Linux Netfilter框架实现及函数调用处理过程

原创 已于 2024-01-26 15:22:36 修改 · 1.8k 阅读 · 38 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #运维

于 2024-01-26 15:03:14 首次发布

背景

        本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。

概念

        Netfilter 是 Linux 内核中用于进行网络包过滤和操作的框架,在报文接收的处理的路径上,针对不同的协议,在不同的Hook位置调用相应的Hook函数(钩子函数),实现对报文的处理,协议类型标注了钩子函数在处理网络包时所关注的协议,目前Netfilter根据不同的协议,对报文处理的支持分为以下几类:

        1)NFPROTO_BRIDGE,用于桥接设备相关的协议类型标识,桥接设备用于连接一个或多个网段的设备,工作在数据链路层,通过MAC地址转发或过滤数据包。

        2)NFPROTO_ARP,Netfilter中用于注册于ARP协议相关的钩子函数,用于在ARP报文处理过程中执行特定的操作。

        3)NFPROTO_IPV4,ipv4相关报文处理

        4)NFPROTO_IPV6, ipv6相关报文处理

        与之相对应,存在ebtables、arptables、iptables、ip6tables用于配置相应的规则,从而实现对具体特定特征报文执行特定的动作处理,关于xxtables的内容另外讨论。

Netfilter处理

        从Linux 内核实现上看,Netfilter处理分为以下几部分:

        1)nf_hook_ops注册

        2)NF_HOOK 钩子函数处理调用

        3)钩子函数处理后的后续处理

nf_hook_ops的注册

        钩子函数的注册通常随着模块的加载,在模块初始化过程中通过直接或间接调用nf_register_net_hooks或nf_register_net_hook(二者的区别在于注册一组还是一个钩子函数)注册(不绝对,有的可能在函数处理逻辑过程中注册),以连接模块的钩子函数注册为例,具体调用过程如下:

        这里从nf_register_net_hooks的上层调用函数nf_ct_netns_do_get入手,具体实现如下:

static int nf_ct_netns_do_get(struct net *net, u8 nfproto)
{
	struct nf_conntrack_net *cnet = nf_ct_pernet(net);
	bool fixup_needed = false, retry = true;
	int err = 0;
retry:
	mutex_lock(&nf_ct_proto_mutex);

	/* 如前所说Netfilter支持不同协议,这里依据NF协议,选择分支处理 */
	switch (nfproto) {
	case NFPROTO_IPV4:
		cnet->users4++;
		if (cnet->users4 > 1)
			goto out_unlock;
		err = nf_defrag_ipv4_enable(net);
		if (err) {
			cnet->users4 = 0;
			goto out_unlock;
		}

