nf-queue编译

最新推荐文章于 2024-08-03 15:21:18 发布
最新推荐文章于 2024-08-03 15:21:18 发布
阅读量344 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络
原文链接:http://www.cnblogs.com/tinyos/p/7742078.html
本文提供了使用 Netfilter Queue (NFQUEUE) 的多个示例配置,包括如何编译和链接相关库,设置 iptables 规则来捕获不同端口的数据包,并通过 NFQUEUE 处理这些数据包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../libnetfilter_queue-1.0.2

gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../../libnetfilter_queue-1.0.2/include/

cp /home/libnetfilter_queue/libnetfilter_queue-1.0.2/src/.libs/libnetfilter_queue.so  ./



gcc nfqnl_test.c  -o nf-queue -lnetfilter_queue -lmnl -I../../libnetfilter_queue-1.0.2/include/

iptables -A OUTPUT -j NFQUEUE --queue-num 0

http://wiki.ubuntu.org.cn/IptablesHowTo




gcc filterQueue.c  -o nf-queue -lnetfilter_queue -lmnl -I../../libnetfilter_queue-1.0.2/include/

http://www.doc88.com/p-3744296686284.html



 iptables -A INPUT -p tcp --dport 21 -j QUEUE
 
 
 iptables -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 0
 
 
 
 http://www.roman10.net/2011/11/27/how-to-calculate-iptcpudp-checksumpart-3-usage-example-and-validation/

iptables -A FORWARD -j NFQUEUE -p tcp --dport 80 -i eth0


iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 0.0.0.0-255.255.255.255 -j NFQUEUE --queue-num 0


iptables -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 0
iptables -t mangle -A POSTROUTING -p tcp -m multiport --dport 80,8080 -j NFQUEUE --queue-num 10

 

 

 

