zoukankan      html  css  js  c++  java
  • Netfilter开发概况

        关于Netfilter的资料网上很多,这里仅描述一些概况,把流程讲清楚,具体的细节可以很方便地跟踪到代码中去看。这个模块是构建在网络栈的网络层的,与底层架构基本没多大关系,所以要做平台间的移植也基本不需要做修改。

    1.Netfilter框架简述

    1.1框架

        Netfilter框架的主要思想是:在网络层数据包的传递路径中,插入一些点,执行额外的功能。如下图所示:

        在每个点上注册一串函数,当数据包到达该点时,依次执行这些函数,以完成filter、nat、track、mangle等功能。如下图所示:

        每种协议(IPX,IPv4,IPv6,X.25等)都有自己独立的5个挂载点的函数流,它们共同构成上图所示的二维表,并以内核全局变量nf_hook来指示。表中每个节点都是一个nf_hook_ops结构,该结构中包含了协议、挂载点等信息,以及最重要的执行函数的入口。如下图所示:

    1.2简易开发

        内核提供一个hook注册函数nf_register_hook(struct nf_hook_ops* ops)。

    下面做一个最简单的开发:然主机不接受任何IPv4的包。编写一个module,准备好一个执行函数,内容是丢弃包;然后再module_init()函数中,准备一个nf_hook_ops结构,填写其中内容:hook函数就是之前的函数,协议IPv4,挂载点LOCAL_IN;最后注册它。

    编译好该module,直接insomd后,主机就不能再接受任何包了。

    1.3小结

        这套框架建立在网络层中间,很好地和上下协议层隔离,并且在网络层中,它也做了协议分离,即不同的协议(IP,X.25等)有不同的一套hook。这使得该框架的实现比较简单,同时也保证了很好的开放、可扩展性。对它的开发扩展也比较简单。

        但正是由于这种协议隔离,也限制了它的使用范围,比如,若想实现IPv4和IPv6的互通转化,就不能用这套框架。

    2.iptables简介

    2.1功能介绍

        Iptables是在netfilter框架下开发的,集多种功能于一身的产品,它在每个5个挂载点处挂载一些列hook,以IPv4协议为例,如下图所示:

    仔细去分析这些函数,联系数据包在网络层中传递的情况,可看出这些函数能很好地配合,同时完成数据包过滤filter,网络地址转化NAT,数据包修改mangle,链接跟踪truck等功能。

    2.2规则表数据结构

        光有这些函数还不行,就比如拿filter功能来说,内核还必须有数据结构来维护许许多多的规则(那些包能走,那些包不能通过等),该数据结构还要有很好的删除修改性能。Iptables是这样做的,仍然按协议分离的原则,并且每种功能的规则表独立开来。

    这里每个ipt_table结构中最主要的就是name,af,指明它是哪个协议、哪个功能的,另外还包含指向实际规则表的指针。这里还要注意的是,对一个功能如filter,其规则也分为不同类,如按IP地址的规则,还有按端口的规则等,这些通过下面的结构完成。

    2.3用户空间命令

        以上是iptables在内核空间所做的工作,它同时也提供用户空间接口,主要方便用户添加、删除规则。接口函数封转在libiptc库中。

    2.4小结

        Iptables的功能做得很完善了,可以在它的基础上,利用它提供的一些内核函数即数据结构,扩展一些功能,即添加ipt_table。

  • 相关阅读:
    Oracle-学习笔记(==》集合函数与分组四)
    Mysql--学习笔记(==》简单查询三)
    Mysql-学习笔记(==》插入修改数据二)
    Mysql-学习笔记(==》建表修改一)
    EasyUI的DataGrid 打印导出
    SQL 中ROLLUP 用法
    easyui commbox嵌入一个checkbox的实现
    Easyui Layout Center 全屏方法扩展
    Datagrid扩展方法InitEditGrid{支持单元格编辑}
    Datagrid扩展方法onClickCell{easyui-datagrid-扩充-支持单元格编辑}
  • 原文地址:https://www.cnblogs.com/zmkeil/p/3027395.html
Copyright © 2011-2022 走看看