		/* 注册ipv4 连接相关处理钩子函数 */
		err = nf_register_net_hooks(net, ipv4_conntrack_ops,
					    ARRAY_SIZE(ipv4_conntrack_ops));
		if (err)
			cnet->users4 = 0;
		else
			fixup_needed = true;
		break;
#if IS_ENABLED(CONFIG
最低0.47元/天 解锁文章
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2433
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
linux 系统下netfilter框架实践和钩子函数编写示例
wz1650464113的博客
01-22 636
因业务需要对Linux 操作系统中网络接收包的行为进行研究,这里对netfilter框架进行简单研究,还列举了根据netfilter框架所编写的简单钩子函数示例。业务需求,有一个嵌入式操作系统使用的是嵌入式linux系统,单体具有多个网卡,需要实现从指定网卡收包,从另外的指定网卡发出的操作,在发出过程中需要对网络包的ip地址,端口号等信息可以进行修改,实现NAT功能,要求利用linux操作系统自带的路由功能进行转发,而不是数据落地转发。
Linux内核Netfilter使用实战案例分析
m0_74186706的博客
03-19 552
该代码是演示案例,丢弃ICMP包并打印,可以用ping命令查看。挂接点捕获数据包并进行复制分析,同时阻止原数据包继续传输的功能。将数据包送入用户空间队列,由用户空间程序(如。发现ping已经被拦截。NF_QUEUE演示。
netfilter框架概述
rondyning的博客
05-25 2944
1 Netfilter 1.1 netfilter概述 Netfilterlinux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
深入LinuxNetfilter包转发流程全解析
最新发布
大雨淅淅的博客
05-05 893
NetfilterLinux 网络中占据着举足轻重的地位,它为网络数据包的处理提供了灵活且强大的机制,无论是在网络安全防护、流量管理还是网络功能扩展等方面,都发挥着关键作用。通过在关键的 hook 点注册 hook 函数,Netfilter 能够对数据包的整个生命周期进行精细的控制和管理,实现如数据包过滤、地址转换、内容修改等多种功能,是构建高效、安全网络环境的重要基础。
netfilter框架
隔壁-老阳
01-18 2107
netfilter框架Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 (点击查看大图)图9-1  netfilter在内核中的位置虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火
linux netfilter
weixin_30902251的博客
10-12 129
netfilter 是一种内核中用于扩展各种网络服务的结构化底层框架netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性加入到内核中并不需要从新启动内核。这样,可以通过简单的构造一个内核模块来实现网络新特性的扩展。给底层的网络特性扩展带来了极大的便利,使更多从事网络底层研发的开发人员能够集中精力实现新的网络特性。netfilter有4大特性:1. 每一个协议定义"hoo...
Netfilter分析
bingyang_xue的专栏
10-26 687
一、概述1. Netfilter/IPTables框架简介          Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。   
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2667
Linux 内核开发 - NetFilter
根据linux netfilter 框架编写的一系列钩子函数,涉及到内核二层发送,简单NAT实现,内核广播组播发送,nat的超大ip报文处理等
12-11
调用 nf_nat_ipv4_in 文件 文件 ./net/ipv4/netfilter/nf_nat_l3proto_ipv4.c 功能作为判别返回函数判断处理过程 调用 nf_nat_ipv4_fn 函数(主要返回函数)文件./net/ipv4/netfilter/nf_nat_l3proto_ipv4.c对nat...
Linux网络层收发包流程及Netfilter框架浅析
j简说Linux的博客
11-19 874
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,如 WiFi,以太网,光纤,电话线等;数据链路层主要负责链路层协议解析(主要为以太网帧,其他类型此处暂不考虑),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如我们常用的 HTTP,FTP,SMTP,DNS,DHCP 等。
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
Netfilter机制的框架分析
12-16
很好的Netfilter分析,适合初学者...
Netfilter---框架的设计
chengfangang的专栏
04-09 1397
http://blog.chinaunix.net/uid-20786208-id-3429074.html 1. Netfilter/IPTables简介     Netfilter/IPTables是继2.0.x的ipfwadm、2.2.x的ipchains之后,新一代的 Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接
Linux 内核源码分析---netfilter 框架
学习记录
08-21 1615
学习记录
linux-内核:netfilter框架
赵凯月的博客
06-23 2200
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
netfilter框架分析
04-23 3303
<br />本来是不打算写这种基础性的东西的,但是有很多同志经常问我(有同事也有网友)。所以就写一下吧,这个是理解LINUX内核网络子系统的基础,ip conntrack等都是依赖这些基础的。好的,闲话不多说了。来正文。<br />其实netfilter就是依靠一个全局的二维数组nf_hooks[][].可以把这个玩意看成一个8*32的矩阵。矩阵的每个成员就是一个双向链表节点。看看,又是双向链表,内核中双向链表的地位真的太重要了。以双向链表做骨架串起nf_hook_ops这个结构体。然后在运行时在挂HOOK
Linux-Netfilter
weixin_40342459的博客
10-06 377
netfilterlinux 第三代防火墙,前面为 ipfwadm 与 ipchains netfilter 有四个表,五条链,四种状态 四个表: raw 表 在连接链路检测之前,主要做防火墙性能优化用 mangle 表 修改进入linux设备的数据包相关参数,可以改ip的dscp 值,后者加上 mangle 的ma...
Linux Netfilter防火墙框架详解与关键点
Netfilter框架设计得非常灵活,它通过一系列抽象的钩子函数来控制网络数据包的流动,实现了细致而强大的包过滤功能。 1. **钩子函数**:Netfilter为每个网络协议(如IPv4和IPv6)定义了一套五种类型的钩子函数,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值