第17章 netfilter框架内报文处理

Netfilter框架的设计与实现1.什么是NetfilerLinux 从2.4.X 开始，引入了Netfilter，代替了原来的ipchain，什么是Netfilter 呢？有人将它称为“Linux下一个优秀的防火墙工具”，这样讲，有一定的道理，但是却是很片面的。

Netfilter 更准确地讲是Linux 内核中，一个包过滤框架，默认地，它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能，因为它设计的开放性，任何有内核开发经验的开发人员，也可以很容易地利用它提供接口，在内核的数据链路层、网络层，实现自己的功能模块。

Netfilter的用户空间管理工具，是著名的iptables 工具套件。

Netfilter框架之所以能实现许多强大的功能，是因为它在内核若干网络转发的关键函数，设计了许多巧妙的钩子函数，比如数据转发，由两个主要函数A 和B函数实现，流程为A->B ，现在改变为A->钩子函数->B，就这么简单，在本章里，就让我们来看看Netfilter 框架的设计与实现。

2.从NF_HOOK 谈起在整个Netfilter中，NF_HOOK宏占有重要的作用，它定义在Netfilter.h中：CODE:/* This is gross, but inline doesn't cut it for avoiding the functioncall in fast path: gcc doesn't inline (needs value tracking?). --RR */#ifdef CONFIG_NETFILTER_DEBUG#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \ ({int __ret; \if ((__ret=nf_hook_slow(pf, hook, &(skb), indev, outdev, okfn, INT_MIN)) == 1) \__ret = (okfn)(skb); \__ret;})#define NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh) \ ({int __ret; \if ((__ret=nf_hook_slow(pf, hook, &(skb), indev, outdev, okfn, thresh)) == 1) \__ret = (okfn)(skb); \__ret;})#else#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \ ({int __ret; \if (list_empty(&nf_hooks[pf][hook]) || \ (__ret=nf_hook_slow(pf, hook, &(skb), indev, outdev, okfn, INT_MIN)) == 1) \__ret = (okfn)(skb); \__ret;})#define NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh) \ ({int __ret; \if (list_empty(&nf_hooks[pf][hook]) || \ (__ret=nf_hook_slow(pf, hook, &(skb), indev, outdev, okfn, thresh)) == 1) \__ret = (okfn)(skb); \__ret;})#endif一开始就摆出这么长一个宏出来，这个宏稍长了一点，缩短来看：CODE:#ifdef CONFIG_NETFILTER_DEBUG……#else……#endif我们暂且忽略用于调试作用的语句，把#else中NF_HOOK的定义提取出来：CODE:#define NF_HOOK(pf, hook, skb, indev, outdev,okfn) \({int __ret; \if (list_empty(&nf_hooks[pf][hook]) || \ (__ret=nf_hook_slow(pf, hook, &(skb), indev, outdev, okfn, INT_MIN)) == 1) \__ret = (okfn)(skb); \__ret;})首先来看这个宏里边的二维数组nf_hooks[pf][hook] ，其中pf对应协议簇，hook对应了某个hook点，比如ipv4 协议簇(PF_INET)下有一个钩子NF_IP_PRE_ROUTING(路由查找之前)，那么这个Hook点对应的这个二维数组中的元素就是nf_hooks[PF_INET][ NF_IP_PRE_ROUTING]。

Netfilter框架Netfilter是linux2.4内核实现数据包过滤/数据包处理/NAT等的功能框架。

该文讨论了linux 2.4内核的netfilter功能框架，还对基于netfilter 框架上的包过滤，NAT和数据包处理(packet mangling)进行了讨论。

阅读本文需要了解2.2内核中ipchains的原理和使用方法作为预备知识，若你没有这方面的知识，请阅读IPCHAINS-HOWTO。

第一部分：Netfilter基础和概念一、什么是NetfilterNetfilter比以前任何一版Linux内核的防火墙子系统都要完善强大。

Netfilter提供了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤子系统。

因此不要在2.4中期望讨论诸如"如何在2.4中架设一个防火墙或者伪装网关"这样的话题，这些只是Netfilter功能的一部分。

Netfilter框架包含以下三部分：1 为每种网络协议(IPv4、IPv6等)定义一套钩子函数（IPv4定义了5个钩子函数),这些钩子函数在数据报流过协议栈的几个关键点被调用。

在这几个点中，协议栈将把数据报及钩子函数标号作为参数调用netfilter框架。

2 内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接，这样当某个数据包被传递给netfilter框架时，内核能检测是否有任何模块对该协议和钩子函数进行了注册。

