Netfilter框架

已于 2023-09-24 10:36:27 修改
阅读量867 收藏 10
点赞数
CC 4.0 BY-SA版权
分类专栏: Netfliter 文章标签: Netfliter Netfliter数据流向
于 2018-11-04 21:56:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gh201030460222/article/details/83591653
本文介绍了Netfilter的框架流程,包括4个表(raw、mangle、nat、filter)和5条链。详细阐述了数据在PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING链中的流向。同时,解析了SNAT(源地址转换)和DNAT(目的地址转换)的概念,以及它们在网络通信中如何改变数据包的源和目的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Netfilter框架

1. Netfilter的框架流程

在这里插入图片描述

以上基于kernel版本 4.19&4.9
Netfilter有4个表,5条链
1,4个表的优先级为: raw > mangle > nat > filter
2,每个表包含的链:
Raw表: PREROTING、OUTPUT
Mangle表:PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
Nat表:PREROUTING、OUTPUT、POSTROUTING
Filter表:INPUT、OUTPUR、FORWARD
3,数据的流向:
PC机收数据:PREROUTING -> INPUT -> 应用程序
PC机发数据:应用程序 -> OUTPUT -> POSTROUTING
路由转发数据:PREROUTING -> FORWARD -> POSTROUTING

2. 数据流向

在这里插入图片描述

数据经过PREROUTING时,是先通过raw表查询,没有后,再经过mangle表查询,依次到nat表,直到查找到,如果都没有找到或不是要forward的包,就丢弃。在送到INPUT时,也一样,先通过mangle表,再通过filter表,再向上层传递。

应用程序发数据

最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux Netfilter框架实现及函数调用处理过程
mrtyxr的博客
01-26 1944
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
netfilter框架完全解析
09-14
很完整的netfilter 框架解析。对想了解网络底层的童鞋很有用
netfilter框架
隔壁-老阳
01-18 2118
netfilter框架Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 (点击查看大图)图9-1  netfilter在内核中的位置虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火
netfilter框架分析
04-23 3307
<br />本来是不打算写这种基础性的东西的,但是有很多同志经常问我(有同事也有网友)。所以就写一下吧,这个是理解LINUX内核网络子系统的基础,ip conntrack等都是依赖这些基础的。好的,闲话不多说了。来正文。<br />其实netfilter就是依靠一个全局的二维数组nf_hooks[][].可以把这个玩意看成一个8*32的矩阵。矩阵的每个成员就是一个双向链表节点。看看,又是双向链表,内核中双向链表的地位真的太重要了。以双向链表做骨架串起nf_hook_ops这个结构体。然后在运行时在挂HOOK
linux-内核:netfilter框架
赵凯月的博客
06-23 2235
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
Netfilter框架完全解析.pdf
09-30
Netfilter框架完全解析.pdf
Netfilter框架-完全解析.doc
02-25
Netfilter框架是Linux内核中的一个核心组件,自2.4.x版本开始引入,它提供了一个通用且抽象的架构,允许开发者实现数据包过滤、网络地址转换(NAT)和连接跟踪等功能。Netfilter框架主要涉及到五个关键点,即"A"、"B...
【Linux网络安全】Netfilter框架详解:网络数据包处理与安全管理核心技术
最新发布
05-04
内容概要:本文深入探讨了Linux系统中的Netfilter框架,阐述了其在网络安全和流量管理中的核心作用。Netfilter框架是Linux内核中用于处理网络数据包的模块化框架,通过表、链和规则三个核心组件,结合Hook点机制,...
基于Netfilter框架的防火墙设计与实现
05-17
【作品名称】:基于Netfilter框架的防火墙设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:这是一外个网络...
Netfilter机制的框架分析
12-16
很好的Netfilter分析,适合初学者...
Netfilter分析
bingyang_xue的专栏
10-26 714
一、概述1. Netfilter/IPTables框架简介          Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。   
Netfilter---框架的设计
chengfangang的专栏
04-09 1404
http://blog.chinaunix.net/uid-20786208-id-3429074.html 1. Netfilter/IPTables简介     Netfilter/IPTables是继2.0.x的ipfwadm、2.2.x的ipchains之后,新一代的 Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接
Linux 内核源码分析---netfilter 框架
学习记录
08-21 1730
学习记录
Netfilter 框架
kobemini的博客
09-18 833
通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,还有用户自定义的函数) 1. Netfilter 框架 框架图  钩子定义(注册点) kernel/linux/include/linux/netfilter.h enum nf_inet_hooks {
走进Linux内核之Netfilter框架
北观止的博客
09-21 938
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。话不多说直接上才艺,现在带你走进Linux内核之Netfilter框架
Linux NetFilter 解析(一)--Netfilter 框架
zhang_mq的专栏
07-22 2214
1.Netfilter简介         Netfilter是Linux2.4之后加入到内核的防火墙框架,该框架简洁灵活,实现了安全策略中的许多动能:Netfilter子系统提供了有状态的或无状态的分组过滤, 网络地址转换(NAT),IP地址伪装, 还具备为高级选路、连接状态管理而变形(mangle)IP 头信息的能力和基于数据类型的连接追踪等。         如果把netfilt
linux下的Netfilter&iptables
简单生活
11-13 1835
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。     这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核态的Netfilter其交互过程和通信手
基于Netfilter框架提高IP访问安全性的研究
Netfilter 框架下提高 IP 访问的安全性 Netfilter 框架是 Linux 操作系统中的一种网络过滤机制,用于提高 IP 访问的安全性。该框架提供了五个钩子函数,分别是 NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值