netfilter/iptables
莘莘L
这个作者很懒,什么都没留下…
展开
-
iptables链表
iptabes作为linux应用层配置防火墙的工具,具体是搞规则链表,进行插入,删除链表等操作。在内核层是由netfilter具体来实现的,其是由5个hook实现的,网上有很多详解,就不一一叙述。下图是IPtables的链表框架图,如果理解此图,那么iptables就不难。此图来自Iptables 指南 1.1.19,详细内容也可参考Iptables 指南 1.1.19。...原创 2019-03-25 10:32:58 · 851 阅读 · 0 评论 -
Netfilter笔记-01
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。netfilter架构中不同的协议类型有不同的HOOK。协议类...原创 2019-03-27 15:45:47 · 477 阅读 · 0 评论 -
Netfilter笔记-02
Netfilter说白了就是针对不同的协议(协议类型和hook节点我们上一章已经讲过)在kernel中放置了不同的hook节点,等数据包sk_buff,到来的时候,要给hook节点进行过滤,下图为IP层的五个hook点的位置:在讲具体流程之前我们要介绍一个结构体:struct nf_hook_opsstruct nf_hook_ops { struct list...原创 2019-03-27 16:14:51 · 239 阅读 · 0 评论 -
Netfilter笔记-03
当我们使用nf_register_hook在内核中注册好hook之后,内核是如何来引用的呢?当设备的硬件接收帧以后,会使用中断事件通知CPU,该帧已经可用了,CPU接收到终端事件之后,会执行do_IRQ函数,IRQ编号会引发正确的处理函数被启用,在该过程中,内核会把帧拷贝到sk_buff数据结构中进行处理。按照IP数据包接收流程内核会调用ip_rcv函数,此函数内会调用NF_HOOK...原创 2019-03-28 10:28:39 · 151 阅读 · 0 评论 -
iptables
Iptable 作为防火墙在应用层的配置工具,功能是配置相关的规则链,在底层相对应的是netfilter。iptables的精华就在下图:如果能够理解此图,那么掌握iptables就不难。...原创 2019-03-28 13:58:08 · 106 阅读 · 0 评论