转载于:https://www.cnblogs.com/tinyos/p/7742078.html

netfilter_queue 使用示例
superbfly的专栏
04-08 4018
目录简介感谢环境依赖示例测试编译配置iptables规则ping本机loopback地址启动nf-queue程序 简介 之前写过一篇文章《iptables queue 应用示例》,介绍使用libipq实现用户态数据包处理。最近有遇到国产麒麟系统不支持libipq的问题,好在还支持netfilter_queue,整理一个关于NFQUEUE的版本出来。 感谢 本文大部分内容参考_Raymond_的《netfilter_queue 总结》,作者对netfilter做了详细的介绍,原文链接:https://blog
iptables queue 应用示例
superbfly的专栏
04-01 1740
目录简介环境依赖头文件示例测试编译导入模块配置iptables规则ping本机loopback地址启动ipqtest程序 简介 Linux内核在Netfilter框架的基础上提供了IP Queue机制,从而使得基于用户态的防火墙开发成为可能。从而可以在用户态对报文内容进行分析,同时可以给出对这个报文的处理意见,也可以修改报文。 libipq是基于netfilter提供的接口进行二次封装的库,目的是让大家能够更多专注于用户态的数据处理,简化用户态和内核态数据交换流程。 环境依赖 需要安装libnetfilte
nfqueue-tcpip-socket.rar
11-24
在linux环境下,使用libnetfilter_queue进行网络数据内容的修改并且将数据返回到用户空间给对应的应用程序使用,其中: 1、文件夹nfqueue-tcpip中实现数据抓取-修改-发送的工作,只需要在linux环境下使用 make 即可生成对应的可执行程序,需要以root权限去执行 2、文件夹socket-tcp中实现socket的tcp客户端和服务端的代码,只需在linux下环境下make即可生成 server和client的可执行程序
iptables目标NFQUEUE
redwingz的博客
05-01 2171
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
nfqueue性能评估
SHELLCODE_8BIT的博客
04-19 463
1.单个nfqueue的开销,和响应情况,然后逐渐增大nfqueue,来看响应情况。3.最后决定如果要保证响应质量,应该配什么配置。本质就是这个功能上了,成本要增加多少。1.nfqueue队列速度。那么影响性能的几个口子。
使用netfilter_queue改包笔记
weixin_30236595的博客
11-26 1067
系统:centos 7 准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装 简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则: //把到本机 50.24 ...
NFQueue简单介绍
saturn254的专栏
09-19 1947
netfilter netlink
nf_queue改包
Kafka的博客
06-22 2589
系统:centos 7准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则://把到本机 50.24 8889端口的数据包,na...
linux 上源码编译安装 PolarDB-X
寂夜了无痕的博客
08-03 2329
linux上源码编译安装 PolarDB-X
从ip_queuenfnetlink_queue(下)
Marking的专栏
01-18 3245
从ip_queuenfnetlink_queue(下) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 3. 内核空间内核版本2.6.17.11。内核空间的代码程序包括net/netfilte
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_http,redir_http使用原始套接字发送应答数据分组,在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能,又能避免Linux内核中的繁琐程序开发,降低程序开发复杂度,提高系统运行的稳定性。
Linux NFQUEUE
zxygww的专栏
04-13 3000
默认队列大小为1024,当队列满或者无法通过netlink_unicast发送该skb时,该数据包会被丢弃。
nfqueue安装
weixin_30266885的博客
11-05 816
root@OrangePizero:/home/nfqueue/libnfnetlink-1.0.1# ./configure checking build system type... armv7l-unknown-linux-gnueabihf checking host system type... armv7l-unknown-linux-gnueabihf checking ...
NFQUEUE抓包
zhbt1234的博客
10-27 4588
nfqueue 和C的libipq比起来,支持python的nfqueue会显得强大很多,特别是和scapy结合起来用的时候。 首先需要说明的是在iptables中的target除了之前提到的五项(ACCEPT,DROP,RETURN,QUEUE,other_chain)之外,还有一个叫NFQUEUE,它是QUEUE的扩展。相比于QUEUE,它可以由用户指定不同的queue numbe
Scapy + Nfqueue
wang_walfred的专栏
01-07 7444
背景1:Nfqueue Nfqueue是iptables和ip6tables的target,这个target可以将数据包交给用户空间。比如,下面的一个iptables规则 iptables -A INPUT -j NFQUEUE --queue-num 0 那么在用户空间,可以使用libnetfilter_queue来连接到queue  0(默认)并且从内核获得该消息,然后,必须
iptables 3: 动作MARK NFQUEUE
weixin_42639771的博客
04-17 2316
1. 参考 https://blog.youkuaiyun.com/wangzhen_csdn/article/details/83038122 一、nfqueue相关函数 1. nfnl_open struct nfnl_handle *nfnl_open(void) 函数说明: 开启nfnetlink 处理程序 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLi...
nfnetfilter_queue 模块的工作原理
andysin的专栏
07-01 2118
// ip包输入流(net/ipv4/ip_input.cz): ip_rcv() -> HF_HOOK(NF_INET_PRE_ROUTING) -> ip_route_input -> NF_HOOK(NF_INET_LOCAL_IN) -> NF_HOOK_THRESH() -> nf_hook_thresh() ->nf_hook_slow() -> nf_queue() -> __nf
