Netfilter笔记-01

最新推荐文章于 2022-03-16 18:06:28 发布
最新推荐文章于 2022-03-16 18:06:28 发布
阅读量506 收藏 5
点赞数
分类专栏: kernel netfilter/iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangziyouing/article/details/88845842
版权
Netfilter是Linux 2.4.x引入的子系统,提供数据包过滤、NAT和连接跟踪等功能。它在不同网络流程阶段设置检测点(HOOK),并注册处理函数。主要涉及的协议类型包括NFPROTO_IPV4、NFPROTO_IPV6、NFPROTO_ARP和NFPROTO_BRIDGE,不同协议类型的HOOK处理函数不同,如nf_inet_hooks用于IPv4和IPv6。
摘要由CSDN通过智能技术生成

Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。

netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。

netfilter架构中不同的协议类型有不同的HOOK。协议类型代码如下:

enum {
        NFPROTO_UNSPEC =  0,
        NFPROTO_IPV4   =  2,  //IPV4
        NFPROTO_ARP    =  3,  //arp
        NFPROTO_BRIDGE =  7,  //bridge
        NFPROTO_IPV6   = 10,  //ipv6
        NFPROTO_DECNET = 12, 
        NFPROTO_NUMPROTO,
};

主要常用的是NFPROTO_IPV4,NFPROTO_IPV6,NFPROTO_ARP,NFPROTO_BRIDGE。

 

NFPROTO_IPV4,NFPROTO_IPV6 的Hooks使用的是nf_inet_hooks,代码如下:

enum nf_inet_hooks {
        NF_INET_PRE_ROUTING,
        NF_INET_LOCAL_IN,
        NF_INET_FORWARD,
        NF_INET_LOCAL_OUT,
        NF_INET_POST_ROUTING,
        NF_INET_NUMHOOKS
};
</
最低0.47元/天 解锁文章
莘莘L
关注
专栏目录
Netfilter笔记-02
七七的博客
03-27 252
Netfilter说白了就是针对不同的协议(协议类型和hook节点我们上一章已经讲过)在kernel中放置了不同的hook节点,等数据包sk_buff,到来的时候,要给hook节点进行过滤,下图为IP层的五个hook点的位置: 在讲具体流程之前我们要介绍一个结构体:struct nf_hook_ops struct nf_hook_ops { struct list...
Netfilter笔记-03
七七的博客
03-28 170
当我们使用nf_register_hook在内核中注册好hook之后,内核是如何来引用的呢? 当设备的硬件接收帧以后,会使用中断事件通知CPU,该帧已经可用了,CPU接收到终端事件之后,会执行do_IRQ函数,IRQ编号会引发正确的处理函数被启用,在该过程中,内核会把帧拷贝到sk_buff数据结构中进行处理。按照IP数据包接收流程 内核会调用ip_rcv函数,此函数内会调用NF_HOOK ...
C语言中位域
作一个独立连续的思考者
07-30 741
引自:http://wenku.baidu.com/view/5efe35ccda38376baf1fae9a.html 这是C语言位域 ( 冒号 ) 问题 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位。例如在存放一个开关量时,只有0和1 两种状
netfilter
nongfuchui的博客
08-28 995
#firewalld&amp;netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7中称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
Netfilter
dba2007的专栏
01-06 1700
偶的毕业设计是基于Netfilter的东西,最近也就对Netfilter有了一些了解。通过NetFilter这个名字,我感觉它是一个包过滤机制,然后分别在路有前后的几个关键点定义了一些钩子,允许内核的其他模块来对包进行处理。内核模块通过调用nf_register_hook来注册钩子函数,注册时提供一个叫做nf_hook_ops 的结构体以告诉Netfilter足够的信息,该结构体有几个域:
NetFIlter详解
weixin_33953384的博客
03-21 253
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
初识netfilter
人生如棋
08-22 3454
初步学习netfilter的总结
协议栈(Netfilter
Jiajun Zhu
05-21 1040
ip_rcv() int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev) { struct iphdr *iph; u32 len; /* When the interface is in promisc. mo...
Netfilter 学习
王以山的专栏
03-23 1896
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
Netfilter简介
MinoC0的博客
12-28 2381
一、Netfilter简介 前言 研究Netfilte已经有一段时间了,Netfilter的内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给Netfilter 。 Netfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配
netfilter 理解
热门推荐
ruisenabc的专栏
02-25 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...
Linux Netfilter介绍
weixin_42915431的博客
12-31 7386
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
netfilter 和 iptables
weixin_34217711的博客
11-18 206
为什么80%的码农都做不了架构师?>>> ...
大白话netfilter
yanchendage的博客
03-16 9872
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter简介
newand
12-03 1517
1. netfilter简介 netfilter是在Linux内核中一组钩子,这些钩子允许在网络协议栈中使用内核模块来注册回调函数,可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能,如过滤报文,修改报文等。 和netfilter常常出现在一起的还有iptable,它是在netfilter基础上在Linux内核中内置的防火墙架构,它工作在用户空间,根据我们配置的规则集工作,
make menuconfig配置项中的 [ ] Network packet filtering framework (Netfilter) ---- 介绍
最新发布
05-17
Network packet filtering framework (Netfilter) 是 Linux 内核中的一个模块,它是一个用于实现数据包过滤、NAT、端口转发等网络功能的框架。Netfilter 通过在 Linux 内核中注册钩子函数来实现网络过滤和转发,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值