU上混的人绝非等闲之辈。因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核
FTP 协议 基于 Netfilter Conntrack 的 动态端口 开放
And_ZJ的博客
10-15 2892
由于 防火墙的默认策略 应该是DROP,对于像 FTP 这种在被动模式下,需要新开端口建立数据通道的协议而言,防火墙不能够主动的开辟相关的端口,也就在默认DROP情况下,FTP的数据端口不能通信,就会出现能登录成功,但获取不到目录的情况。关于 FTP 的介绍,可参考这篇帖子。 在 Linux ,Netfilter 自带一个 conntrack 模块,于是就先以 ftp 协议为例研究了一下。实现 ...
Netfilter框架通过hook捕获数据包
李耀辉的博客
10-14 2811
数据包截获:Netfilter Netfilter 是由内核 2.4.x 和 2.6.x 提供的数据包截获机制,它替代了内核 2.2.x 使用的 ipchains、防火墙钩子和其他方法。Netfilter 也可以作为 LKM 获得。 要使用 netfilter,在内核编译时设置 Packet Filtering 选项。 可以对采用防火墙钩子机制的同类应用程序使用 netfilter 机制
netfilter_queue 总结
weixin_43745072的博客
11-24 3191
转载请注明出处 函数部分 nfq_open():打开一个nfqueue的句柄。 struct nfq_handle *nfq_open(void); 参数 return:生成的句柄 nfq_close():关闭nfq_open()创建的句柄。 int nfq_close(struct nfq_handle *h); 参数 h:nfq_open()创建的句柄 return: 0 成功,非0失败 nfq_unbind_pf() 将给定队列连接句柄与处理的属于某个特定协议家族的数据包
实验十二 防火墙实验
qq_52192927的博客
05-19 333
防火墙
netfilter filter表(三)
weixin_46381158的博客
04-27 427
介绍netfilter模块的ipt_entry结构
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2277
Linux 内核开发 - NetFilter
Netfilter学习(二)
weixin_30532837的博客
09-22 112
  继续昨天的学习,要抓紧时间把框架给弄清楚,这样才能学的更快。   昨天说到了Netfilter的Hook,这是我最感兴趣的一部分,下面接着继续说Hook这部分。 2、Hook的调用     Hook调用时通过宏NF_HOOK实现的,其定义位于include/linux/netfilter.h,Line122。     这里先调用list_empty函数检查Hook点存储数...
深入Linux网络核心堆栈--netfilter详解(整理)
XscKernel的专栏 记录工作中做的点滴
11-15 1万+
目录 1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1] 4.1 - 深入hook函数 4.2 - 基于接
linux内核netfilter模块分析之:HOOKs点的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其可以根据内核提供的数据结构获取连接跟踪记录。  iptables 的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
Netfilter NF_HOOK执行流程分析一
VMA_LMA的专栏
04-16 1467
利用Linux我们可以实现复杂的防火墙机制,大家防火墙路由器,得易于Linux强大的内核,这些实现都变得非常简单,通过简单的几条iptables命令就可以定制我们的防火墙功能。那么Linux内核是如何完成对包的处理,流程又是怎么样呢? 一 首先看一下netfilter的整体架构 NF_HOOK执行流程分析一"> netfilter具体实现,以NF_IP_PREROUTING为例 二 NF
深入解析Netfilter的连接跟踪技术
"本文主要介绍了基于TFP的链接跟踪技术,内容涉及Netfilter的连接跟踪在Linux内核的实现,包括核心数据结构和相关函数,并通过FTP连接跟踪代码实例进行详细解释。" 在深入探讨TFP(可能是指TCP Flow Processor)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值