Linux Netfilter nat表注册

最新推荐文章于 2023-11-30 17:14:24 发布
最新推荐文章于 2023-11-30 17:14:24 发布
阅读量180 收藏 2
点赞数
分类专栏: Linux内核网络 文章标签: linux内核网络 netfilter nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhgure/article/details/96480380
版权

Linux Netfilter的nat表的主要功能是修改IP地址和端口号。
nat表在4个链的位置注册:PREROUTING、POSTROUTING、LOCAL_OUT、LOCAL_IN。
注册函数如下:

static int __init nf_nat_standalone_init(void)
{
	int ret = 0;

	need_ipv4_conntrack();

#ifdef CONFIG_XFRM
	BUG_ON(ip_nat_decode_session != NULL);
	rcu_assign_pointer(ip_nat_decode_session, nat_decode_session);
#endif

    /* 注册NAT表,注册SNAT/DNAT的ipt_target */
	ret = nf_nat_rule_init();
	if (ret < 0) {
		printk("nf_nat_init: can't setup rules.\n");
		goto cleanup_decode_session;
	}

    /* 注册NAT的4个hook点 */
	ret = nf_register_hooks(nf_nat_ops, ARRAY_SIZE(nf_nat_ops));
	if (ret < 0) {
		printk("nf_nat_init: can't register hooks.\n");
		goto cleanup_rule_init;
	}
	return ret;

 cleanup_rule_init:
	nf_nat_rule_cleanup();
 cleanup_decode_session:
#ifdef CONFIG_XFRM
	rcu_assign_pointer(ip_nat_decode_session, NULL);
	synchronize_net();
#endif
	return ret;
}

nat表的hook定义,注册到4个链:

static struct nf_hook_ops nf_nat_ops[] __read_mostly = {
	/* Before packet filtering, change destination */
	{
		.hook		= nf_nat_in,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_NAT_DST,
	},
	/* After packet filtering, change source */
	{
		.hook		= nf_nat_out,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_NAT_SRC,
	},
	/* Before packet filtering, change destination */
	{
		.hook		= nf_nat_local_fn,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_NAT_DST,
	},
	/* After packet filtering, change source */
	{
        /* 注意,直接调用nf_nat_fn,此处最大可能是修改
         * 源端口号,为连接跟踪rely项服务 */
		.hook		= nf_nat_fn,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_NAT_SRC,
	},
};

nat模块PREROUTING点的hook函数,实现DNAT。

static unsigned int nf_nat_in(unsigned int hooknum,
        struct sk_buff *skb,
        const struct net_device *in,
        const struct net_device *out,
        int (*okfn)(struct sk_buff *))
{
    unsigned int ret;
    __be32 daddr = ip_hdr(skb)->daddr;

    /* 实现DNAT转换 */
    ret = nf_nat_fn(hooknum, skb, in, out, okfn);
    if (ret != NF_DROP && ret != NF_STOLEN &&
            daddr != ip_hdr(skb)->daddr)
    {
        /* 如果DNAT转换成功,目的IP发生改变,
         * 则需要对dst_entry引用计数减1,并置空skb->dst,
         * 数据包向下走会自动重新查找路由 */
        dst_release(skb->dst);
        skb->dst = NULL;
    }
    return ret;
}

nat模块POSTROUTING点的hook函数,实现SNAT。

static unsigned int nf_nat_out(unsigned int hooknum,
        struct sk_buff *skb,
        const struct net_device *in,
        const struct net_device *out,
        int (*okfn)(struct sk_buff *))
{
#ifdef CONFIG_XFRM
    const struct nf_conn *ct;
    enum ip_conntrack_info ctinfo;
#endif
    unsigned int ret;

    /* root is playing with raw sockets. */
    if (skb->len < sizeof(struct iphdr) ||
            ip_hdrlen(skb) < sizeof(struct iphdr))
        return NF_ACCEPT;

