亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當(dāng)前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

從五方面解析Linux防火墻框架

添加時間:2010-11-21  添加: admin 
Linux系統(tǒng)中的Netfilter提供了一個抽象、通用化的框架,該框架定義的一個子功能的實現(xiàn)就是包過濾子系統(tǒng),框架包含以下五部分:

  1. 為每種網(wǎng)絡(luò)協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)(IPv4定義了5個鉤子函數(shù)), 這些鉤子函數(shù)在數(shù)據(jù)報流過協(xié)議棧的幾個關(guān)鍵點被調(diào)用。在這幾個點中,協(xié)議棧將把數(shù)據(jù)報及鉤子函數(shù)標(biāo)號作為參數(shù)調(diào)用Netfilter框架。

  2. 內(nèi)核的任何模塊可以對每種協(xié)議的一個或多個鉤子進(jìn)行注冊,實現(xiàn)掛接,這樣當(dāng)某個數(shù)據(jù)包被傳遞給Netfilter框架時,內(nèi)核能檢測是否有任何模塊對該協(xié)議和鉤子函數(shù)進(jìn)行了注冊。若注冊了,則調(diào)用該模塊的注冊時使用的回調(diào)函數(shù),這樣這些模塊就有機(jī)會檢查(可能還會修改)該數(shù)據(jù)包、丟棄該數(shù)據(jù)包及指示 Netfilter將該數(shù)據(jù)包傳入用戶空間的隊列。

  3 .那些排隊的數(shù)據(jù)包是被傳遞給用戶空間的異步地進(jìn)行處理。一個用戶進(jìn)程能檢查數(shù)據(jù)包,修改數(shù)據(jù)包,甚至可以重新將該數(shù)據(jù)包通過離開內(nèi)核的同一個鉤子函數(shù)中注入到內(nèi)核中。

  4. 任何在IP層要被拋棄的IP數(shù)據(jù)包在真正拋棄之前都要進(jìn)行檢查。例如允許模塊檢查IP-Spoofed包(被路由拋棄)。

  5.IP層的五個HOOK點的位置如下所示:(1)NF_IP_PRE_ROUTING:剛剛進(jìn)入網(wǎng)絡(luò)層的數(shù)據(jù)包通過此點(剛剛進(jìn)行完版本號,校驗和等檢測),源地址轉(zhuǎn)換在此點進(jìn)行;IP_Input.c中IP_Rcv調(diào)用;(2)NF_IP_LOCAL_IN:經(jīng)路由查找后,送往本機(jī)的通過此檢查點,INPUT包過濾在此點進(jìn)行,IP_local_deliver中調(diào)用;(3)NF_IP_FORWARD:要轉(zhuǎn)發(fā)的包通過此檢測點,F(xiàn)ORWORD 包過濾在此點進(jìn)行; (4)NF_IP_POST_ROUTING:所有馬上便要通過網(wǎng)絡(luò)設(shè)備出去的包通過此檢測點,內(nèi)置的目的地址轉(zhuǎn)換功能(包括地址偽裝)在此點進(jìn)行; (5)NF_IP_LOCAL_OUT:本機(jī)進(jìn)程發(fā)出的包通過此檢測點,OUTPUT包過濾在此點進(jìn)行。

  這些點是已經(jīng)在內(nèi)核中定義好的,內(nèi)核模塊能夠注冊在這些HOOK點進(jìn)行的處理,可使用nf_register_hook函數(shù)指定。在數(shù)據(jù)報經(jīng)過這些鉤子函數(shù)時被調(diào)用,從而模塊可以修改這些數(shù)據(jù)報,并向Netfilter返回如下值:

  NF_ACCEPT 繼續(xù)正常傳輸數(shù)據(jù)報

  NF_DROP 丟棄該數(shù)據(jù)報,不再傳輸

  NF_STOLEN 模塊接管該數(shù)據(jù)報,不要繼續(xù)傳輸該數(shù)據(jù)報

  NF_QUEUE 對該數(shù)據(jù)報進(jìn)行排隊(通常用于將數(shù)據(jù)報給用戶空間的進(jìn)程進(jìn)行處理)

  NF_REPEAT 再次調(diào)用該鉤子函數(shù)

  一個基于Netfilter框架的、稱為IPtables的數(shù)據(jù)報選擇系統(tǒng)在Linux2.4內(nèi)核中被應(yīng)用,其實它就是IPchains的后繼工具,但卻有更強(qiáng)的可擴(kuò)展性。內(nèi)核模塊可以注冊一個新的規(guī)則表(table),并要求數(shù)據(jù)報流經(jīng)指定的規(guī)則表。這種數(shù)據(jù)報選擇用于實現(xiàn)數(shù)據(jù)報過濾 (filter表),網(wǎng)絡(luò)地址轉(zhuǎn)換(Nat表)及數(shù)據(jù)報處理(Mangle表)。 Linux2.4內(nèi)核提供的這三種數(shù)據(jù)報處理功能都基于Netfilter的鉤子函數(shù)和IP表。它們是獨立的模塊,相互之間是獨立的。它們都完美的集成到由Netfileter提供的框架中。

  包過濾

  Filter表格不會對數(shù)據(jù)報進(jìn)行修改,而只對數(shù)據(jù)報進(jìn)行過濾。IPtables優(yōu)于IPchains的一個方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此對于任何一個數(shù)報只有一個地方對其進(jìn)行過濾。這相對IPchains來說是一個巨大的改進(jìn),因為在IPchains中一個被轉(zhuǎn)發(fā)的數(shù)據(jù)報會遍歷三條鏈。

  NAT

  NAT表格監(jiān)聽三個Netfilter鉤子函數(shù):NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及 NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING實現(xiàn)對需要轉(zhuǎn)發(fā)的數(shù)據(jù)報的源地址進(jìn)行地址轉(zhuǎn)換而NF_IP_POST_ROUTING則對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進(jìn)行地址轉(zhuǎn)換。對于本地數(shù)據(jù)報的目的地址的轉(zhuǎn)換則由NF_IP_LOCAL_OUT來實現(xiàn)。NAT表格不同于filter表格,因為只有新連接的第一個數(shù)據(jù)報將遍歷表格,而隨后的數(shù)據(jù)報將根據(jù)第一個數(shù)據(jù)報的結(jié)果進(jìn)行同樣的轉(zhuǎn)換處理。NAT表格被用在源NAT、目的NAT,偽裝(其是源NAT的一個特例)及透明代理(其是目的NAT的一個特例)。

  數(shù)據(jù)報處理(Packet Mangling)

  Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進(jìn)行注冊。使用 mangle表,可以實現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些帶外數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段。

  如果我們想加入自己的代碼,便要用nf_register_hook函數(shù)。我們的工作便是生成一個struct nf_hook_ops結(jié)構(gòu)的實例,并用nf_register_hook將其HOOK上。其中l(wèi)ist項我們總要初始化為;由于一般在IP層工作,pf總是PF_INET;hooknum就是我們選擇的HOOK點;一個HOOK點可能掛多個處理函數(shù),誰先誰后,便要看優(yōu)先級,即 priority的指定了。Netfilter_IPv4.h中用一個枚舉類型指定了內(nèi)置的處理函數(shù)的優(yōu)先級。

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機(jī)打開網(wǎng)站