Netfilter框架-完全解析.doc_netfilter详解

linux

netfilter

需积分: 34 129 浏览量更新于2023-03-03 评论 1 收藏 1.23MB DOC 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

Netfilter 框架

1 网络通信

1.1 网络通信的基本模型

1.2 协议栈底层机制

2 Netfilter

2.1Netfilter 介绍

2.2 钩子函数返回值

2.3 hook 点

2.4 协议栈切入 Netfilter 框架

3 Netfilter 的实现方式

3.1 nf_hooks[][]结构

3.2 nf_hook_ops

3.3 增加新的钩子函数

3.4 基于源接口的数据包过滤钩子函数

4 iptables 防火墙内核模块

4.1 iptables

4.2 Netfilter 框架防火墙 iptables hook 函数分类

4.3 iptables 基础

4.4 iptables 命令格式

5 连接跟踪机制

5.1.重要数据结构

5.2 重要函数

5.3 链接跟踪建立的三条路径

5.4 IP 层接收和发送数据包进入连接跟踪钩子函数的入口

5.5 连接跟踪的流程分析

1 网络通信

1.1 网络通信的基本模型

其中，行数 NPROTO 为 32，即目前内核所支持的最大协议簇；列数 NF_MAX_HOOKS 为

挂载点的个数，目前在 2.6 内核中该值为 8。nf_hooks 数组的最终结构如下图所示。

在 include/linux/socket.h 中 IP 协议 AF_INET(PF_INET)的序号为 2，因此我们就可以得

到 TCP/IP 协议族的钩子函数挂载点为：

PRE_ROUTING： nf_hooks[2][0]

LOCAL_IN： nf_hooks[2][1]

FORWARD： nf_hooks[2][2]

LOCAL_OUT： nf_hooks[2][3]

POST_ROUTING： nf_hooks[2][4]

2.4 协议栈切入 Netfilter 框架

在 2.6 内核的 IP 协议栈里，从协议栈正常的流程切入到 Netfilter 框架中，然后顺序、

依次去调用每个 HOOK 点所有的钩子函数的相关操作有如下几处：

1）、net/ipv4/ip_input.c 里的 ip_rcv 函数。该函数主要用来处理网络层的 IP 报文的入口函

数，它到 Netfilter 框架的切入点为：

NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL,ip_rcv_finish)

根据前面的理解，这句代码意义已经很直观明确了。那就是：如果协议栈当前收到了一个

IP 报文(PF_INET)，那么就把这个报文传到 Netfilter 的 NF_IP_PRE_ROUTING 过滤点，去

检查[R]在那个过滤点(nf_hooks[2][0])是否已经有人注册了相关的用于处理数据包的钩子函

数。如果有，则挨个去遍历链表 nf_hooks[2][0]去寻找匹配的 match 和相应的 target，根据

返回到 Netfilter 框架中的值来进一步决定该如何处理该数据包(由钩子模块处理还是交由

ip_rcv_finish 函数继续处理)。

[R]：刚才说到所谓的“检查”。其核心就是 nf_hook_slow()函数。该函数本质上做的事情很

简单，根据优先级查找双向链表 nf_hooks[][]，找到对应的回调函数来处理数据包：

struct list_head **i;

list_for_each_continue_rcu(*i, head) {

struct nf_hook_ops *elem = (struct nf_hook_ops *)*i;

if (hook_thresh > elem->priority)

continue;

verdict = elem->hook(hook, skb, indev, outdev, okfn);

if (verdict != NF_ACCEPT) { … … }

return NF_ACCEPT;

}

上面的代码是 net/netfilter/core.c 中的 nf_iterate() 函数的部分核心代码，该函数被

nf_hook_slow 函数所调用，然后根据其返回值做进一步处理。

2）、net/ipv4/ip_forward.c 中的 ip_forward 函数，它的切入点为：

NF_HOOK(PF_INET, NF_IP_FORWARD, skb, skb->dev, rt->u.dst.dev,ip_forward_finish);

在经过路由抉择后，所有需要本机转发的报文都会交由 ip_forward 函数进行处理。这

里，该函数由 NF_IP_FOWARD 过滤点切入到 Netfilter 框架，在 nf_hooks[2][2]过滤点执行

匹配查找。最后根据返回值来确定 ip_forward_finish 函数的执行情况。

3）、net/ipv4/ip_output.c 中的 ip_output 函数，它切入 Netfilter 框架的形式为：

NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, dev,ip_finish_output,

!(IPCB(skb)->flags & IPSKB_REROUTED));

这里我们看到切入点从无条件宏 NF_HOOK 改成了有条件宏 NF_HOOK_COND，调用该宏

剩余22页未读，继续阅读

Tyrone2497

粉丝: 0
资源: 3

会员权益专享

Netfilter框架-完全解析.doc

评论0

会员权益专享

最新资源

Netfilter框架-完全解析.doc

评论0

研究论文-基于Netfilter的SIP安全网关设计及实现.pdf

netfilter-hacking-HOWTO

Netfilter ALG笔记

D:\����\ǰ��\��һ��\ja-netfilter-all\ja-netfilter-all\ja-netfilter.jar

ja-netfilter.jar下载

ja-netfilter.jar

iptables详解

Error opening zip file or JAR manifest missing : D:\\JAVAEE\\tools_idea\\ja-netfilter\\ja-netfilter.jar

netfilter和netlink面试会问什么问题

ja-netfilter-all

sysctl.d下的kubernetes.conf 文件时干嘛的

idea2023.2.2打不开

pycharm显示IDE内存不足

基于Netfilter从零开始写一个Linux防火墙

内核配置哪个选项可以去掉报错：nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead.

linux nat5怎么调整

netfilter-libnetfilter

Kubernetes安装

怎么在内核启动CONFIG_NETFILTER_XT_MATCH_IPVS选项，以图形化方式

会员权益专享

最新资源

D:\��\ǰ��\��һ��\ja-netfilter-all\ja-netfilter-all\ja-netfilter.jar