Linux 实现原理 — netfilter/iptables 流量处理框架
Linux 的 Netfilter/iptables 流量处理框架,自年开发,源码年起成为Kernel v2.4版本的源码一部分,用于IP数据包的源码操控与过滤。这个框架通过在Kernel的源码L3-subsystem中设置多个Hook点,实现对所有IP数据包的源码armbian 源码检测、处理和拦截,源码其核心是源码5个Hook点和相关的处理函数。
5个Hook点对应5条Chains,源码每个Hook点都有相应的源码Handler处理数据包。数据包经过Hook点后,源码会根据预设的源码规则(Rules)执行判断或处理。规则由用户定义,源码包含在Chain的源码有序列表中,其执行顺序至关重要,源码严格规则通常排在前面。Netfilter提供了3个核心概念:规则、链和表,分别用于用户操作、控制流程和应用环境管理。
iptables作为用户空间工具,负责配置和管理这些规则。它支持IPv4和IPv6,而nftables则在Linux kernel v3.中被引入,作为未来的主要配置工具。iptables通常集成为服务,启动时应用防火墙规则,配置更改需手动保存并加载以生效。
在配置规则时,理解基本匹配与扩展匹配、SNAT(源地址转换)和DNAT(目的地址转换)等技术至关重要。例如,SNAT用于私网访问公网,如何理解代源码MASQUERADE则支持动态IP地址的共享上网。iptables的命令行语法和应用示例,如本地端口映射,都是实际操作中的关键环节。
关注“云物互联”微信公众号,获取更多关于云计算和网络技术的最新资讯与实践分享。
Linux网络环境的实现钩子函数作用linux网络钩子
Linux是一款优秀的开源操作系统,在网络环境的实现中,钩子函数发挥着至关重要的角色。钩子函数也叫钩子程序,是管理一个更大的,更复杂的程序中某些小程序的特殊程序段。它有助于实现Linux网络环境,从而为用户提供网络服务。
钩子函数主要由网络协议层触发,用于实现Linux网络环境。典型的钩子函数如下:
1. ARP钩子函数:这是一个内核钩子函数,用于处理ARP请求;
2. netfilter钩子函数:netfilter是网络数据包过滤机制,它使用netfilter钩子函数,用于过滤一切网络数据包;
3. 邮件传输钩子函数:用于处理邮件传输相关事务,如服务器发送或接收邮件,添加头部信息和其他处理;
4. 路由表钩子:指定路由条件时,用于动态更新路由表;
5. 系统日志钩子:可以将系统日志写入数据库或指定文件中。
此外,Linux的网络环境还包括静态路由设置、防火墙设置和网络配置等内容。通过对钩子函数的设置和监控,用户可以更好地控制网络的实现状况,也可以更好地利用网络资源。
下面是一个示例,这是使用netfilter钩子函数来配置Linux网络防火墙的示例代码,用于禁止外部访问本机:
//iptables 配置防火墙
iptables -I INPUT -p tcp –dport -j DROP
iptables -I INPUT -p tcp –dport -j DROP
//设置netfiilter选项
/sbin/iptables -A INPUT -i eth0 -p tcp –dport -j NFQUEUE –queue-num 1
/sbin/iptables -A INPUT -i eth0 -p tcp –dport -j NFQUEUE –queue-num 2
在上面的dcloud 流应用 源码代码中,”-I INPUT” 表示插入一个输入规则;”–dport ″ 表示指定端口;”-j NFQUEUE –queue-num?” 表示将规则插入netfilter的等待队列,后面接着的数字是设置的排序。通过配置netfilter,Linux网络环境便可以完成功能。
以上就是Linux网络环境实现中钩子函数的作用,钩子函数使用户能够自定义和管理更复杂的Linux网络环境,从而更好地控制网络的实现情况和使用情况。最后,要明确的是,在实现Linux的网络环境时,应该结合具体的网络情况进行处理,这对用户来说是非常重要的。
Linux下使用Netfilter框架编写内核模块
上篇文章我们从内核源码的角度分析Linux Netfilter框架下,hook钩子是如何被执行的,这次我们将通过一个示例代码,详细讲解如何利用Netfilter框架编写内核模块。
