发布时间：2012-12-20 14:33:16

Netfilter连接跟踪的详细流程     上一篇我们了解了连接跟踪的基本框架和大概流程，本篇我们着重分析一下，数据包在连接跟踪系统里的旅程，以达到对连接跟踪运行原理深入理解的目的。     连接跟踪机制在Netfilter框架里所注册的hook函数一共就五个：ip_conntrack_defrag()、ip_conntrack_in()、ip_conntrack_local()、ip_conntrack_help()和ip_confirm()。前几篇博文中我们知道ip_conntrack_local......【阅读全文】

发布时间：2012-12-20 14:33:06

如何理解Netfilter中的连接跟踪机制？     本篇我打算以一个问句开头，因为在知识探索的道路上只有多问然后充分调动起思考的机器才能让自己走得更远。连接跟踪定义很简单：用来记录和跟踪连接的状态。 问：为什么又需要连接跟踪功能呢？ 答：因为它是状态防火墙和NAT的实现基础。 OK，算是明白了。Neftiler为了实现基于数据连接状态侦测的状态防火墙功能和NAT地址转换功能才开发出了连接跟踪这套机制。那就意思是说：如果编译内核时开启了连接跟踪选项，那么Linux系统就会为它收到的每个数据包维持一个连接状态用于记录这条数据连接的状态。接下来......【阅读全文】

发布时间：2012-12-20 14:32:56

今天我们讨论一下防火墙的数据包过滤模块iptable_filter的设计原理及其实现方式。     内核中将filter模块被组织成了一个独立的模块<net/ipv4/netfilter/iptable_filter.c>，每个这样独立的模块中都有个类似的init()初始化函数。编写完该函数后，用module_init()宏调用初始化函数；同样当模块被卸载时调用module_exit()宏将该模块卸载掉，该宏主要调用模块的“析构”函数。这当中就牵扯到内核ko模块的一些知识，但这并不妨碍我们理解。     ......【阅读全文】

发布时间：2012-12-20 14:32:48

作为ipchains的后继者，iptables具有更加优越的特性，良好的可扩展功能、更高的安全性以及更加紧凑、工整、规范的代码风格。     在2.6的内核中默认维护了三张表(其实是四张，还有一个名为raw的表很少被用到，这里不对其进行分析介绍了)：filter过滤表，nat地址转换表和mangle数据包修改表，每张表各司其职。我们对这三张表做一下简要说明：     1）、filter表     该表是整个过滤系统中真正起“过滤”作用的地方。所有对数据包的过......【阅读全文】

发布时间：2012-12-20 14:32:39

    Netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块(ip_tables)正是通过把自己所编写的一些钩子函数注册到Netfilter所监控的五个关键点(NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_LOCAL_OUT,NF_IP_POST_ROUTING)这种方式介入到对数据包的处理。这些钩子函数功能非常强大，按功能可分为四大类：连接跟踪、数据包的过滤、网络地址转换(NAT)和数据包的修改。它们之间的关系，以及和Netfilter、ip_tables难舍难分的缠绵可以用下图......【阅读全文】