Netfilter框架

已于 2023-09-24 10:36:27 修改
阅读量853 收藏 10
点赞数
分类专栏: Netfliter 文章标签: Netfliter Netfliter数据流向
于 2018-11-04 21:56:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gh201030460222/article/details/83591653
版权
本文介绍了Netfilter的框架流程,包括4个表(raw、mangle、nat、filter)和5条链。详细阐述了数据在PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING链中的流向。同时,解析了SNAT(源地址转换)和DNAT(目的地址转换)的概念,以及它们在网络通信中如何改变数据包的源和目的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Netfilter框架

1. Netfilter的框架流程

在这里插入图片描述

以上基于kernel版本 4.19&4.9
Netfilter有4个表,5条链
1,4个表的优先级为: raw > mangle > nat > filter
2,每个表包含的链:
Raw表: PREROTING、OUTPUT
Mangle表:PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
Nat表:PREROUTING、OUTPUT、POSTROUTING
Filter表:INPUT、OUTPUR、FORWARD
3,数据的流向:
PC机收数据:PREROUTING -> INPUT -> 应用程序
PC机发数据:应用程序 -> OUTPUT -> POSTROUTING
路由转发数据:PREROUTING -> FORWARD -> POSTROUTING

2. 数据流向

在这里插入图片描述

数据经过PREROUTING时,是先通过raw表查询,没有后&#

最低0.47元/天 解锁文章
netfilter框架完全解析
09-14
很完整的netfilter 框架解析。对想了解网络底层的童鞋很有用
netfilter框架
隔壁-老阳
01-18 2106
netfilter框架Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 (点击查看大图)图9-1  netfilter在内核中的位置虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火
Netfilter技术深度解析:Linux内核网络过滤的核心框架
心若微尘的博客
04-17 950
Netfilter是Linux内核中用于网络数据包处理的框架,自2.4.x内核版本起成为核心组件。它通过在内核协议栈中预定义的钩子点(Hook Points)插入自定义处理逻辑,实现对数据包的过滤、修改和重定向。作为Linux防火墙的基础,Netfilter支持数据包过滤网络地址转换(NAT)连接跟踪等核心功能,广泛应用于网络安全、负载均衡和网络调试等领域。Netfilter作为Linux网络栈的核心,提供了强大的灵活性和控制能力。
netfilter框架分析
04-23 3302
<br />本来是不打算写这种基础性的东西的,但是有很多同志经常问我(有同事也有网友)。所以就写一下吧,这个是理解LINUX内核网络子系统的基础,ip conntrack等都是依赖这些基础的。好的,闲话不多说了。来正文。<br />其实netfilter就是依靠一个全局的二维数组nf_hooks[][].可以把这个玩意看成一个8*32的矩阵。矩阵的每个成员就是一个双向链表节点。看看,又是双向链表,内核中双向链表的地位真的太重要了。以双向链表做骨架串起nf_hook_ops这个结构体。然后在运行时在挂HOOK
linux-内核:netfilter框架
赵凯月的博客
06-23 2199
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
Netfilter框架完全解析.pdf
09-30
Netfilter框架完全解析.pdf
Netfilter框架-完全解析.doc
02-25
Netfilter框架是Linux内核中的一个核心组件,自2.4.x版本开始引入,它提供了一个通用且抽象的架构,允许开发者实现数据包过滤、网络地址转换(NAT)和连接跟踪等功能。Netfilter框架主要涉及到五个关键点,即"A"、"B...
【Linux网络安全】Netfilter框架详解:网络数据包处理与安全管理核心技术
最新发布
05-04
内容概要:本文深入探讨了Linux系统中的Netfilter框架,阐述了其在网络安全和流量管理中的核心作用。Netfilter框架是Linux内核中用于处理网络数据包的模块化框架,通过表、链和规则三个核心组件,结合Hook点机制,...
基于Netfilter框架的防火墙设计与实现
05-17
【作品名称】:基于Netfilter框架的防火墙设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:这是一外个网络...
【Linux网络层】从原理到框架:IP协议、路由过程及Netfilter框架详解与应用案例了Linux网络层
05-02
③熟悉Netfilter框架的结构与功能,能够配置iptables规则;④应用于实际网络管理中,如设置防火墙、实现NAT等。 阅读建议:本文内容较为专业,建议读者在阅读时结合实际网络环境进行思考,并通过实践操作加深理解,...
Netfilter机制的框架分析
12-16
很好的Netfilter分析,适合初学者...
基于Linux内核的netfilter框架研究
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
Netfilter分析
bingyang_xue的专栏
10-26 687
一、概述1. Netfilter/IPTables框架简介          Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。   
Netfilter---框架的设计
chengfangang的专栏
04-09 1396
http://blog.chinaunix.net/uid-20786208-id-3429074.html 1. Netfilter/IPTables简介     Netfilter/IPTables是继2.0.x的ipfwadm、2.2.x的ipchains之后,新一代的 Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接
Linux 内核源码分析---netfilter 框架
学习记录
08-21 1595
学习记录
Netfilter 框架
kobemini的博客
09-18 813
通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,还有用户自定义的函数) 1. Netfilter 框架 框架图  钩子定义(注册点) kernel/linux/include/linux/netfilter.h enum nf_inet_hooks {
走进Linux内核之Netfilter框架
北观止的博客
09-21 900
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。话不多说直接上才艺,现在带你走进Linux内核之Netfilter框架
基于Netfilter框架提高IP访问安全性的研究
Netfilter 框架下提高 IP 访问的安全性 Netfilter 框架是 Linux 操作系统中的一种网络过滤机制,用于提高 IP 访问的安全性。该框架提供了五个钩子函数,分别是 NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值