若注册了，则调用该模块的注册时使用的回调函数，这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示netfilter将该数据包传入用户空间的队列。

3 那些排队的数据包是被传递给用户空间的异步地进行处理。

一个用户进程能检查数据包，修改数据包，甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。

所有的包过滤/NAT等等都基于该框架。

内核网络代码中不再有到处都是的、混乱的修改数据包的代码了。

Linux内核之Netfilternetfilter框架Linux内核包含了一个强大的网络子系统，名为netfilter，它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务，如NAT、IP伪装等，也可以因高级路由或连接状态管理的需要而修改IP头信息。

netfilter位于Linux网络层和防火墙内核模块之间，如图9-1所示。

虽然防火墙模块构建在Linux内核，并且要对流经IP层的数据包进行处理，但它并没有改变IP协议栈的代码，而是通过netfilter模块将防火墙的功能引入IP层，从而实现防火墙代码和IP协议栈代码的完全分离。

netfilter模块的结构如图9-2所示。

对IPv4协议来说，netfilter在IP数据包处理流程的5个关键位置定义了5个钩子（hook）函数。

当数据包流经这些关键位置时，相应的钩子函数就被调用。

从图9-2中可以看到，数据包从左边进入IP协议栈，进行IP校验以后，数据包被第一个钩子函数PRE_ROUTING 处理，然后就进入路由模块，由其决定该数据包是转发出去还是送给本机。

若该数据包是送给本机的，则要经过钩子函数LOCAL_IN处理后传递给本机的上层协议；若该数据包应该被转发，则它将被钩子函数FORWARD处理，然后还要经钩子函数POST_ROUTING处理后才能传输到网络。

本机进程产生的数据包要先经过钩子函数LOCAL_OUT处理后，再进行路由选择处理，然后经过钩子函数POST_ROUTING处理后再发送到网络。

说明：内核模块可以将自己的函数注册到钩子函数中，每当有数据包经过该钩子点时，钩子函数就会按照优先级依次调用这些注册的函数，从而可以使其他内核模块参与对数据包的处理。

这些处理可以是包过滤、NAT以及用户自定义的一些功能.iptables防火墙内核模块netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。

Linux内核之Netfilternetfilter框架Linux内核包含了一个强大的网络子系统，名为netfilter，它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务，如NAT、IP伪装等，也可以因高级路由或连接状态管理的需要而修改IP头信息。

netfilter位于Linux网络层和防火墙内核模块之间，如图9-1所示。

虽然防火墙模块构建在Linux内核，并且要对流经IP层的数据包进行处理，但它并没有改变IP协议栈的代码，而是通过netfilter模块将防火墙的功能引入IP层，从而实现防火墙代码和IP协议栈代码的完全分离。

netfilter模块的结构如图9-2所示。

对IPv4协议来说，netfilter在IP数据包处理流程的5个关键位置定义了5个钩子（hook）函数。

当数据包流经这些关键位置时，相应的钩子函数就被调用。

从图9-2中可以看到，数据包从左边进入IP协议栈，进行IP校验以后，数据包被第一个钩子函数PRE_ROUTING 处理，然后就进入路由模块，由其决定该数据包是转发出去还是送给本机。

若该数据包是送给本机的，则要经过钩子函数LOCAL_IN处理后传递给本机的上层协议；若该数据包应该被转发，则它将被钩子函数FORWARD处理，然后还要经钩子函数POST_ROUTING处理后才能传输到网络。

本机进程产生的数据包要先经过钩子函数LOCAL_OUT处理后，再进行路由选择处理，然后经过钩子函数POST_ROUTING处理后再发送到网络。

说明：内核模块可以将自己的函数注册到钩子函数中，每当有数据包经过该钩子点时，钩子函数就会按照优先级依次调用这些注册的函数，从而可以使其他内核模块参与对数据包的处理。

这些处理可以是包过滤、NAT以及用户自定义的一些功能.iptables防火墙内核模块netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。

一、Netfilter/IPTables框架简介Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后，新一代的Linux防火墙。

Netfilter采用模块化设计，具有良好的可扩展性，其重要工具模块IPTables连接到Netfilter 的架构中，并允许使用者对数据报进行过滤、地址转换等处理操作。

Netfilter提供了一个框架，将对网络的直接干涉降到最低，并允许规定接口将其它包处理代码以模块的形式添加到内核中，具有极强的灵活性。

二、Netfilter总体架构Netfilter主要通过表、链实现规则，可以这么说，Netfilter是表的容器，表是链的容器，链是规则的容器，最终形成对数据报处理规则的实现。

