浅谈Netfilter框架原理(一)

1.1浅谈Netfilter框架原理

1.1.1 撑起netfilter的结构数据

   

    这个二维数组是在Linux2.6.34\include\linux\netfilter.h中定义的。第一维的NFPROTO_NUMPROTO是表示Linux下的协议簇,总共有32个吧。第二维的NF_MAX_HOOKS是表示有几个hook点,虽然系统给定义了8个,但是常用到这有5个。这个二维数组是netfilter对应的协议所挂载的hook点的入口地址,每个二维数组还会维护一条链表,每个链表上都是一些钩子函数,数据包要通过这些钩子函数的遍历检测匹配才能决定数据的流向。

1.1.2 Hook点的分布

 浅谈Netfilter框架原理(一)_第1张图片

这几个hook点对应了上面所讲的二维数组的第二维,它们分别是:

注:在Linux2.6.34\include\linux\netfilter.h中定义的

   浅谈Netfilter框架原理(一)_第2张图片

     看着就很明白了,只要对号入座就可以了。而每个hook点又会有一个链表,链表上有好几个钩子函数,这些函数的执行是有优先级,优先级越高越先执行(优先级值越小,优先级越高)。下面就附上一张大牛绘制的一张图吧,这张图像已经非常详细了,我就这边转载用用了。

 浅谈Netfilter框架原理(一)_第3张图片

 

再附上一张Linux内核对优先级定义图吧,这样可以对比的理解:

 浅谈Netfilter框架原理(一)_第4张图片

注:该优先级在Linux2.6.34\include\linux\netfilter_ipv4.h中定义的

    

从图中可以看出netfilter主要是包含三张表,分别是filter表、NAT表、mangle表。

Filter表:处理与本机有关的数据包,是默认表,包含有三种链:LOCAL_IN

LOCAL_OUTFORWARD

   NAT表:与本机无关。主要处理源与目的地址IP和端口的转换。有三种链:PRE_ROUTINGLOCAL_OUTPOST_ROUTING

   Mangle表:用于高级路由信息包,如包头的更改。

   

    这就是netfilter的整一个框架了。

1.2浅析连接跟踪及连接跟踪辅助模块

1.2.1 连接跟踪hook点的函数分布

 浅谈Netfilter框架原理(一)_第5张图片

图一  连接跟踪hook点的函数分布图

 

利用上图及代码可知整个数据包有三个流向:(1PRE_ROUTING → FORWARD → POST_ROUTING;(2)PRE_ROUTING → LOCAL_IN;(3)LOCAL_OUT →POST_ROUTING。

你可能感兴趣的:(linux)