Linux内核转发技术

最新推荐文章于 2025-10-14 09:15:52 发布
原创 最新推荐文章于 2025-10-14 09:15:52 发布 · 8.5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Linux内核中的iptables内核模块,用于封包过滤和防火墙功能。iptables通过规则、链路和表管理IP包过滤,包括filter、nat、mangle、raw和security五张表。文中通过实例展示了iptables作为防火墙、路由器和透明代理的具体应用,帮助读者理解其在Linux系统中的实际操作。

前言

在linux内核中,通常集成了带有封包过滤和防火墙功能的内核模块, 不同内核版本的模块名称不同,
在2.4.x版本及其以后的内核中, 其名称为iptables, 已取代了早期的ipchains和远古时期的ipfwadm.
在命令行中可以通过lsmod | grep -i iptable来查看当前加载的相关模块信息.

iptables作为内核模块, 由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集.
与此同时, iptables也作为用户空间(userspace)的一个管理工具而存在,使得我们使插入,
修改和除去信息包过滤表中的规则变得非常容易,不需要每次修改规则后都重新编译内核.
本文主要讨论的也正是iptables在用户空间的功能.

基本概念

linux内核的转发机制主要通过查表(tables)来完成, 而iptables则用来设置,管理和检查linux内核中ip包过滤规则表.
table后面加了s说明可以定义多张表, 而每张表中又包含了若干链路(chains), 链路表示一系列应用于匹配ip包的规则(rules).
下面就对这"三座大山"分别加以解释. 为了使概念明了, 我们自底向上说明:

规则(rules)

规则又称为rule-specification, 其主要作用是匹配特定的ip封包, 并作出相应的动作, 其格式为:

rule-specification = [matches...] [target]

其中,

match = -m matchname [per-match-options]
target = -j targetname [per-target-options]

matchname表示匹配的格式的名称, targetname表示所执行的动作的名称. iptables定义了一系列内置的格式和动作,
如target为accept表示接受, masquerade表示执行类似路由器的动作(用于nat)等, 具体可以通过man iptables-extensions查看.

链路(chains)

所谓链路, 顾名思义就是表示ip数据包传输的路径, 一个封包的源和目的不同, 其走的路径即有可能不同,
就像路途中的朋友们, 在任何一个节点都有可能分道扬镳.这些节点有:

  • pre_routing : 外部数据刚刚进入时.
  • post_routing : 外部数据准备离开时.
  • input : 数据包的目的地址为本地socket.
  • output : 数据包由本地生成.
  • forward : 数据包被本机转发.

事实上, 链路在内核中以钩子的形式存在, 在每个结点给用户预留了回调函数来处理封包(即用前面提到的规则).
ip封包从外部进入后,所经过的链路如下图所示:

