Netfilter笔记-03

最新推荐文章于 2025-01-31 18:52:14 发布
最新推荐文章于 2025-01-31 18:52:14 发布
阅读量202 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: kernel netfilter/iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiangziyouing/article/details/88863044
本文探讨了Netfilter框架在内核中的工作原理。当硬件接收到帧并通知CPU后,内核通过do_IRQ处理中断事件,将帧复制到sk_buff。接着,IP数据包接收流程启动,调用ip_rcv函数,进一步触发NF_HOOK。在nf_hook_slow函数中,通过nf_iterate调用钩子函数,最终执行nf_hook_ops中的hook_func,如ip_rcv_finish,对数据包进行接收或丢弃操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当我们使用nf_register_hook在内核中注册好hook之后,内核是如何来引用的呢?

当设备的硬件接收帧以后,会使用中断事件通知CPU,该帧已经可用了,CPU接收到终端事件之后,会执行do_IRQ函数,IRQ编号会引发正确的处理函数被启用,在该过程中,内核会把帧拷贝到sk_buff数据结构中进行处理。按照IP数据包接收流程

内核会调用ip_rcv函数,此函数内会调用NF_HOOK

 return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, dev, NULL,ip_rcv_finish);

在NF_HOOK函数中会调用到nf_hook_slow函数,在nf_hook_slow函数中调用了nf_iterate,代码如下:

unsigned int nf_iterate(struct list_head *head,
                        struct sk_buff *skb,
                        unsigned int hook,
                        const struct net_device *indev,
                        const struct net_device *outdev,
                        struct nf_hook_ops **elemp,
                        int (*okfn)(struct sk_buff *), 
                        int hook_thresh)
{
        unsigned int verdict;

        /*
         * The caller must not block between calls to this
         * function because of risk of continuing from deleted element.
         */
        list_for_each_entry_continue_rcu((*elemp), head, list) {
                if (hook_thresh > (*elemp)->priority)
                        continue;

                /* Optimization: we don't need to hold module
                   reference here, since function can't sleep. --RR */
repeat:
                verdict = (*elemp)->hook(hook, skb, indev, outdev, okfn); /* 调用hook func */
                if (verdict != NF_ACCEPT) {
#ifdef CONFIG_NETFILTER_DEBUG
                        if (unlikely((verdict & NF_VERDICT_MASK)
                                                        > NF_MAX_VERDICT)) {
                                NFDEBUG("Evil return from %p(%u).\n",
                                        (*elemp)->hook, hook);
                                continue;
                        }   
#endif
                        if (verdict != NF_REPEAT)
                                return verdict;
                        goto repeat;
                }
        }
        return NF_ACCEPT;
}

如上代码中verdict = (*elemp)->hook(hook, skb, indev, outdev, okfn);会调用nf_hook_ops中的hook func。也就是NF_HOOK传过来的ip_rcv_finish。在ip_rcv_finish函数中,内核会对packet进行处理,如果内核不接受此数据包,内核会drop packet,并且free sk_buff。

