Linux 网络协议栈开发(七)—— Netfilter 概述及其hook点

最新推荐文章于 2024-07-21 10:34:30 发布
最新推荐文章于 2024-07-21 10:34:30 发布
阅读量3.4k 收藏 29
点赞数 6
分类专栏: Linux网络协议栈开发 文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zqixiao_09/article/details/79057301
版权

Netfilter概述
         Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter架构,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处理等操作。

主要源代码文件

Linux内核版本:2.4.x以上

Netfilter主文件:net/core/netfilter.c

 Netfilter主头文件:include/linux/netfilter.h

IPv4相关:

                       c文件:net/ipv4/netfilter/*.c

                     头文件:include/linux/netfilter_ipv4.h

                                     include/linux/netfilter_ipv4/*.h

IPv4协议栈主体的部分c文件,特别是与数据报传送过程有关的部分:

                       ip_input.cip_forward.cip_output.cip_fragment.c

具体功能模块

  1. 数据报过滤模块

    1. 连接跟踪模块(Conntrack

    2. 网络地址转换模块(NAT

    3. 数据报修改模块(mangle

    4. 其它高级功能模块

Netfilter实现
        Netfilter主要通过表、链实现规则,可以这么说,Netfilter是表的容器,表是链的容器,链是规则的容器,最终形成对数据报处理规则的实现。

数据在协议栈里的发送过程中,从上至下依次是“加头”的过程,每到达一层数据就被会加上该层的头部;与此同时,接受数据方就是个“剥头”的过程,从网卡收上包来之后,在往协议栈的上层传递过程中依次剥去每层的头部,最终到达用户那儿的就是裸数据了。
 
        对于收到的每个数据包,都从“A”点进来,经过路由判决,如果是发送给本机的就经过“B”点,然后往协议栈的上层继续传递;否则,如果该数据包的目的地是不本机,那么就经过“C”点,然后顺着“E”点将该包转发出去。
       对于发送的每个数据包,首先也有一个路由判决,以确定该包是从哪个接口出去,然后经过“D”点,最后也是顺着“E”点将该包发送出去。
       协议栈那五个关键点A,B,C,D和E就是我们Netfilter大展拳脚的地方了。
       Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter在内核中位置如下图所示:
 
         这幅图很直观的反应了用户空间的iptables和内核空间的基于Netfilter的ip_tables模块之间的关系和其通讯方式,以及Netfilter在这其中所扮演的角色。
Netfilter在netfilter_ipv4.h中将这个五个点重新命了个名,如下图所示:
 
        在每个关键点上,有很多已经按照优先级预先注册了的回调函数(称为“钩子函数”)埋伏在这些关键点,形成了一条链。对于每个到来的数据包会依次被那些回调函数“调戏”一番再视情况是将其放行,丢弃还是怎么滴。但是无论如何,这