最低0.47元/天 解锁文章
threenerd
关注
内核阅读之浅析Linux2.6.34内核路由数据转发(二)
Robin_FJ的博客
12-06 1461
Linux路由相关函数数据跟踪浅析  1.int ip_rcv()函数 该函数在Linux2.6.34\net\ipv4\Ip_input.c      该函数是在L2调用deliver_skb()是调用的,当然它的数据包类型ptype=ETH_P_IP。这里主要是对收上来的数据包进行一些验证其合法性,然后就交给了ip_rcv_finish()函数继续处理。
Linux 内核报文发送处理过程
mrtyxr的博客
12-28 1835
最近在学习Linux协议栈相关内容,当被问到Linux 内核网卡收报的过程,我们能很快的简述一个大概的过程,但是对于报文外出,对外发送时的处理过程却有些模糊,故借此机会,对Linux内核报文发送过程进一步学习。以ipv4为例,Linux内核报文发送分两种情况:1.本机外出报文发送 2.转发报文发送;依据这两种情况,我们分别了解学习。
Linux服务器编程实践16-IP转发的条件与具体操作步骤
最新发布
文石_2009的博客
10-14 978
本文详细介绍了Linux系统中IP转发的配置与实现方法。核心内容包括IP转发的三个必要条件:通过/proc/sys/net/ipv4/ip_forward启用内核转发功能、正确配置路由表、设置防火墙允许转发。文章以配置Linux主机为局域网网关为例,分步骤说明了临时/永久启用转发、配置路由表和防火墙规则的具体操作,并提供了验证方法和常见问题排查技巧。同时介绍了IP转发在局域网网关、多网段路由器和代理服务器等场景的实际应用。掌握这些知识对Linux服务器运维和网络编程至关重要。
Linux 3.10 kernel bridge转发逻辑
01-09
前分析过linux kernel 2.6.32的bridge转发逻辑,下面分析一下linux kernel 3.10的bridge转发逻辑。这样正是CentOS 5和CentOS 7对应的内核。3.10 kernel中bridge逻辑的大改变是增加了vlan处理逻辑以及brdige入口函数的设置。   1. netdev_rx_handler_register   在分析之前首先要介绍一个重要函数:netdev_rx_handler_register,这个函数是2.6内核所没有的。   netdev_rx_handler_register /* * dev: 要注册接收函数的dev
Linux开启内核转发
beeworkshop的博客
11-15 4310
1. 即时开启内核转发 echo "1" > /proc/sys/net/ipv4/ip_forward 2. 开启内核转发并持久化 vim /etc/sysctl.conf ========================================================================= net.ipv4.ip_forward = 1 sysctl -p
Linux内核技术】深入解析Linux内核跟踪连接机制:网络通信中的安全保障与优化
05-04
通过连接跟踪机制,Linux内核能够确保数据包的正确转发,保障网络安全,并支持复杂的网络环境下的通信需求。文章还详细描述了连接跟踪的工作原理,包括关键数据结构(如`struct nf_conn`、`struct nf_conntrack_...
Docker学习-03-容器技术所涉及Linux内核关键技术(了解)
qq_22772699的博客
05-30 2029
很多编程语言都包含了命名空间的概念,我们可以认为命名空间是一种封装,封装本身实际上实现了代码的隔在操作系统中命名空间命名空间提供的是系统资源的隔离,其中系统资源包括了:进程、网络、文件系统…实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务,也就是我们说的容器,在同一个命名空间下的进程可以感知彼此的变化,而对其他命名空间的进程一无所知,这样就可以让容器中的进程产生一个错觉,仿佛它自己置身于一个独立的系统环境当中,以此达到独立和隔离的目的。
Linux内核设计的艺术
05-29
Linux内核设计的艺术》作为一本专业书籍,它的内容涵盖了Linux内核的众多设计原理和技术细节,为读者提供了一个深入学习Linux内核设计思想的机会。 Linux内核设计的艺术主要涉及以下几个方面: 1. 系统管理能力...
linux内核三层转发流程,二层转发流程 (linux网络子系统学习 第六节 )
weixin_29531897的博客
04-30 2683
做为网络设备,二层转发是最基本的功能。要想继续学习linux 内核协议栈,必须明白二层转发的流程。这篇文章举例讲一讲二层转发的流程。二层转发是根据报文的目的MAC直接进行转发转发过程中不用对报文的头部做任何的修改。三层转发则是根据报文的ip 地址来进行转发,并且要对报文的二层头部进行相应的修改。进行二层转发的设备一般叫做网桥(bridge)。桥可以是一个单独的一台网桥设备,也可以是运行在设备内的...
基于Linux内核防火墙-数据包转发和转换详解
hao_wujing的专栏
12-27 1296
规则表的作用:容纳各种规则链规则链的作用:容纳各种防火墙规则表里有链,链里有规则在下面的图中,nattable 被细分成了DNAT(修改目的地址) 和SNAT(修改源地址),以更方便地展示他们的优先级。PREROUTINGINPUTFORWARDOUTPUT(路由判断)YrawYY(连接跟踪)YYmangleYYYYYnat (DNAT)YY(路由判断)YYfilterYYYsecurityYYYnat (SNAT)YYY。
基于LINUX内核下的二层收发包机制
11-09
基于LINUX内核下的二层收发包机制
Linux 内核转发功能配置和使用
只有自己觉到悟到的,才是自己的。
11-04 2830
将两台主机分别用网线与板卡连通, 并关闭两台主机的防火墙。 注意 PC1的网关地址为 设备 ethn 的ip PC2的网关地址为 设备 ethm 的ip echo 1 > /proc/sys/net/ipv4/ip_forward 设置完成之后,PC1 即可 ping 通 PC2 此功能可以用来测试网口,一般使用网络流量仪来测试网口的转发功能,一般双向测试 从 ETHn 进 ,从 ETHm 发出去, 最后回到流量仪 从 ETHm进 ,从 ETHn 发出去,最后回...
二三层转发原理及过程_周日福利!深入linux内核架构与底层原理
weixin_39826809的博客
11-10 202
概述这本书主要描述Linux系统的总体框架和设计思想,包含很多可以直接操作的实例,在比较核心且常用的技术点有更加深入的解释,对实际使用Linux系统工作大有裨益。本书共13章,其中第1~3章是总览,第4~13章是分领域阐述。第1~3章总体介绍Linux的基本知识;第4章以Linux系统的启动开始深入叙述;第5章是Linux系统运行中使用者*常接触到的进程概念,重点介绍进程的原理;第6章是Linux...
深入理解Linux网络——内核是如何发送网络包的
qq_25046827的博客
07-12 3779
调用dma_map_single函数创建内存和设备之间的DMA映射,tx_ring->dev是设备的硬件描述符,即网卡,skb->data是要映射的地址,size是映射的数据的大小,即数据包的大小,DMA_TO_DEVICE是指映射的方向,这里是数据将从内存传输到设备,返回的调用结果是一个DMA地址,存储在dma变量中,设备可以直接通过这个地址访问到skb的数据。这种设计的好处是,对于大的数据包,可以将其数据负载部分存储在分页区,避免对大块连续内存的分配,从而提高内存使用效率,减少内存碎片。
Linux操作系统基础
Juvenile__的博客
09-02 460
Linux简介 Linux是一种自由和开放源码的操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核Linux可安...
linux启用NAT功能,双网卡共享网络,iptables简单实现
热门推荐
wzh312222的博客
06-21 1万+
iptables实现NAT,双网卡网络共享
linux wlan进程名称,linux – 将wlan0桥接到eth0
weixin_32451529的博客
04-30 834
UPDATE设置NAT一个人应该设置NAT:echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE分配IP然后你必须为自己分配IP地址:ifconfig eth0 10.0.0.1 netmask 255.255.255.0 up安装dhcp守护程序安装dhcp服务...
linux nat
04-27 326
(一)Iptables 的使用语法在使用iptables的NAT功能时,我们必须在每一条规则中使用"-t nat"显示的指明使用nat表。然后使用以下的选项::1. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。在链内某个位置替换(replace) 一条规则 (-R)。在链内某个位置删...
深入解析Linux内核网桥机制
"深入解析Linux内核中的网桥技术" Linux内核网桥是网络通信中的一个重要组成部分,它在操作系统内部模拟了交换机的功能,允许不同的网络接口(如以太网接口eth0和eth1)之间进行数据包的转发,从而将多个物理网络...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值