netfilter 基本原理

最新推荐文章于 2024-04-28 12:35:10 发布
最新推荐文章于 2024-04-28 12:35:10 发布
阅读量1w 收藏 18
点赞数 1
分类专栏: # Netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/113878049
版权

    Netfilter 是一个由Linux 内核提供的框架,可以进行多种网络相关的自定义操作。Netfilter 在 Linux 内核中表现为一系列的hook, 并允许Linux 内核模块注册为回调函数,Linux内核模块通过回调函数操作网络报文。

 

    Netfilter 在内核协议栈的包处理路径上提供了 5 个 hook 点,分别是:

enum nf_inet_hooks {
	NF_INET_PRE_ROUTING,
	NF_INET_LOCAL_IN,
	NF_INET_FORWARD,
	NF_INET_LOCAL_OUT,
	NF_INET_POST_ROUTING,
	NF_INET_NUMHOOKS
};

    可以在这些 hook 点注册处理函数(handlers)。当有数据包经过 hook 点时, 就会调用相应的 handlers 进行处理

 

 

1. 结构体

   1.1 nf_hook_ops 结构体

struct nf_hook_ops
{
	struct list_head list;

	/* User fills in from here down. */
	nf_hookfn *hook;
	struct module *owner;
	u_int8_t pf;
	unsigned int hooknum;
	/* Hooks are ordered in ascending priority. */
	int priority;
};

 

    1.1.1  hook 函数的返回值

     hook 函数对包进行判断或处理之后,需要返回一个判断结果

/* Responses from hook functions. */
#define NF_DROP 0
#define NF_ACCEPT 1
#define NF_STOLEN 2
#define NF_QUEUE 3
#define NF_REPEAT 4
#define NF_STOP 5
#define NF_MAX_VERDICT NF_STOP

 

 

    枚举变量 nf_ip_hook_priorities,其定义在 include/linux/netfilter_ipv4.h 文件,在 netfilter 框架下,各个 hook 点上的 hook 函数是以一定的优先级挂在一个链表上的,优先级排序是由高到底

enum nf_ip_hook_priorities {
	NF_IP_PRI_FIRST = INT_MIN,
	NF_IP_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP_PRI_RAW = -300,
	NF_IP_PRI_SELINUX_FIRST = -225,
	NF_IP_PRI_CONNTRACK = -200,
	NF_IP_PRI_MANGLE = -150,
	NF_IP_PRI_NAT_DST = -100,
	NF_IP_PRI_FILTER = 0,
	NF_IP_PRI_SECURITY = 50,
	NF_IP_PRI_NAT_SRC = 100,
	NF_IP_PRI_SELINUX_LAST = 225,
	NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
	NF_IP_PRI_LAST = INT_MAX,
};

 

 

1.  数据包分片处理

    在netfilter框架下,各个hook点上的hook函数是以一定的优先级挂在一个链表上的,优先级排序是由高到底

module_init(nf_defrag_init);

module_exit(nf_defrag_fini);

    这里在 PRE-ROUTING 和 LOCAL-OUT 两个 hook 点注册,优先级 -400, 加入到全局函数 nf_hooks 二维数组

static struct nf_hook_ops ipv4_defrag_ops[] = {
	{
		.hook		= ipv4_conntrack_defrag,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_DEFRAG,
	},
	{
		.hook           = ipv4_conntrack_defrag,
		.owner          = THIS_MODULE,
		.pf             = PF_INET,
		.hooknum        = NF_INET_LOCAL_OUT,
		.priority       = NF_IP_PRI_CONNTRACK_DEFRAG,
	},
};
ip_conntrack_defrag

 

