91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Linux防火墻框架的示例分析

發布時間:2021-10-14 16:39:38 來源:億速云 閱讀:127 作者:小新 欄目:系統運維

這篇文章將為大家詳細講解有關Linux防火墻框架的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

Linux系統中的Netfilter提供了一個抽象、通用化的框架,該框架定義的一個子功能的實現就是包過濾子系統,框架包含以下五部分:1. 為每種網絡協議(IPv4、IPv6等)定義一套鉤子函數(IPv4定義了5個鉤子函數), 這些鉤子函數在數據報流過協議棧的幾個關鍵點被調用。在這幾個點中,協議棧將把數據報及鉤子函數標號作為參數調用Netfilter框架。
  2. 內核的任何模塊可以對每種協議的一個或多個鉤子進行注冊,實現掛接,這樣當某個數據包被傳遞給Netfilter框架時,內核能檢測是否有任何模塊對該協議和鉤子函數進行了注冊。若注冊了,則調用該模塊的注冊時使用的回調函數,這樣這些模塊就有機會檢查(可能還會修改)該數據包、丟棄該數據包及指示Netfilter將該數據包傳入用戶空間的隊列。
  3 .那些排隊的數據包是被傳遞給用戶空間的異步地進行處理。一個用戶進程能檢查數據包,修改數據包,甚至可以重新將該數據包通過離開內核的同一個鉤子函數中注入到內核中。

       4. 任何在IP層要被拋棄的IP數據包在真正拋棄之前都要進行檢查。例如允許模塊檢查IP-Spoofed包(被路由拋棄)。
  5.IP層的五個HOOK點的位置如下所示:(1)NF_IP_PRE_ROUTING:剛剛進入網絡層的數據包通過此點(剛剛進行完版本號,校驗 和等檢測),源地址轉換在此點進行;IP_Input.c中IP_Rcv調用;(2)NF_IP_LOCAL_IN:經路由查找后,送往本機的通過此檢查點,INPUT包過濾在此點進行,IP_local_deliver中調用;(3)NF_IP_FORWARD:要轉發的包通過此檢測點,FORWORD包過濾在此點進行; (4)NF_IP_POST_ROUTING:所有馬上便要通過網絡設備出去的包通過此檢測點,內置的目的地址轉換功能(包括地址偽裝)在此點進行;(5)NF_IP_LOCAL_OUT:本機進程發出的包通過此檢測點,OUTPUT包過濾在此點進行。
  這些點是已經在內核中定義好的,內核模塊能夠注冊在這些HOOK點進行的處理,可使用nf_register_hook函數指定。在數據報經過這些鉤子函數時被調用,從而模塊可以修改這些數據報,并向Netfilter返回如下值:
  NF_ACCEPT 繼續正常傳輸數據報
  NF_DROP 丟棄該數據報,不再傳輸
  NF_STOLEN 模塊接管該數據報,不要繼續傳輸該數據報
  NF_QUEUE 對該數據報進行排隊(通常用于將數據報給用戶空間的進程進行處理)
  NF_REPEAT 再次調用該鉤子函數
  一個基于Netfilter框架的、稱為IPtables的數據報選擇系統在Linux2.4內核中被應用,其實它就是IPchains的后繼工具,但卻有更強的可擴展性。內核模塊可以注冊一個新的規則表(table),并要求數據報流經指定的規則表。這種數據報選擇用于實現數據報過濾(filter表),網絡地址轉換(Nat表)及數據報處理(Mangle表)。 Linux2.4內核提供的這三種數據報處理功能都基于Netfilter的鉤子函數和IP表。它們是獨立的模塊,相互之間是獨立的。它們都完美的集成到由Netfileter提供的框架中。
  包過濾
  Filter表格不會對數據報進行修改,而只對數據報進行過濾。IPtables優于IPchains的一個方面就是它更為小巧和快速。它是通過鉤子函數NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此對于任何一個數 報只有一個地方對其進行過濾。這相對IPchains來說是一個巨大的改進,因為在IPchains中一個被轉發的數據報會遍歷三條鏈。
  NAT
  NAT表格監聽三個Netfilter鉤子函數:NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING實現對需要轉發的數據報的源地址進行地址轉換而NF_IP_POST_ROUTING則對需要轉發的數據包的目的地址進行地址轉換。對于本地數據報的目的地址的轉換則由NF_IP_LOCAL_OUT來實現。NAT表格不同于filter表格,因為只有新連接的第一個數據報將遍歷表格,而隨后的數據報將根據第一個數據報的結果進行同樣的轉換處理。NAT表格被用在源NAT、目的NAT,偽裝(其是源NAT的一個特例)及透明代理(其是目的NAT的一個特例)。
  數據報處理(Packet Mangling)
  Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用 mangle表,可以實現對數據報的修改或給數據報附上一些帶外數據。當前mangle表支持修改TOS位及設置skb的nfmard字段。
  如果我們想加入自己的代碼,便要用nf_register_hook函數。我們的工作便是生成一個struct nf_hook_ops結構的實例,并用nf_register_hook將其HOOK上。其中list項我們總要初始化為{NULL,NULL};由于一般在IP層工作,pf總是PF_INET;hooknum就是我們選擇的HOOK點;一個HOOK點可能掛多個處理函數,誰先誰后,便要看優先級,即priority的指定了。Netfilter_IPv4.h中用一個枚舉類型指定了內置的處理函數的優先級

關于“Linux防火墻框架的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

临桂县| 莫力| 新沂市| 疏勒县| 马龙县| 都昌县| 周宁县| 黑山县| 犍为县| 横山县| 松阳县| 若尔盖县| 赤峰市| 营口市| 县级市| 西乌珠穆沁旗| 克拉玛依市| 海城市| 海兴县| 崇义县| 许昌县| 东山县| 宿州市| 嘉荫县| 黔南| 富平县| 新化县| 星子县| 北票市| 碌曲县| 东源县| 五大连池市| 嫩江县| 铜梁县| 邯郸市| 平罗县| 萝北县| 炉霍县| 澎湖县| 浑源县| 婺源县|