Netfilter的通用框架不依赖于具体的协议，而是为每种网络协议定义一套HOOK函数，这些HOOK函数在数据报经过协议栈的几个关键点时被调用，这样这些模块就有机会检查、修改、丢弃该数据报及指示Netfilter将该数据报传入用户空间的队列。

Netfilter定义了五大HOOK，分别是：NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING.，每个HOOK对应一个操作链，分别是：PREROUTING 、INPUT 、FORWARD 、OUTPUT 、POSTROUTING。

数据报在进入系统，进行IP校验以后，首先经过第一个HOOK函数NF_IP_PRE_ROUTING时行处理;然后就进入路由代码，其决定该数据报需要转发还是发给本机;若数据报是发给本机，则该数据经过HOOK函数NF_IP_LOCAL_IN处理以后传递给上层协议; 若该数据报应该被转发则它被NF_IP_FORWARD处理;经过转发的数据报经过最后一个HOOK函数NF_IP_POST_ROUTING.处理以后，再传输到网络上。

netfilter编程Netfilter 是Linux 内核中的一个框架，用于实现包过滤和网络地址转换（NAT）等功能。

Netfilter 提供了一种在内核空间中拦截、修改和处理网络数据包的机制。

你可以通过使用Netfilter 提供的API 进行编程，实现自定义的网络包处理逻辑。

以下是一个简单的基于Netfilter 的例子，使用C 语言编写：1. 编写Netfilter 模块：```c#include <linux/kernel.h>#include <linux/module.h>#include <linux/netfilter.h>#include <linux/netfilter_ipv4.h>#include <linux/ip.h>static struct nf_hook_ops nfho;// Netfilter 处理函数static unsigned int my_hook_function(void *priv, struct sk_buff *skb, const struct nf_hook_state *state) {struct iphdr *ip_header;// 获取IP 头ip_header = ip_hdr(skb);// 在此处添加你的自定义逻辑，例如修改IP 地址、丢弃包等// 打印原始IP 地址pr_info("Original Source IP: %pI4\n", &ip_header->saddr);return NF_ACCEPT; // 允许数据包通过}// 模块初始化函数static int __init my_netfilter_init(void) {pr_info("My Netfilter Module Loaded\n");// 初始化Netfilter 钩子nfho.hook = my_hook_function;nfho.pf = PF_INET;nfho.hooknum = NF_INET_PRE_ROUTING;nfho.priority = NF_IP_PRI_FIRST;nf_register_hook(&nfho);return 0;}// 模块退出函数static void __exit my_netfilter_exit(void) {pr_info("My Netfilter Module Unloaded\n");// 注销Netfilter 钩子nf_unregister_hook(&nfho);}module_init(my_netfilter_init);module_exit(my_netfilter_exit);MODULE_LICENSE("GPL");MODULE_AUTHOR("Your Name");MODULE_DESCRIPTION("Netfilter Module");```在这个例子中，我们创建了一个简单的Netfilter 模块，它注册了一个钩子函数`my_hook_function`，用于处理IPv4 数据包。

