Netfilter运行时钩子列表

最新推荐文章于 2025-04-17 12:19:28 发布
原创 最新推荐文章于 2025-04-17 12:19:28 发布
· 1.1k 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #netfilter #iptables

这是在CentOS 7 (kernel 3.10.0-514.el7)上面运行时的钩子列表, 抓下来便于学习理解和调试.

第一级是协议分类, 第二级是钩子点, 第三级是钩子函数, 方括号里面是钩子函数所在模块.

NFPROTO_UNSPEC: None

NFPROTO_INET: None

NFPROTO_IPV4:
    NF_INET_PRE_ROUTING:
        ip_sabotage_in          [br_netfilter]
        ipv4_conntrack_defrag   [nf_defrag_ipv4]        
        iptable_raw_hook        [iptable_raw]   
        ipv4_conntrack_in       [nf_conntrack_ipv4]
        iptable_mangle_hook     [iptable_mangle]
        iptable_nat_ipv4_in     [iptable_nat]
    NF_INET_LOCAL_IN:
        iptable_mangle_hook     [iptable_mangle]
        iptable_filter_hook     [iptable_filter]
        iptable_nat_ipv4_fn     [iptable_nat]
        ipv4_helper             [nf_conntrack_ipv4]
        ipv4_confirm            [nf_conntrack_ipv4]
    NF_INET_FORWARD:
        iptable_mangle_hook     [iptable_mangle]
        iptable_filter_hook     [iptable_filter]
    NF_INET_LOCAL_OUT:
        ipv4_conntrack_defrag   [nf_defrag_ipv4]
        iptable_raw_hook        [iptable_raw]
        ipv4_conntrack_local    [nf_conntrack_ipv4]
        iptable_mangle_hook     [iptable_mangle]
        iptable_nat_ipv4_local_fn       [iptable_nat]
        iptable_filter_hook     [iptable_filter]
    NF_INET_POST_ROUTING:
        iptable_mangle_hook     [iptable_mangle]
        iptable_nat_ipv4_out    [iptable_nat]
        ipv4_helper             [nf_conntrack_ipv4]
        ipv4_confirm            [nf_conntrack_ipv4]
        
NFPROTO_ARP: None

NFPROTO_BRIDGE:
    NF_BR_PRE_ROUTING:
        ebt_nat_in              [ebtable_nat]
        br_nf_pre_routing       [br_netfilter]
    NF_BR_LOCAL_IN:
        ebt_in_hook             [ebtable_filter]
        br_nf_local_in          [br_netfilter]
    NF_BR_FORWARD:
        ebt_in_hook             [ebtable_filter]
        br_nf_forward_ip        [br_netfilter]
        br_nf_forward_arp       [br_netfilter]
    NF_BR_LOCAL_OUT:
        ebt_nat_out             [ebtable_nat]
        ebt_out_hook            [ebtable_filter]
    NF_BR_POST_ROUTING:
        ebt_nat_out             [ebtable_nat]
        br_nf_post_routing      [br_netfilter]
        
NFPROTO_IPV6: 
    NF_INET_PRE_ROUTING:
        ip_sabotage_in          [br_netfilter]
        ipv6_defrag             [nf_defrag_ipv6]
        ip6table_raw_hook       [ip6table_raw]  
        ipv6_conntrack_in       [nf_conntrack_ipv6]
        ip6table_mangle_hook    [ip6table_mangle]
    NF_INET_LOCAL_IN:
        ip6table_mangle_hook    [ip6table_mangle]
        ip6table_filter_hook    [ip6table_filter]
        ipv6_helper             [nf_conntrack_ipv6]
        ipv6_confirm            [nf_conntrack_ipv6]
    NF_INET_FORWARD:
        ip6table_mangle_hook    [ip6table_mangle]
        ip6table_filter_hook    [ip6table_filter]
    NF_INET_LOCAL_OUT:
        ipv6_defrag             [nf_defrag_ipv6]
        ip6table_raw_hook       [ip6table_raw]  
        ipv6_conntrack_local    [nf_conntrack_ipv6]
        ip6table_mangle_hook    [ip6table_mangle]
        ip6table_filter_hook    [ip6table_filter]
    NF_INET_POST_ROUTING:
        ip6table_mangle_hook    [ip6table_mangle]
        ipv6_helper             [nf_conntrack_ipv6]
        ipv6_confirm            [nf_conntrack_ipv6]

NFPROTO_DECNET: None

 