    /* 实现SNAT转换 */
    ret = nf_nat_fn(hooknum, skb, in, out, okfn);
#ifdef CONFIG_XFRM
    if (ret != NF_DROP && ret != NF_STOLEN && (ct = nf_ct_get(skb, &ctinfo)) != NULL)
    {
        enum ip_conntrack_dir dir = CTINFO2DIR(ctinfo);

        if (ct->tuplehash[dir].tuple.src.u3.ip != ct->tuplehash[!dir].tuple.dst.u3.ip
                || ct->tuplehash[dir].tuple.src.u.all != ct->tuplehash[!dir].tuple.dst.u.all)
            /* 如果SNAT转换成功,IP发生改变,则需要对dst_entry处理 */
            return ip_xfrm_me_harder(skb) == 0 ? ret : NF_DROP;
    }
#endif
    return ret;
}

nat模块LOCAL_OUT点的hook函数,实现DNAT。

static unsigned int nf_nat_local_fn(unsigned int hooknum,
        struct sk_buff *skb,
        const struct net_device *in,
        const struct net_device *out,
        int (*okfn)(struct sk_buff *))
{
    const struct nf_conn *ct;
    enum ip_conntrack_info ctinfo;
    unsigned int ret;

    /* root is playing with raw sockets. */
    if (skb->len < sizeof(struct iphdr) ||
            ip_hdrlen(skb) < sizeof(struct iphdr))
        return NF_ACCEPT;

    /* 实现DNAT转换 */
    ret = nf_nat_fn(hooknum, skb, in, out, okfn);
    if (ret != NF_DROP && ret != NF_STOLEN &&
            (ct = nf_ct_get(skb, &ctinfo)) != NULL)
    {
        enum ip_conntrack_dir dir = CTINFO2DIR(ctinfo);

