qq_28808697的博客

基于linux2.6.21上一节分析了hook机制，本节简单介绍下三层防火墙借助hook机制，实现的总体框架三层netfilter hook点的注册与注销我们知道使用iptables，添加规则时需要指定表，在iptables中有filter、nat、mangle三张表，因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪，此处我们也已这四个模块来将，而不是按HOOK点的分类来分析filter机制相关的hook注册Filter表主要在以下几个hook点上其作用：NF_IP_LOCAL_

netfilter介绍Linux netfilter就是借助一整套的 hook 函数的管理机制，实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter，应该包括二层数据的filter操作，以及对三层及三层以上数据的filter等操作。只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用，而三层及以上的filter结合iptables使用。但是二层filter与三层fi