netfilter 机制netfilter 是Linux 操作系统中用于实现网络数据包过滤和修改的核心机制。

本文将介绍netfilter 机制的基本原理和功能，以及它在网络安全和网络管理中的应用。

netfilter 是Linux 内核中的一个网络数据包处理框架，它允许用户空间程序通过注册钩子函数来拦截、过滤和修改网络数据包。

netfilter 的核心组件是iptables，它是一个用户空间的命令行工具，用于配置netfilter 规则。

iptables 可以根据网络数据包的源IP地址、目标IP地址、协议类型、端口等信息来过滤和处理数据包。

netfilter 的工作原理是将网络数据包交给注册的钩子函数进行处理。

钩子函数根据预先设定的规则来判断数据包的命运，可以选择将数据包丢弃、修改数据包的目标地址或端口，或者将数据包传递给下一个钩子函数。

钩子函数的执行顺序由netfilter 链决定，每个链都包含多个钩子函数，钩子函数按照预定的顺序执行。

netfilter 提供了多个预定义的链，包括INPUT、FORWARD 和OUTPUT 等链。

INPUT 链用于处理目标地址是本机的数据包，FORWARD 链用于处理转发的数据包，OUTPUT 链用于处理源地址是本机的数据包。

用户可以在这些链上注册自定义的钩子函数，实现特定的数据包处理逻辑。

netfilter 还支持使用扩展模块来增加更多的功能。

扩展模块可以提供额外的匹配条件和动作，使用户能够更灵活地配置netfilter 规则。

常用的扩展模块包括 conntrack、nat 和 mangle 等。

netfilter 在网络安全中扮演着重要的角色。

通过配置适当的规则，可以实现防火墙功能，对不符合规则的数据包进行过滤，从而保护网络安全。

例如，可以配置规则来禁止特定的IP地址访问某个端口，或者限制某个服务的连接数。

netfilter 还可以用于网络管理。

通过配置规则，可以实现网络地址转换（NAT）功能，将内部网络的私有IP地址映射为公共IP地址，从而实现内网和外网的通信。

netfilter架构分析Netfilter 架构分析--基于Linux 3.2.0一、全局图在文件net/netfilter/core.c中定义了一全局变量nf_hooks，用于记录钩子点。

nf_hooks第一维代表协议数，第二维代表钩子数。

struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS]__read_mostly;二、钩子函数(hook)与过滤规则表(xt_table)前面已经提到，钩子函数与过滤规则的管理是通过全局变量nf_hooks来实现的，那么，什么时候会调用钩子函数呢？钩子函数又是如何利用已经注册好的过滤规则的呢？在Linux内核中定义了网络数据包的流动方向，数据包被网卡捕获后，它在内核网络子系统里的传输路径是：pre-routing→route(in or forward)→(out)→post-routing。

在netfilter上注册的钩子函数如下所示(这些钩子函数按它们被调用的顺序排列)：--->PRE------>[ROUTE]--->FWD---------->POST------>Conntrack | Mangle ^ MangleMangle | Filter | NAT (Src)NAT (Dst) | | Conntrack(QDisc) | [ROUTE]v |IN Filter OUT Conntrack| Conntrack ^ Mangle| Mangle | NAT (Dst)v | Filter共有五个位置设置了钩子点，PRE、IN、FWD、OUT、POST。

钩子函数被注册到相应位置之后，它们就会那里等待数据包的到来，在接收数据包的地方，钩子函数被调用，数据包先由钩子函数捕获，进行处理，然后再转发或者丢弃。

钩子函数的声明：include/linux/netfilter.htypedef unsigned int nf_hookfn(unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *));从上面已经知道了过滤规则的使用是由钩子函数来实现的，那么，什么时候、在什三、规则的管理一条规则由三个结构体管理：i pt_entry、ipt_entry_match(其中的xt_match)、ipt_entry_target(其中的xt_target)。

Netfilter介绍一、概述Netfilter是2.4.x内核引入的，提供了对2.0.x内核中的ipfw以及2.2.x内核中的ipchains的兼容和改进，工作在内核空间中，通常结合ip_table内核模块一起使用以构造linux下的防火墙。

Linux 内核中，netfilter是一个包过滤框架，默认地，它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能，因为它设计的开放性，任何有内核开发经验的开发人员，也可以很容易地利用它提供接口，在内核的数据链路层、网络层，实现自己的功能模块。

Netfilter的整体思想为：嵌入到内核IP协议栈的一系列调用入口，通过挂钩，将钩子函数设置在报文处理的路径上，以达到控制数据包流通的作用，这些路径可以分为三类：流入的、流经的和流出的，具体为PRE-ROUTING,INPUT,FORWARD,OUT,POST-ROUTING。

二、关键词1、挂接点Netfilter主要在数据包流通的5个点进行挂钩，分别为：NF_IP_PRE_ROUTING，在报文作路由以前执行；NF_IP_FORWARD，在报文转向另一个NIC以前执行；NF_IP_POST_ROUTING，在报文流出以前执行；NF_IP_LOCAL_IN，在流入本地的报文作路由以后执行；NF_IP_LOCAL_OUT，在本地报文做流出路由前执行。

如图所示：Netfilter定义了一个二维的链表头数组struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]来表示所有协议族的各个挂接点，NPROTO值为32，可表示linux所支持所有32个协议族，每个协议族有NF_MAX_HOOKS（8）个挂接点，但实际只用了如上所述的5个，数组中每个元素表示一个协议族在一个挂接点的处理链表头。

Note：因此，可以把IP包转发操作挂接到数据流通的第一个点NF_IP_PRE_ROUTING上2、挂接处理数组nf_hooks[NPROTO][NF_MAX_HOOKS]分别指向相应的挂接处理结构链表，通过定义特定的钩子函数并挂接，可以达到对到达某个挂接点的数据包进行自定义处理的目的。

Netfilter 分析一概述1 Netfilter/IPTables框架简介Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后，新一代的Linux防火墙机制。