最低0.47元/天 解锁文章
zqixiao_09
关注
专栏目录
Linux下Netfilter/IPTables防火墙案例分析
weixin_33766168的博客
08-27 424
一、概述 在计算机领域内,防火墙是一种能够依照设定的规则,对网络传输进行控制,以确保信息安全的软硬件组成的防护系统。 Linux的Netfilter/IPTables架构 Netfilter/IPTables架构是Linux系统提供的自带的防火墙,它包含在Linux 2.4以后的内核中,功能十分强大,可以实现包过滤、NAT(网络地址转换)、数据包的分割等功能。 N...
Linux 是如何实现网络发送数据包
不定时分享最优质的网络技术与教程,满满的干货。
09-16 352
应用程序通过 socket 提供的接口进行系统调用,将数据从用户态拷贝到内核态的 socket 缓冲区中网络协议从 socket 缓冲区中拿取数据,并按照 TCP/IP 协议栈从上到下逐层处理传输层处理:以 TCP 为例,在传输层中会复制一份数据(为了丢失重传),然后为数据封装 TCP网络层处理:选取路由(确认下一跳的 IP)、填充 IP 头、netfilter 过滤、对超过 MTU 大小的数据包进行分片等操作。
计算机网络TCP/IP协议栈
最新发布
yimeixiaolangzai的博客
07-21 717
TCP/IP协议栈是一个分层的网络协议体系,主要包括四个层次:网络接口层(或数据链路层)、网络层、传输层和应用层。每一层都有其特定的功能,并通过标准接口与其他层进行交互。TCP/IP协议栈作为网络通信的基石,通过四个层次的分工合作,实现了从设备到设备的数据传输。每一层在协议栈中都发挥着关键作用,从物理传输到数据完整性,再到应用层的服务交付,这一层次分明的体系确保了网络通信的高效和可靠性。理解TCP/IP协议栈的工作原理,对于网络工程师和开发者来说,是进行网络设计和故障排除的基础。
Linux下的网络HOOK实现以及使用方法
03-04
本文讲述一下Linux下的Net的Hook,使用net的Hook可以实现很多很多非常底层的功能,比如过滤报文,做防火墙,做代理等等。我们知道Windows下面也有Hook的功能,但是要Hook到Net的底层,一般是使用NDIS来实现,但是Linux就提供了如此强大的功能,让我们不得不佩服Linux的伟大。几天的研究让我越来越对Linux的推崇!而且我想 Linux在嵌入式方面的应用会更加广泛!
Linux 3.13.0 netfilter 学习笔记 之二 IP层netfilter hook
qq_28808697的博客
04-19 534
基于linux2.6.21 上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架 三层netfilter hook的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK的分类来分析 filter机制相关的hook注册 Filter表主要在以下几个hook上其作用: NF_IP_LOCAL_
网络协议(10)netfilter
jasenwan88的专栏
06-27 1245
一、机制 该工具相当于内核中的车匪路霸,它们在内核网络中各处安装关卡,对内核中报文的流动进行监控管理,它是Linux系统下实现防火墙的基础,利用用户态的iptables的实现就是netfilter机制的一个典型应用。 该机制直接嵌入内核,在内核生成的时候这些监测就已经被编译入内核,所以是顽固而可靠的检测机制。 二、实现 1、数据结构 这是一个三维的实现模型,第一维可以认为是不同的网络
Linux下Netfilter创建自己的Hook,让数据包可以发送到用户层,然后统计节负载信息
prowc的博客
08-02 2603
Linux下Netfilter创建自己的Hook函数,让数据包可以发送到用户层,然后统计节的负载信息 希望实现的功能如题目所示,该功能实际分为几个步骤 在用户空间编写自己的Hook函数C文件,并将该文件编译成内核模块(后缀为.ko),然后加载到内核中,并测试Hook函数是否起作用 在用户空间编写C文件,接收内核传过来的数据包,统计负载信息,然后回传给内核 一、在用户空间编写自己...
Linux 网络协议开发—— 二层桥实现原理
m0_74282605的博客
11-14 843
网桥工作在链路层,所以它是二层的东西,对于以太网来说网桥和二层网络设备交换机的工作方式几乎是一样的,每个交换机包含一系列以太网接口,交换机通过其内部的硬件交换芯片实现对这些以太网接口出入报文的二层接收转发及过滤等二层qos功能,网桥在功能上和交换机几乎是一样的,只不过它是由软件实现这些功能。下图是交换机和网桥的内部实现原理简图:二层交换机内部实现简图网桥内部实现简图。
linux内核协议栈 netfilterhook 机制概述
10-29 4732
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1940
1三层netfilterhook的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK的分类来分析 1.1filterhook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
Linux 网络协议开发(五)—— 二层桥转发蓝图(上)
知秋一叶
01-14 3307
一、看一张桥转发时函数调用的一个基本蓝图。 这张图中,简单的展示了,数据的接收和发送,其中还包括netfilet的钩子所处的位置。 需要说明的是: 1).我们先暂时忽略数据包从一开始是怎么从驱动进入到netif_receive_skb的,因为这个暂时不影响我们理解这幅图的流程。 2).由于桥转发的篇幅较大,图中没有标示出,数据包中途被丢弃的情况。约定数
Linux Netfilte Hook注册
zhgure的博客
07-18 174
int nf_register_hook(struct nf_hook_ops *reg) { struct nf_hook_ops *elem; int err; err = mutex_lock_interruptible(&nf_hook_mutex); if (err < 0) return err; /* 1.根据协议号和hook确认链表nf_ho...
linux netfilter hook详解
xiangminlu的博客
08-26 136
看到一篇有用的,转载过来,进行学习 https://blog.csdn.net/xsckernel/article/details/8186679
linux网络hook接口,Linux下的网络HOOK实现 - 嵌入式操作系统 - 电子发烧友网
weixin_32283253的博客
05-04 350
上面分别是四个函数:nf_register_hook,nf_unregister_hook,nf_register_hooks,nf_unregister_hooks.功能是注册Hooks函数输入的参数是struct nf_hook_ops *reg。下面让我们看一个验证ARP报文的Hook代码,以表示我们如何使用Hook函数实现这种功能。unsigned int arphook_snd(unsi...
linux hook函数详解,linux内核中的hook函数详解
weixin_42361933的博客
05-10 442
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数返回值为: owner:是模块的所有...
netfilter的钩子——数据包在内核态得捕获、修改和转发
weixin_33953384的博客
09-30 734
转发:http://blog.csdn.net/stonesharp/article/details/27091391 数据包在内核态得捕获、修改和转发(基于 netfilter) 忙活了好几天,经过多次得死机和重启,终于把截获的数据包转发的功能给实现了。同时,也吧sk_buff结构学习了一下。 本程序利用netfilter钩子函数在PREROUTING处捕获数据包,并且修改...
linux网桥如何转发数据包,Linux内核bridge中的数据包处理流程
weixin_32672471的博客
05-12 1715
1. 前言本文简要介绍数据包在进入桥网卡后在Linux网络协议的处理流程,并描述netfilterhook的挂接处理情况,具体各部分的详细处理待后续文章中说明。以下内核代码版本为2.6.19.2.2. 函数处理流程bridge入口handle_bridge()/* net/core/dev.c */int netif_receive_skb(struct sk_buff *skb){......
Netfilter框架详解:钩子函数hookLinux内核中的应用
文档的核心内容集中在钩子函数hook functions)及其返回值在Netfilter中的作用,以及hook网络协议中的位置。" 在Linux 2.6内核的Netfilter框架中,钩子函数是关键组件,它们在数据包经过网络协议的关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值