Netfilter笔记-02

最新推荐文章于 2024-04-28 12:35:10 发布
最新推荐文章于 2024-04-28 12:35:10 发布
阅读量242 收藏
点赞数
分类专栏: kernel netfilter/iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangziyouing/article/details/88847046
版权
Netfilter在kernel中设置协议特定的hook节点,用于数据包sk_buff的过滤。struct nf_hook_ops结构体是其核心,采用双向循环链表设计。注册hook节点通过nf_register_hook函数实现,该函数将hook按优先级插入链表。在iptable_nat_init模块中,nf_register_hooks注册了ipv4hook节点。nf_register_hook函数遍历nf_hooks链表,按优先级从高到低插入新hook。完成注册后,内核等待数据包触发hook流程。
摘要由CSDN通过智能技术生成

Netfilter说白了就是针对不同的协议(协议类型和hook节点我们上一章已经讲过)在kernel中放置了不同的hook节点,等数据包sk_buff,到来的时候,要给hook节点进行过滤,下图为IP层的五个hook点的位置:

 

在讲具体流程之前我们要介绍一个结构体:struct nf_hook_ops

struct nf_hook_ops {
        struct list_head list;    //链表

        /* User fills in from here down. */
        nf_hookfn *hook;            //hook的处理函数    
        struct module *owner;
        u_int8_t pf;                 //协议类型
        unsigned int hooknum;        //hook点,也就是上图的5个hook点
        /* Hooks are ordered in ascending priority. */
        int priority;        //优先级(越小优先级越高)
};

从结构体的内容可以看书,它是双向循环链表的数据结构,在kernel代码中很常见到list_head。

下面我们分析hooks的注册流程。

首先我们要注册h

最低0.47元/天 解锁文章
莘莘L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Netfilter笔记-01
七七的博客
03-27 480
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。 netfilter架构中不同的协议类型有不同的HOOK。协议类...
netfilter
killmice的专栏
01-09 427
11.1.1  netfilter的结构框架(1) 1.Linux防火墙发展历程 最开始的ipfwadm是AlanCox在Linux Kernel发展的初期,从FreeBSD的内核代码中移植过来的。后来经历了ipchains,再经由Paul Russel在Linux Kernel 2.3系列的开发过程中发展了netfilter这个架构。而用户空间的防火墙管理工具,也相应的发展为iptables
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1173
Linux,网络,Netfilter
C语言中位域
作一个独立连续的思考者
07-30 727
引自:http://wenku.baidu.com/view/5efe35ccda38376baf1fae9a.html 这是C语言位域 ( 冒号 ) 问题 有些信息在存储时,并不需要占用一个完整的字节, 而只需占几个或一个二进制位。例如在存放一个开关量时,只有0和1 两种状
Netfilter
dba2007的专栏
01-06 1678
偶的毕业设计是基于Netfilter的东西,最近也就对Netfilter有了一些了解。通过NetFilter这个名字,我感觉它是一个包过滤机制,然后分别在路有前后的几个关键点定义了一些钩子,允许内核的其他模块来对包进行处理。内核模块通过调用nf_register_hook来注册钩子函数,注册时提供一个叫做nf_hook_ops 的结构体以告诉Netfilter足够的信息,该结构体有几个域:
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
Netfilter_读书笔记.pdf
05-13
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分 的实现。Netfilter 虽然集成了Firewall,NAT 和mangel 的功能,但本人觉得NAT 最为复杂。 当理解了NAT 部分的功能,再看Firewall ...
netfilter 读书笔记
11-16
做ALG必备的基础工具书,讲得很透彻,值得看下
Netfilter ALG笔记
03-12
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分的实现。
NetFIlter详解
weixin_33953384的博客
03-21 224
2019独角兽企业重金招聘Python工程师标准>>> ...
初识netfilter
人生如棋
08-22 3371
初步学习netfilter的总结
协议栈(Netfilter
Jiajun Zhu
05-21 1018
ip_rcv() int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev) { struct iphdr *iph; u32 len; /* When the interface is in promisc. mo...
Netfilter 学习
王以山的专栏
03-23 1873
一、Netfiter简介 ---From netfilter.samba.org/what is netfilter     从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的ipchains/ipfwadm系统,那就是netfilter和iptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组
Netfilter简介
MinoC0的博客
12-28 2334
一、Netfilter简介 前言 研究Netfilte已经有一段时间了,Netfilter的内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给NetfilterNetfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配
netfilter 理解
热门推荐
ruisenabc的专栏
02-25 2万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...
Linux Netfilter介绍
weixin_42915431的博客
12-31 7279
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
make menuconfig配置项中的 [ ] Network packet filtering framework (Netfilter) ---- 介绍
05-17
Network packet filtering framework (Netfilter) 是 Linux 内核中的一个模块,它是一个用于实现数据包过滤、NAT、端口转发等网络功能的框架。Netfilter 通过在 Linux 内核中注册钩子函数来实现网络过滤和转发,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值