网络虚拟化之内核能力NetFilter

已于 2022-07-14 21:28:00 修改
阅读量904 收藏 3
点赞数
分类专栏: Linux 网络技术 文章标签: NetFilter
于 2022-07-07 13:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/feng_zi0yhv/article/details/125645525
版权

一、概述

网络技术分享第一篇网络虚拟化之内核能力NetFilter

关键点:

1.网络层,也就是IP层

2.有5个拦截点

3.NAT、IPTable 

二、核心原理

Netfilter框架由著名的Linux开发人员Rusty Russell于1998年开发,旨在改进以前实现ipchains(Linux2.2.x)和ipfwadm(Linux2.0.x)。

这套名为 Netfilter 的框架是 Linux 防火墙和网络的主要维护者 Rusty Russell
了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络虚拟化之虚拟网卡技术tun/tap
技术百宝箱
07-07 4091
接上篇网络虚拟化之内核能力NetFilter再来看看真正的软件定义网络技术tun/tap。 几个核心点:1.一个虚拟以太网设备的二层虚拟网卡tap,只能处理链路层以太网帧2.一个虚拟网络层设备的三层虚拟网卡tun,只能处理网络层IP报文3.通过字符设备与应用层交互4.VPN是tun的典型应用tun/tap可以通过网络接口和字符设备两种方式进行操作。当应用程序使用标准网络接口socket API操作tun/tap设备时,和操作一个真实网卡完全一致。当应用程序使用字符设备操作tun/tap设备时,字符设备即充当
Linux网络层收发包流程及Netfilter框架浅析
j简说Linux的博客
11-19 865
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,如 WiFi,以太网,光纤,电话线等;数据链路层主要负责链路层协议解析(主要为以太网帧,其他类型此处暂不考虑),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如我们常用的 HTTP,FTP,SMTP,DNS,DHCP 等。
Linux Netfilter开发小结
zhuhuibeishadiao
05-25 9230
前置知识: IP包: struct ip { #if BYTE_ORDER == LITTLE_ENDIAN unsigned char ip_hl:4, /* header length */ ip_v:4; /* version */ #endif unsigned char ip_tos; /* type of service */ sho
编译内核让netfilter支持过滤layer7应用层协议
weixin_33709609的博客
11-02 312
netfilter/layer7默认情况下,netfilter只能过滤二、三、四层的数据,但是对于应用层的数据(比如qq,迅雷视频等等)是无法过滤掉的。我们又知道netfilter是工作在内核当中的,因此要让netfilter支持过滤layer7应用层协议的数据必须要重新编译内核。由于iptables是规则编辑工具,因此也要重新编译iptables让其能够支持对layer7应...
容器系列-2 netfilter/iptables框架
shengyu
07-25 4768
iptables知识点介绍
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2622
Linux 内核开发 - NetFilter
netfilter:开发一个hook函数
倚楼听风雨的博客
09-20 1690
一、什么是hook函数     netfilter架构其实就是在一个packet流经系统时的多个关键点处设置了钩子,程序员可以为每一个钩子点注册一个监听器(即钩子函数,就是在packet流经这个钩子点时的一段处理代码),钩子函数将决定packet的下一个动作是什么!在钩子函数的代码最后需要决定netfiler框架接下来需要怎么处理packet,可以返回以下5种值:     NF_ACCEP
Linux网络命名空间深度解析:掌握虚拟化与隔离的核心技术
![Linux网络命名空间深度解析:掌握虚拟化与隔离的核心技术]...网络命名空间的概念源自于对网络虚拟化的需求,它不仅能够帮助开发者和管理员测试网络解决方案,还能在云计算环境中用于实现资源的隔离。命
一文理解 K8s 容器网络虚拟化
数据库技术
12-01 2010
本文需要读者熟悉 Ethernet(以太网)的基本原理和 Linux 系统的基本网络命令,以及 TCP/IP 协议族并了解传统的网络模型和协议包的流转原理。文中涉及到 Linux 内核的具体实现时,均以内核 v4.19.215 版本为准。
netfilter hook开发LKM[转]
Power of technology will free your body and spirit
10-21 1697
在原有的网络部分的LKM中,如果对网络部分进行处理,一般是先生成 struct packet_type 结构,在用dev_add_pack 将其插入网络层(注意此时的 packet_type 实际相当于一个的三层的协议,如ip_packet_type,ipx_8023_packet_type等)。 而netfilter本身在IP层内提供了另外的5个插入点(其文档中称为HOOK): 
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook点中选取了2个作为测试钩子点。仅供参考
Unreliable Guide to Locking -by Rusty Russell-中文版 .pdf
04-20
Unreliable Guide to Locking -by Rusty Russell-中文版 .pdf
Netfileter & iptables 实现(一)— Netfilter实现
maimang1001的专栏
05-24 443
Netfileter & iptables 实现(一)— Netfilter实现本文主要介绍 Netfilter 的实现,因为 Netfilter 是Linux网络数据包过滤的框架,而 iptables 就是建立在 Netfilter 之上的。先了解Netfilter的实现对分析 iptables 的实现有非常大的帮助https://mp.weixin.qq.com/s/3Os9elb_TBSN9ofRveihDg 在《Netfilter & iptables 原理》一文中,我们介绍了 N
学习如何在netfilter上开发一个自定义hook
perddy的专栏
10-31 1351
记录相关网址:     1、Linux netfilter Hacking HOWTO              http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html#toc3             2、优快云上一篇参考博文:               A exa
Linux Netfilter框架实现及函数调用处理过程
最新发布
mrtyxr的博客
01-26 1828
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
Hook技术--⑥Netfilter
一些个人笔记,写的不好之处,还请海涵
10-31 587
Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是一套融入到linux内核网络协议栈的框架,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,在报文流经的关键位置处,基于不同协议(ipv4/ipv6)的hook方式,使用hook列表中对应的钩子函数匹配处理,以实现过滤、修改报文、跟踪等功能;
网络虚拟化技术要点及实践
jincm的专栏
08-01 3928
摘 要:云计算网络作为云计算基础架构和服务提供的重要组成部分,需要满足更高的要求。本文首先给出网络的重要性,之后从数据中心网络、跨数据中心网络分析了主要技术要点,同时说明广东联通在实践过程中遇到的问题及关注要点。 关键 词: 云计算、虚拟化虚拟化网络、数据中心 前言 云计算技术是IT行业的一场技术革命,已经成为了IT行业未来发展的方向,这种趋势使得IT基础架构的运营专业化程度不断集中和
linux hook 函数,(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上)...
weixin_39637920的博客
05-04 96
#defineETH "eth0" //接口名称#defineSIP"192.168.6.130" //接口的IP地址#defineDIP "118.6.24.132" //要发送UDP报文的目的IP地址#defineSPORT 39804 //源端口#defineDPORT 6980 //目的端口unsigned char SMAC[ETH_ALEN]= {0x...
linux 内核协议栈 ip_rcv_finish,Linux内核协议栈学习笔记(二)--netfilter框架
weixin_39604092的博客
05-15 422
Linux netfilter提供了五个hook的注册点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。这五个hook点在Linux协议栈中调用之处如下:NF_INET_PRE_ROUTING --> ip_rcv():点击(此处)折叠或打开retu...
掌握Linux网络技术:菜鸟到大神的进阶之路
因此,本书可能会涵盖一些最新的网络技术,比如网络虚拟化技术、容器网络等。 总而言之,《深入理解Linux网络技术内幕》会从多个维度对Linux网络技术进行剖析,无论是对于网络新手还是有一定基础的IT从业者,都是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TechingOn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值