Netfilter笔记-01
七七的博客
03-27 547
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。 netfilter架构中不同的协议类型有不同的HOOK。协议类...
netfilter 链接跟踪机制与NAT原理
m0_74282605的博客
01-11 447
(原因:当数据包进入连接跟踪后,会建立一个tuple以及相应的replay tuple,而应答的数据包,会查找与之匹配的repaly tuple,——对于源地址转换而言,应答包中的目的地址,将是转换后的地址,而不是真实的地址,所以,为了让应答的数据包能找到对应的replay tuple,很自然地,NAT模块应该修改replaly tuple中的目的地址,以使应答数据包能找到属于自己的replay)。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。
Linux Netfilter框架实现及函数调用处理过程
mrtyxr的博客
01-26 1946
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
Linux网络详解:网络层-IPv4
weixin_58966834的博客
04-18 1166
而对于需要转发的报文,则进入 ip_mkroute_input 处理,之后返回。可以看到,在收包(IN or FORWARD)逻辑中,连接跟踪注册点位于NF_INET_PRE_ROUTING,在发包过程则位于 NF_INET_LOCAL_OUT ,在这两种情况下,连接跟踪都位于 raw 表与 mangle 表之间。对于UDP,则是通过 udp_sendmsg 发送 IPv4 报文,它主要是调用了 udp_send_skb,之后 udp_send_skb 进一步调用 ip_send_skb 进行处理。
学iptables衍生出的疑问
qq_41781462的博客
04-19 500
学习Iptable和netfilter中有很多疑问,简单分析了netfilter的原理,以及如何自己注册自定义表和钩子函数
Netfilter笔记-02
七七的博客
03-27 295
Netfilter说白了就是针对不同的协议(协议类型和hook节点我们上一章已经讲过)在kernel中放置了不同的hook节点,等数据包sk_buff,到来的时候,要给hook节点进行过滤,下图为IP层的五个hook点的位置: 在讲具体流程之前我们要介绍一个结构体:struct nf_hook_ops struct nf_hook_ops { struct list...
K8S学习笔记-------1.安装部署K8S集群环境
最新发布
01-31 1274
K8S基础知识
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
netfilter学习笔记集合
09-25
个人学习netfilter时网上搜集的,比较全面。 希望对大家有用。
Linux内核中的NAT处理
mrtyxr的博客
12-17 1677
NAT(Network Address Translation,网络地址转换),是一种网络通信协议,用于将私有网络中的IP地址转换成公网IP地址,以访问公网资源,实现内网与外网之间的通信;NAT同时也是一种网络安全处理策略。
Netfilter_读书笔记.pdf
05-13
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分 的实现。Netfilter 虽然集成了Firewall,NAT 和mangel 的功能,但本人觉得NAT 最为复杂。 当理解了NAT 部分的功能,再看Firewall 和mangle 的功能,会有“会当临绝顶,一览众山 小”的感觉。
关于NF_IP_PRE_ROUTING
zsszss0000的专栏
02-28 1505
关于NF_IP_PRE_ROUTING 问题:在内核编程中(2.6.25.17)中使用NF_IP_PRE_ROUTING,出现错误“'NF_IP_PRE_ROUTING' undeclared (first use in this function)”,而代码里面已经包含了netfilter_ipv4.h。 原因:在2.6.22以及以后的内核中,NF_IP_PRE_ROUTING以
iptables 和 netfilter 详解
qq_49554011的博客
10-12 1977
iptables和netfilteriptables是Linux 上最常用的防火墙工具,iptables 与协议栈内有包过滤功能的 hook 交互来完成工作。这些内核 hook 构成了 netfilter 框架每个进入网络系统的包(接收或发送)在经过协议栈时都会触发这些 hook,程序可以通过注册 hook 函数的方式在一些关键路径上处理网络流量。iptables 相关的内核模块在这些 hook 点注册了处理函数,因此可以通过配置 iptables 规则来使得网络流量符合防火墙规则。
Linux nf_conntrack(二)-连接确认
mrtyxr的博客
12-08 977
最近走读学习Linux内核关于连接跟踪相关处理,上一篇中记录了连接建立的过程,感兴趣的同学可以参考:;一个连接的完整性需要经过确认才能建立,因此这里学习连接确认相关处理;从上述nf_hook_ops的定义来看,涉及连接确认的HOOK点有两个:NF_INET_LOCAL_IN和NF_INET_POST_ROUTING;分别对应对到本机报文建立连接的确认处理和转发报文建立的连接的确认处理,后面分别简称为本地会话和转发会话,但对应的处理函数均为nf_confirm,我们稍后讨论。
Linux内核连接跟踪框架概述
redwingz的博客
10-23 2834
连接跟踪的入口函数nf_ct_netns_get如下。其根据Netfilter定义的协议类型分为两个分支,如果协议类型为NFPROTO_INET,同时初始化两种NF协议NFPROTO_IPV4和NFPROTO_IPV6;反之,如果协议类型不等于NFPROTO_INET,按照指定的协议类型nfproto进行初始化。 int nf_ct_netns_get(struct net *net, u8 nf...
深入研究 Iptables 和 Netfilter 架构
RToax
07-11 666
《A Deep Dive into Iptables and Netfilter Architecture》 上图:https://www.ichenfu.com/2018/09/09/packet-flow-in-netfilter/ 介绍 防火墙是一种重要的工具,可以通过配置来保护您的服务器和基础设施。在 Linux 生态系统中,iptables是一个广泛使用的防火墙工具,它与内核的netfilter包过滤框架接口。对于不了解这些系统架构的用户和管理员来说,创建可靠的防火墙策略可能会令
在NF_IP_PRE_ROUTING挂钩子修改skbuff问题
high7344的专栏
03-20 2267
在NF_IP_PRE_ROUTING挂钩子修改skbuff问题<br />[i=s] 本帖最后由 kangle000 于 2010-07-19 06:59 编辑 [/i]<br /><br />以下代码是在2.6.31内核中执行的,根据send_rst改写的。但是代码存在以下几个问题:<br />1、捕包发现ip头的version字段为0,offset的值不为0,校验出错。<br />2、udp头的内容好像并没有更改。<br />3、us指针指向的内容并没有改变<br />4、经常死机<br />请大家帮我
linux随笔
轨迹1994的博客
06-03 498
linux基础linuxlinux版本选择linux安装linux的常用命令如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 linux 扯个五毛钱的,来互联网公司的第一周,安排轮岗。本来应聘是Java,结果来了其他部门。但庆幸的是带我的老大人不错,安排我先学习shell,
Linux netfilter 学习笔记 之九 ip层netfilter的连接跟踪模块代码分析
lickylin的专栏
06-29 6809
上一节分析了连接跟踪模块相关的初始化代码,本节分析连接中hook函数。在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。   发往本地的数据: 对于连接跟踪来说,只在hook点NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN两个hook点进入到连接跟踪模块,按优先级顺序,依次调用 ipv4_conntrack_defrag->ipv4_conntrack_in->i
make menuconfig配置项中的 [ ] Network packet filtering framework (Netfilter) ---- 介绍
05-17
Network packet filtering framework (Netfilter) 是 Linux 内核中的一个模块,它是一个用于实现数据包过滤、NAT、端口转发等网络功能的框架。Netfilter 通过在 Linux 内核中注册钩子函数来实现网络过滤和转发,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值