   1.1  ipv4_conntrack_defrag 函数

static unsigned int ipv4_conntrack_defrag(unsigned int hooknum,
					  struct sk_buff *skb,
					  const struct net_device *in,
					  const struct net_device *out,
					  int (*okfn)(struct sk_buff *))
{
#if defined(CONFIG_NF_CONNTRACK) || defined(CONFIG_NF_CONNTRACK_MODULE)
#if !defined(CONFIG_NF_NAT) && !defined(CONFIG_NF_NAT_MODULE)
	/* Previously seen (loopback)?  Ignore.  Do this before
	   fragment check. */
	if (skb->nfct)
		return NF_ACCEPT;
#endif
#endif
	/* Gather fragments. */
	if (ip_hdr(skb)->frag_off & htons(IP_MF | IP_OFFSET)) {
		if (nf_ct_ipv4_gather_frags(skb,
					    hooknum == NF_INET_PRE_ROUTING ?
					    IP_DEFRAG_CONNTRACK_IN :
					    IP_DEFRAG_CONNTRACK_OUT))
			return NF_STOLEN;
	}
	return NF_ACCEPT;
}
张忠琳
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux内核协议栈 netfilter 之 hook 机制概述
10-29 4396
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2171
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1632
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1175
Linux,网络,Netfilter
netfilter框架概述
rondyning的博客
05-25 2781
1 Netfilter 1.1 netfilter概述 Netfilter是linux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
netfilter原理
巴萨,足球的艺术
09-15 629
netfilter原理   netfilter定义了协议栈中的检查点和检查点上引用的数据结构以及对这些数据结构引用的过程。检查点由宏NF_HOOK定义。   netfilter的工作过程   netfilter IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则
大白话netfilter
yanchendage的博客
03-16 9794
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter框架及基本原理介绍.zip
09-16
本篇文章将深入探讨netfilter基本原理和主要功能,帮助读者理解其在网络通信中的作用。** **一、netfilter框架概述** Netfilter是一个灵活的框架,它定义了多个钩子点(hooks),这些钩子点分布在数据包在网络栈...
android流量防火墙iptables原理详解
08-27
这三个链是基本信息包过滤表中内置的缺省主链。另外,还有其它许多可用的链的类型,如 PREROUTING 和 POSTROUTING,以及提供用户定义的链。 策略: 每个链都可以有一个策略,它定义“缺省目标”,也就是要执行的...
Linux下基于Netfilter的网络监听器的设计与实现.pdf
09-06
文章首先介绍了Netfilter基本原理,包括其定义的五个HOOK点,分别是: 1. NF_IP_PRE_ROUTING:在数据包进行路由选择前进行处理。 2. NF_IP_LOCAL_IN:对要传递给本地进程的数据包进行处理。 3. NF_IP_FORWARD:对...
openDPI简单流程分析
08-23
本文将基于一个名为OpenDPI_demo的示例程序,探讨OpenDPI的基本工作流程及其核心功能。 首先,OpenDPI流程的主要组件包括解析命令行参数的`parseOptions()`,初始化的`setupDetection()`,与libpcap库交互的`...
LVS集群系统网络核心原理分析(系统管理) .doc
09-09
1. NF_IP_PRE_ROUTING:当数据包进入网络层并完成基本检查后,首先通过此点。源地址转换通常在这里进行,例如在NAT(网络地址转换)模式下,LVS会将虚拟服务器的IP地址转换为真实服务器的IP地址。 2. NF_IP_LOCAL_...
Netfilter简介
railzen的博客
02-26 1328
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1061
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
netfilter框架及基本原理介绍
m0_74282605的博客
01-11 1411
IN钩子,即所有Director内核内的数据包路由规则都必须将数据包发送到LOCAL_ IN钩子, 在你建立Director时这很容易实现,因为所有抵达Director的集群服务数据包都有-一个虚拟ip地址(VIP) 作为目标地址,VIP实际上是属于Director的一- 个ip别名或从属ip地址,因为VIP是Director所有的- -个本地ip地址,Director 内核中的路由表将总是在内部传递数据包,因此Director接收到的目标地址为VIP的数据包总会命中LOCAL _IN钩子。
linux-内核:netfilter框架
赵凯月的博客
06-23 1580
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
linux手动注入网络数据_Linux内核模块:如何重新注入内核认为是NF_STOLEN的数据包?...
weixin_31243809的博客
01-13 542
晚上好.发布到这个网站对我来说是新的,但我一直是一个感恩的读者,他已经从这个论坛学到了很多东西,现在已经有一段时间了.这是我第一次遇到问题我既不能自己解决,也不能借助Stackoverflow上已存在的条目或互联网提供的任何其他资源.我希望你能再次帮助我(从现在开始,我也能帮助别人,因为我觉得自己已经成长为能够成为写作会员的地方).问题:我正在研究内核模块.它的目的是使用PRE_ROUTING n...
Netfilter和iptables命令详解,从入门到精通
meihualing的专栏
05-09 2271
iptables命令详解
深入理解Netfilter
weixin_36184908的博客
05-24 889
Netfilter是Linux内核中的一个框架,用于进行网络数据包的过滤和操作。它提供了强大的网络数据包处理功能,使系统管理员能够在Linux系统上实施高级的网络安全策略,包括防火墙、网络地址转换(NAT)、流量控制等。Netfilter的核心是一个包过滤器,它可以在数据包通过网络协议栈的不同阶段进行处理。当数据包经过网络协议栈时,Netfilter可以检查、修改或丢弃这些数据包,从而允许管理员根据自己的需求对网络流量进行控制和管理。
netfilter 工作原理
06-01
其基本工作流程如下: 1. 数据包进入系统时,首先会经过 netfilter 的 PREROUTING 链,这个链可以对数据包进行过滤、修改等操作,然后根据规则将数据包发往相应的网络接口。 2. 数据包经过网络接口后,会进入 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值