linux netfilter 应用程序 通信 共享内存,使用NFQUEUE和libnetfilter_queue
weixin_30387635的博客
05-03 1197
翻译来自这里介绍NFQUEUE是一个iptables和ip6tables目标,它将数据包的决定委托给用户空间软件。 例如,以下规则将要求所有去往包的数据包都要听取用户安全计划的决定:iptables -A INPUT -j NFQUEUE --queue-num 0在用户空间中,一个软件必须使用libnetfilter_queue连接到队列0(默认的)并从内核获取消息。 然后它必须对包进行判决。内...
linux netfilter queue 修改数据包,使用NFQUEUE和libnetfilter_queue
weixin_39822443的博客
05-17 1664
翻译来自这里介绍NFQUEUE是一个iptables和ip6tables目标,它将数据包的决定委托给用户空间软件。 例如,以下规则将要求所有去往包的数据包都要听取用户安全计划的决定:iptables -A INPUT -j NFQUEUE --queue-num 0在用户空间中,一个软件必须使用libnetfilter_queue连接到队列0(默认的)并从内核获取消息。 然后它必须对包进行判决。内...
nf_hook_slow
最新发布
08-05
<think>嗯,用户的问题是关于Linux内核中nf_hook_slow函数的作用和性能优化。从引用内容看,用户可能正在研究Netfilter框架,特别是数据包处理流程中的性能瓶颈问题。 用户提供的引用材料非常专业,涉及内核网络栈的实现细节。引用[2]和[3]详细解释了nf_hook_slow的工作机制:它通过nf_iterate遍历钩子函数链表,根据返回值决定数据包命运。引用[4]补充说明了当钩子链表为空时的优化路径。这些材料表明用户对内核网络层有较深理解。 用户可能遇到的实际场景包括: 1 开发高性能网络应用时发现Netfilter成为瓶颈 2 调试自定义内核模块时出现数据包处理延迟 3 需要优化防火墙或负载均衡器的转发性能 关于nf_hook_slow的作用,核心是三点:协调多个钩子函数的执行顺序,处理不同返回值,以及衔接协议栈流程。特别要注意优先级机制——高优先级钩子可以阻断低优先级的执行,这个特性常被安全模块利用。 性能优化方面,用户可能最关心的是减少遍历开销。这里有几个关键点: - 钩子函数本身的效率(避免在钩子里做复杂操作) - 链表遍历的优化(引用[3]提到的优先级排序其实也是性能设计) - 快速路径处理(引用[4]展示的空链表优化) 用户没有说明具体性能指标,但通常这类优化目标包括降低CPU占用、减少延迟、提高吞吐量。在回答时需要区分理论优化方向和实际可操作方案,比如动态禁用钩子这种需要重新编译内核的方案就要谨慎推荐。 注意到用户要求"生成相关问题",这可能是为了深入理解或教学用途。设计的问题应该覆盖从机制理解到实战优化的递进层次,最后一个关于eBPF的问题特意引入新技术对比,帮助用户拓宽视野。</think>### `nf_hook_slow` 的作用及性能优化 #### **一、作用** `nf_hook_slow` 是 Linux 内核 Netfilter 框架的核心函数,负责**协调和执行注册的钩子函数(hook functions)**,决定数据包的命运。其核心流程如下: 1. **遍历钩子链表** 调用 `nf_iterate()` 按优先级顺序遍历指定钩子点(如 `NF_IP_FORWARD`)的钩子函数链表[^2][^3]。 2. **处理钩子返回值** - 若钩子返回 `NF_ACCEPT`:继续调用下一个钩子。 - 若返回 `NF_DROP`/`NF_STOLEN`/`NF_QUEUE`:**立即终止遍历**,直接处理结果[^3]。 3. **最终裁决** - 所有钩子返回 `NF_ACCEPT` → 调用 `okfn` 移交协议栈继续处理。 - 返回 `NF_DROP` → 释放数据包。 - 返回 `NF_STOLEN` → 中断协议栈(数据包由钩子接管)。 - 返回 `NF_QUEUE` → 将数据包送入用户空间[^2][^3]。 #### **二、性能瓶颈** 1. **链表遍历开销** 钩子数量增多时,遍历链表消耗 CPU 周期,尤其在高优先级钩子频繁返回非 `ACCEPT` 时仍需完整遍历[^3]。 2. **钩子函数自身开销** 复杂钩子(如深度包检测)可能成为瓶颈。 3. **锁竞争** 多核环境下钩子链表的锁竞争影响并发性。 4. **无效遍历** 即使无有效钩子,仍需进入 `nf_hook_slow` 检查(可通过优化避免)[^4]。 #### **三、性能优化策略** 1. **减少钩子数量** - 合并功能相似的钩子。 - 动态禁用非必要钩子(如按流量模式开关)。 2. **优化钩子优先级** - 将高概率返回 `DROP` 的钩子(如防火墙规则)置顶,利用短路逻辑减少遍历[^3]。 3. **钩子函数内部优化** - 避免内存分配/复制。 - 使用 eBPF 替代部分复杂逻辑。 4. **绕过空钩子链表** 修改协议栈代码,当 `nf_hooks[pf][hook]` 为空时直接调用 `okfn`,避免进入 `nf_hook_slow`[^4]。 5. **锁粒度优化** - 分片钩子链表(如每 CPU 独立链表)。 - 读写锁替代互斥锁。 6. **批处理机制** 对高速流量场景,实现数据包批量处理钩子,减少遍历次数。 #### **典型场景示例** ```c // 内核协议栈调用 Netfilter 的典型逻辑 if (nf_hooks[PF_INET][NF_IP_FORWARD] != NULL) { // 检查钩子链表是否为空 int ret = NF_HOOK(PF_INET, NF_IP_FORWARD, skb, indev, outdev, okfn); if (ret != NF_ACCEPT) return ret; // 非 ACCEPT 则中断协议栈 } else { return okfn(skb); // 无钩子时直接继续协议栈处理[^4] } ``` --- ### 相关问题 1. **`nf_hook_slow` 在哪些协议栈处理流程中被调用?** (如 IPv4 的 `ip_forward`、`ip_local_deliver` 等关键路径) 2. **钩子函数返回 `NF_STOLEN` 和 `NF_DROP` 有何本质区别?** (资源释放责任 vs. 协议栈中断机制) 3. **如何通过 eBPF 替代传统 Netfilter 钩子以提升性能?** (减少内核-用户态切换、JIT 编译优化等) 4. **在多核环境下,如何设计无锁钩子链表以降低竞争?** (RCU 机制、每 CPU 链表等方案) 5. **Netfilter 的 `NF_QUEUE` 机制如何影响数据包转发延迟?** (用户态处理开销与队列平衡策略) --- [^1]: `NF_HOOK` 宏通过 `NF_HOOK_THRESH` 调用 `nf_hook_slow`,优先级为 `INT_MIN`。 [^2]: `nf_hook_slow` 通过 `nf_iterate` 遍历钩子链表,根据返回值决定数据包去向。 [^3]: 钩子优先级决定执行顺序,高优先级可阻断低优先级执行;不同返回值对应不同协议栈行为。 [^4]: 空钩子链表时直接调用 `okfn` 是协议栈层的优化关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值