为了更好地理解,我绘制了一张图,通过源码中的具体实例,展示了自定义的钩子函数在内核中的位置。在内核中,有一个全局变量net_namespace_list链表,系统中所有的网络命名空间都挂载在这个链表上。系统默认的网络命名空间是init_net,内核启动时,会在初始化网络命名空间net_ns_init中调用setup_net将init_net挂在net_namespace_list链表上。当我们新增hook钩子时,通常都是将其挂载在net_namespace_list链表对应的网络命名空间上。
接下来,我们将开始编写一个基于netfilter框架的简单内核模块。首先,我们需要声明一个hook函数,微信 答题 源码然后定义一个nf_hook_ops。
①我们在IP层(网络层)对网络包进行处理,这里.pf = NFPROTO_INET;
②hook点在PREROUTING链上,这里.hooknum = NF_INET_PRE_ROUTING;
③hook函数在此链上执行的优先级设置为最高,即.priority = NF_IP_PRI_FIRST;
④设置hook函数为我们前面自定义的函数,即.hook = (nf_hookfn *)packet_filter。
然后,我们需要在内核模块的init函数中注册该nf_hook_ops。
接下来是自定义的hook函数的具体实现。在hook函数中,我们只需简单地打印出源、目的IP和端口信息。
最后,我们需要注销自定义的hook钩子,并在内核模块退出时完成这一操作。
在编写Makefile、所需的头文件、编译并插入模块之后,我们可以在系统日志中看到相关输出。
在测试完成后,别忘了卸载内核模块,以完成整个操作。
至此,我们的内核模块编写任务就完成了。
通过Linux内核协议栈netfilter拦截数据报文
通过内核模块的方式向netfilter框架注册钩子函数,实现简单的数据包转发调试,当有数据包经过Linux协议栈时,打印相关信息。目的在于熟悉netfilter框架的基础api,为后续开发防火墙等功能做准备。
netfilter简介:netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,微信ERP源码可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
网卡转发包流程:以下为网口收包到转发的流程,NF_HOOK位置为netfilter钩子。
netfilter框架流程:netfilter是Linux协议栈的一个子系统,用于数据报文的过滤。在路由器设备中,数据报文的来源和去向有很多场景。比如转发数据、本地发出的数据、访问设备本身的数据等,可以通过下图简单了解基本流程。
netfilter钩子注册:netfilter为通用的框架,Linux系统已经内建了常用的钩子。netfilter和iptables命令时密切相关的,iptables命令的最终实现是基于netfilter,比如filter表、nat表、mangle表的各个链的实现,都在netfilter源码中找到具体实现,这里就不一一讲解。
netfilter外部接口:我们可以通过以下接口注册和卸载钩子函数,在钩子函数中可以将数据报文解析出来进行处理,比如过滤。
接口列表注册结构体定义结构体参数说明hooknum可配置的值priority可配置的值:priority可以配置任意整数的,因为系统有默认的钩子,定义了一些参考值,我们开发过程中一般在系统priority的基础上进行加减操作,用于标记自己加入钩子的位置以下为系统定义的优先级。
下面我们写一个实例,通过打印数据包信息,看看数据包的走向 代码中,我们定义hook_ops数组,包含3个钩子实体 forward_hook、forward_hook2、local_in_hook,其中前两个为forward钩子,但挂载的优先级不一样,我们可以通过打印看到,优先级情况,而local_in_hook为访问设备本身的数据,通过ip地址我们可以很方便查看是否是我们想要的结果。
钩子实例ops注册实例编译运行:环境 代码:OpenWrt . 或其他版本OpenWrt分支版本,linux内核5.4.xx版本 编译环境: ubuntu 运行环境: OpenWrt系统(内核版本和编译模块版本一致) 编译 将源码包拷贝到OpenWrt package目录,make menuconfig选择kmod-netfilter_hook并保存。
编译完成后会在build_dir子目录生成netfilter_hook.ko文件,将该文件通过winscp工具传输到OpenWrt开发板(路由器)中 然后执行以下命令:
保证开发板能够通过wan口连接外网,并接入一台pc到lan口,pc分别访问设备和外网。
测试结果开源作品:github.com/destan/Ope...
洞悉linux下的Netfilter&iptables:什么是Netfilter?