wesleyflagon
关注
linux内核协议栈 netfilter 之 hook 机制概述
10-29 6132
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
linux内核协议栈 netfilter 之连接跟踪子系统AF_INET钩子函数
11-01 927
1连接跟踪子系统钩子函数概述 如《linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景》中的1.4小结所述,为了支持连接跟踪子系统,AF_INET协议族在4个HOOK点共注册了8个钩子函数,每个HOOK点有两个。这些钩子函数可分为入口(PRE_ROUTING和LOCAL_IN)和出口(LOCAL_OUT和POST_ROUTING)两大类。 1.1数据包流向 在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。 1.1.1 发往本地的数...
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
netfilter_queue的安装包所需依赖包,先安装libmnl然后libnfnetlink最后netqueue。在钩子点可以通过return NF_QUEUE对所需数据包进行地址转换
Netfilter技术深度解析:Linux内核网络过滤的核心框架
最新发布
心若微尘的博客
04-17 949
NetfilterLinux内核中用于网络数据包处理的框架,自2.4.x内核版本起成为核心组件。它通过在内核协议栈中预定义的钩子点(Hook Points)插入自定义处理逻辑,实现对数据包的过滤、修改和重定向。作为Linux防火墙的基础,Netfilter支持数据包过滤网络地址转换(NAT)连接跟踪等核心功能,广泛应用于网络安全、负载均衡和网络调试等领域。Netfilter作为Linux网络栈的核心,提供了强大的灵活性和控制能力。
linux netfilter 五个钩子
weixin_30294295的博客
05-11 683
参考http://www.linuxtcpipstack.com/685.html#NF_INET_PRE_ROUTING https://opengers.github.io/openstack/openstack-base-netfilter-framework-overview/ http://blog.chinaunix.net/uid-26517122-id-4293010...
Linux Netfilter注册钩子
weixin_30815427的博客
11-20 288
注册钩子点首先要包含响应的头文件,因为这应该已经属于对kernel的编程了。 1 #include <linux/module.h> 2 #include <linux/kernel.h> 3 #include <linux/init.h> 其次,要定义钩子函数 1 static unsigned int example(unsi...
Linux网络 Netfilter钩子函数注册
m0_74282605的博客
03-08 876
nf_hook_ops是注册的钩子函数的核心结构,字段含义如下所示,一般待注册的钩子函数会组成一个nf_hook_ops数组,在注册过程中调用nf_register_net_hooks将所有规则加入到指定的钩子点;nf_register_net_hooks在注册多个钩子函数使用,它对多个函数顺序调用nf_register_net_hook进行注册,并且在注册失败进行回滚;多个钩子函数在注册之后,是以多个nf_hook_entry实例的链表的形式存在的,其成员如下;废话不多说,开始分析;
kaodv内核模块开发与Netfilter钩子函数应用
Netfilter框架中,钩子函数是内核模块用以注册到Netfilter钩子点的回调函数,以便在数据包流经网络栈被调用。当数据包到达一个钩子Netfilter会暂停包的处理流程,并调用所有已注册的钩子函数。这些钩子...
goland 开发工具插件 ja-netfilter-all
08-24
此外,Ja-Netfilter-All还支持调试功能,开发者可以通过设置断点,观察程序运行的数据包处理流程,这对于调试复杂网络过滤逻辑非常有帮助。同,插件内置的模拟环境使得开发者无需实际部署到服务器,就能进行网络...
Kernel之Tcpdump和Netfilter
weixin_42271802的博客
02-13 1078
NetfilterLinux 内核中的一个框架,用于对网络数据包进行过滤、修改和重定向。它提供了多个钩子点(hook points),允许用户在不同的网络层插入自定义逻辑。它可以用于捕获不同 ISO模型中的多个层次的数据包,具体取决于过滤条件和抓包配置。验证成功(无法连接)
利用虚拟网络设备和Netfilter钩子开发UDP隧道技术
2. 实现Netfilter Hook:接着需要在Netfilter钩子点上注册处理函数,这些处理函数会根据需要对经过的网络数据包进行操作。例如,可以在PREROUTING钩子点上捕获数据包,并在POSTROUTING钩子点上修改数据包的源地址...
netfilter中的hook流程图
11-12
绝对自己总结的,详细介绍了hook的流程,其中包括调用的一些函数
Netfilter_Modules
10-16
1. **理解Netfilter架构**:在编写任何Netfilter模块之前,首先需要了解整个Netfilter框架的工作原理,包括数据包的流向、不同钩子点的作用以及如何注册模块等。 2. **模块初始化与卸载**:每个模块都需要实现初始化...
netfilter分析3-钩子函数执行流程
一个码农的足迹
07-27 1303
前面两节分析了钩子函数和表的初始化,本节来分析钩子函数是如何通过使用表来处理报文的。 首先还是回到钩子函数的入口NF_HOOK,之前讲过通过该宏会调用文件/include/linux/netfilter.h中定义的函数: static inline int nf_hook_thresh(u_int8_t pf, unsigned int hook, struct net *net, struct sock *sk, struct sk_buff *skb, st
netfilter框架之hook点
遇见你是我最美丽的意外
01-05 4531
1. Netfilter中hook的所在位置 当网络上有数据包到来,由驱动程序将数据包从网卡内存区通过DMA转移到设备主存区(内存区), 之后触发中断通知CPU进行异步响应,之后ip_rcv函数会被调用到; ip_rcv函数首先对报文进行检验,最后调用NF_HOOK函数将控制权交给在NF_IP_PRE_ROUTING注册的规则进行处理,之后数据到达ip_rcv_finish函数并进行路...
linux网卡钩子,linux-Netfilter钩子注册与网络子系统
weixin_39990819的博客
05-06 269
在探索netfilter功能,我尝试编写一个简单的netfilter模块并注册了一个钩子,如下所示:dhcp_nfho.owner = THIS_MODULE;dhcp_nfho.hook = dhcp_hook_function;dhcp_nfho.hooknum = NF_INET_POST_ROUTING;dhcp_nf...
关于netfilter钩子 hook值的问题
小楼一夜听春雨
05-19 944
Hook                调 用的机 NF_IP_PRE_ROUTING    在完整性校验之后,选路确定之前 NF_IP_LOCAL_IN        在选路确定之后,且数 据包的目的是本地主机 NF_IP_FORWARD        目的地是其它主机地数据 包 NF_IP_LOCAL_OUT        来自本机进程的数据 包在其离开本地主机的过程中 NF_IP
一个参考实现 netfilter中注册钩子函数
jk110333的专栏
04-24 3951
netfilter中注册钩子函数即可,一个参考实现  #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #include     #
linux网络之netfilter 五个钩子
m0_74282605的博客
03-08 546
在三层IPv4数据包的处理过程中,可能经过Netfilter的五个钩子点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING,在每个点都可以设置一些规则,来对数据包进行匹配检查处理,这些规则的配置、布局和匹配流程。数据包已经被接管,回调函数处理该包,NF不再处理,该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值