        if (ct->tuplehash[dir].tuple.dst.u3.ip != ct->tuplehash[!dir].tuple.src.u3.ip)
        {
            /* 进入OUTPUT链之前已经计算过路由,后续不会再查找路由的操作,
             * 此时如果目的IP改变,则需要重新计算路由 */
            if (ip_route_me_harder(skb, RTN_UNSPEC))
                ret = NF_DROP;
        }
#ifdef CONFIG_XFRM
        else if (ct->tuplehash[dir].tuple.dst.u.all != ct->tuplehash[!dir].tuple.src.u.all)
            if (ip_xfrm_me_harder(skb))
                ret = NF_DROP;
#endif
    }
    return ret;
}
zhgure
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3454
本文对netfilterNAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
netfilter 链接跟踪机制与NAT原理
weixin_30822451的博客
02-26 242
内核版本:2.6.121.链接跟踪 conntrack 1.1.netfilter框架5个链: NF_IP_PRE_ROUTING:数据包进入路由之前 NF_IP_LOCAL_IN:通过路由后目的地为本机 NF_IP_FORWARD:通过路由后,目的地不为本机 NF_IP+LOCAL_OUT:由本机产生,向外转发 NF_IP_POST_ROUTING:发送到网卡接口之前。 4...
Linux 驱动】Netfilter/iptables (八) NetfilterNAT机制
weixin_34006965的博客
08-13 86
NAT是Network Address Translation的缩写,意即“网络地址转换”。从本质上来说,是通过改动IP数据首部中的地址,以实现将一个地址转换成还有一个地址的技术。 当然在某种情况下。改动的不仅仅是IP首部的来源或目的地址。还包含其他要素。 随着接入Internet的计算机数量不断猛增。IP地址资源也就愈加显得捉襟见肘。这也是Ipv6出现的一大原因。 我们...
netfilternat
fengcai_ke的博客
07-18 704
netfilter nat实现分析
73.fileter案例,NAT的应用
weixin_34347651的博客
11-12 73
fileter案例 要求如下: 只针对filter,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.204.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。 这个需求不算复杂,但是因为有多条规则,所以最好写成脚本的形式。脚本内容如下 root@zlinux ~]# cat /usr/local/sb...
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
Linux的Netfilter功能框架.pdf
09-07
NetfilterLinux 2.4内核实现数据包过滤、数据包处理、NAT等的功能框架。它提供了一个抽象、通用化的框架,相比之前的任何一版本Linux内核防火墙子系统都要完善强大。 Netfilter的功能框架主要包括数据包过滤、...
linuxnat介绍
08-05
Linux NAT 的实现原理基于 netfilter 框架,netfilterLinux 内核中的一个网络过滤器框架,它提供了一种灵活的方式来过滤、修改和转换网络数据包。Linux NAT 实现了两种类型的 NAT:源 NAT(SNAT)和目的 NAT...
Linux netfilter/iptables知识点详解
01-09
NetfilterLinux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间...
nat.rar_linux nat_nat_nat 实现_数据包转发
09-14
Linux中,NAT功能主要由`netfilter`框架和`iptables`工具实现。`netfilter`是内核中的一个钩子系统,允许用户空间程序对进出的数据包进行操作。而`iptables`是控制这些钩子的命令行工具,可以设置规则来转发、拒绝...
NetFilterNAT机制(IP地址的分类)
Edidaughter的博客
09-30 711
SNAT和DNAT
netfilternat 分析
王以山的专栏
09-12 1852
LinuxNAT功能的实现 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源: http://yfydz.cublog.cn 1. 前言 在2.4/2.6内核Linux中的防火墙代码netfilter
防火墙软件NetfilterNAT技术(转)
congjukun0600的博客
08-10 185
防火墙软件NetfilterNAT技术(转)[@more@]本文档主要描述怎样进行IP伪装(masquerading)、透明代理(transparent proxying)、端口转发(port forwarding)和其他形式...
linux内核协议栈 netfilter 之 ip 层 netfilterNAT 模块 hook 及 target 代码剖析
11-08 2384
1 钩子函数 1.1 nf_nat_ipv4_in() NF_INET_PRE_ROUTING 1.2 nf_nat_ipv4_out() NF_INET_POST_ROUTING 1.3 nf_nat_ipv4_local_fn() NF_INET_LOCAL_OUT 1.4 nf_nat_ipv4_fn() NF_INET_LOCAL_IN 2 target 函数 3 iptables 案例
Netfilter学习之NAT类型动态配置(二)NAT类型介绍及MASQUERADE用户层的实现
ty的博客
02-04 2968
  在上一节中,我们介绍了iptables和netfilter的基本关系,在这里我们会进一步介绍现有的NAT以及Linux中大多已实现的MASQUERADE实现原理。 1. NAT类型介绍   常用的NAT类型主要有Full Cone NAT(全锥型), Restricted NAT(限制型锥型), Port Restricted NAT(端口限制型锥型), Symmetric NAT(对...
Linux netfilter 学习笔记 之十一 ip层netfilterNAT模块初始化以及NAT原理
lickylin的专栏
07-01 6204
1.NAT的原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。 1.1 SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的lan侧会下挂至少两台设备,而这两台设备的ip地址都是lan侧地址,而lan侧设备又要访问公网,这就需要SNAT大展身手了,通过将lan侧发送的ip数据包的源ip地
netfilter&iptables探讨(4)——nat的实现与使用
dillanzhou的博客
12-11 1235
在之前的几篇文章中,我们讨论了netfilter与iptables的实现原理与基本用法。在netfilter&iptables的各种使用场景中,nat是最常用也是最复杂的用法之一。许多常用的网络使用模式都是通过nat iptables规则实现的,例如docker默认的bridge网络模式。本文将具体分析iptables中nat规则的实现方式,介绍报文经过nat规则实现地址转换的过程。并以docker bridge模式使用的nat规则为例,具体了解nat规则的实际用法。
Netfilter简介
MinoC0的博客
12-28 2337
一、Netfilter简介 前言 研究Netfilte已经有一段时间了,Netfilter内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给Netfilter 。 Netfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的来存储自己的配
Netfilter中的NAT
最新发布
weixin_72625764的博客
11-30 127
DNAT原理与应用: DNAT应用环境:在Internet中发布位于局域网内的服务器 DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。实验要求:要求内网服务器和外网服务器可以通过网关服务器相连,且用http服务时,内网服务器可以看到外网服务器的ip地址,而外网服务器看不到内网服务器的ip地址(保密性,安全性)实验准备:准备三台虚拟机,一台作为内网服务器,一台作为网关服务器,一台作为外网服务器。修改内核参数配置文件,将此台网关服务器开启路由服务。
netfilter NAT
05-19
NetfilterLinux内核中的一个框架,用于实现网络数据包过滤和修改。其中,NAT(Network Address Translation)是Netfilter的一个子系统,主要用于实现IP地址和端口号的转换,以允许私有IP地址的主机与公网进行通信...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值