Netfilter是什么?Netfilter是Linux 2.4.x版本内核引入的一个子系统,它作为一个通用的、抽象的框架,提供了一整套的hook函数管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为可能。
Netfilter在内核中的位置如图所示,直观地展示了用户空间的iptables和内核空间基于Netfilter的ip_tables模块之间的关系及其通信方式,以及Netfilter在其中所扮演的角色。Netfilter通过将协议栈的五个关键点A、B、C、D和E重新命名,使得数据包的处理过程更为明确。
在每个关键点上,预先注册了按照优先级排列的回调函数,形成了一条链。对于每个到来的数据包,会依次经过这些回调函数的“处理”,决定是放行、丢弃还是其他操作。无论如何,每个回调函数最后必须向Netfilter报告数据包的状态。
Netfilter通过NF_HOOK宏在协议栈内部切入到Netfilter框架中,允许开发者在关键点上注册回调函数,实现对数据包的定制化处理。在2.6版本的内核中,NF_HOOK宏的定义更为灵活。
Netfilter使用一个二维的结构体数组nf_hooks来存储不同协议栈钩子点的回调处理函数,该数组的行数为,表示目前内核支持的最大协议簇,列数为8,表示挂载点的数量。通过这个数组,可以为特定的协议族注册钩子函数。
例如,对于TCP/IP协议族,其钩子函数挂载点为nf_hooks[2][0]。根据内核流程,IP报文会首先传到Netfilter的NF_IP_PRE_ROUTING过滤点,检查该点是否已注册有用于处理数据包的钩子函数。如果有,则逐个遍历该过滤点下的钩子函数,根据返回值决定数据包的后续处理方式。
经过路由抉择后,需要本机转发的报文会交由ip_forward函数处理,该函数从NF_IP_FOWARD过滤点切入到Netfilter框架。对于发给本机的数据包,会先检测nf_hooks[2][1]过滤点,判断是否有相关回调处理函数。对于从本机发出的报文,则会先过滤nf_hooks[2][3]过滤点。
Netfilter框架的HOOK机制可以总结为:在数据包流经内核协议栈的整个过程中,在已预定义的关键点上(如PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT和POST_ROUTING)检查是否注册有钩子函数。如果没有,则继续走协议栈;如果有,则调用nf_hook_slow函数,进一步调用注册在该过滤点下的钩子函数,并根据其返回值决定后续操作。
Linux 网络层收发包流程及 Netfilter 框架浅析
本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 Netfilter 数据包过滤框架的基本原理以及使用方式进行简单阐述。
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,链路层主要负责链路层协议解析(主要为以太网帧),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如 HTTP,FTP,SMTP,DNS,DHCP 等。在 TCP/IP 协议框架体系内,下层协议对上层协议透明,即上层协议无需关注下层协议的实现逻辑和机制。
在 Linux 内核中,系统使用 sk_buff 数据结构对数据包进行存储和管理。在数据包接收过程中,该数据结构从网卡驱动收包开始,一直贯穿到内核网络协议栈的顶层,直到用户态程序从内核获取数据。
数据包在实际现网传输过程中,会经过各类交换机,路由器的转发处理,在这个过程中,路由器一般只处理到网络层。这里我们仅对 Linux 内核中网络层接收,发送以及转发数据的流程进行简单介绍。
Netfilter 是 Linux 内核中进行数据包过滤,连接跟踪(Connect Track),网络地址转换(NAT)等功能的主要实现框架;该框架在网络协议栈处理数据包的关键流程中定义了一系列钩子点(Hook 点),并在这些钩子点中注册一系列函数对数据包进行处理。这些注册在钩子点的函数即为设置在网络协议栈内的数据包通行策略,也就意味着,这些函数可以决定内核是接受还是丢弃某个数据包。
iptables 在用户态提供了表格和链的概念,包含的表格有 filter,nat,mangle 以及 raw,每个表格下包含不同的链,iptables 中每个表格的作用不同,如 filter 表主要起到数据包过滤和拦截作用,包含 INPUT,FORWARD 和 OUTPUT 三个链,根据链的名字我们可以知道,这三个链分别被放置到 Netfilter 三个不同的钩子节点中生效。
Netfilter 在内核中是以枚举数据类型进行标记的,其几个钩子节点的函数用于将自定义的钩子操作(struct nf_hook_ops)注册到指定的钩子节点中。这个结构体中存储了自定义的钩子函数(nf_hookfn),函数优先级(priority),处理协议类型(pf),钩子函数生效的钩子节点(hooknum)等信息。如果我们自己实现一个内核模块,该模块需要在 Netfilter 框架的几个钩子节点中对经过的数据包进行处理,则该内核模块需要向 Netfilter 中的钩子节点注册钩子函数。
了解 Linux 网络协议栈设计思想和基本工作原理,对于日常工作中的前后台网络交互和服务器网络性能相关工作非常有帮助。
2025-01-24 09:19
2025-01-24 08:16
2025-01-24 08:09
2025-01-24 07:49
2025-01-24 07:09