Netfilter采用模块化设计，具有良好的可扩充性。

其重要工具模块IPTables连接到Netfilter 的架构中，并允许使用者对数据报进行过滤、地址转换、处理等操作。

本文简要介绍Netfilter在linux kernel中的IPv4协议栈中的实现。

Netfilter 主文件：net/core/netfilter.c 头文件include/linux/netfilter.hIPv4协议栈中与数据包传送相关的部分：ip_input.c ip_forward.c ip_output.c ip_fragment.c等二Netfilter/IPTables - IPv4总体架构Netfilter是表的容器，表是链的容器，链是规则的容器，最终形成对数据报处理规则的实现。

IPv4协议栈为了实现对netfilter架构的支持，在IP包的游历路线之中，仔细选择了五个参考点。

这五个参考点被分别命名为PREROUTING，LOCAL-IN，FORWARD，LOCAL-OUT 和POSTROUTING(定义在文件include/linux/netfilter_ipv4.h)。

在这五个参考点上各引入了一行对NF_HOOK() 宏函数（定义在include/linux/netfilter.h里面）的一个相应的调用。

#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \(list_empty(&nf_hooks[(pf)][(hook)]) \? (okfn)(skb) \: nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn)))宏NF_HOOK实现对HOOK的调用。

netfilter 编程Netfilter是Linux内核中一个非常重要的子系统，主要用于网络数据包的过滤、修改和重定向。

通过Netfilter，可以方便地实现Linux上的防火墙、NAT、数据包的负载均衡和网络流量控制等功能。

Netfilter的核心是一个称为iptables的用户空间命令行工具。

Iptables可以配置过滤规则，用于控制进出系统的数据包。

它可以对TCP、UDP、ICMP和其他协议的数据包进行过滤，对数据包进行丢弃、允许通过、修改、重定向等各种控制操作。

Iptables提供了一组标准和扩展的匹配条件，用于匹配数据包中的不同字段信息。

例如，可以根据源地址、目的地址、端口号、协议类型、数据包长度、TCP数据包标志位等条件来进行匹配。

Netfilter使用链（chain）来组织数据包过滤的流程，每个链包含多个规则（rule），用于匹配数据包并进行处理操作。

Netfilter有五种标准链，分别是INPUT、FORWARD、OUTPUT、PREROUTING和POSTROUTING。

它们分别用于对系统接受的数据包、转发的数据包、由系统发出的数据包、路由前的数据包和路由后的数据包进行过滤。

用户可以创建自己的自定义链，并将其插入到标准链中，以满足特定的数据包过滤需求。

Netfilter的处理过程分为三个阶段：匹配阶段、处理阶段和决策阶段。

匹配阶段根据规则和匹配条件判断数据包是否符合要求；处理阶段对符合条件的数据包进行修改或重定向等操作；决策阶段根据处理结果决定是否允许数据包通过。

Netfilter的编程接口是由内核提供的，它允许用户通过编写内核模块来扩展Netfilter自定义功能。

在模块加载时，可以注册一个或多个Netfilter钩子函数，用于拦截各个阶段的处理过程，并进行用户定义的操作。

钩子函数的参数包括数据包、匹配规则、钩子点等信息，可以通过这些信息来实现各种自定义功能，例如数据包过滤、修改、重定向等操作。

Netfilter详解Netfilter 详解 (2011-10-30 14:23)标签: Netfilter 内核数据包 Linux hook 分类：linux_kernel 目录1 - 简介1.1 - 本文涉及的内容1.2 - 本文不涉及的内容2 - 各种Netfilter hook及其用法2.1 - Linux内核对数据包的处理2.2 - Netfilter对IPv4的hook3 - 注册和注销Netfilter hook4 - Netfilter 基本的数据报过滤技术[1]4.1 - 深入hook函数4.2 - 基于接口进行过滤4.3 - 基于地址进行过滤4.4 - 基于TCP端口进行过滤5 - Netfilter hook的其它可能用法5.1 - 隐藏后门的守护进程5.2 - 基于内核的FTP密码嗅探器5.2.1 - 源代码 : nfsniff.c5.2.2 - 源代码 : getpass.c6 - 在Libpcap中隐藏网络通信6.1 - SOCK_PACKET、SOCK_RAW与Libpcap6.2 - 给狼披上羊皮7 - 结束语A - 轻量级防火墙A.1 - 概述A.2 - 源代码 : lwfw.cA.3 - 头文件 : lwfw.hB - 第6节中的源代码--[ 1 - 简介本文将向你展示，Linux的网络堆栈的一些怪异行为（并不一定是弱点）如何被用于邪恶的或者是其它形形色色的目的。

在这里将要讨论的是将表面上看起来合法的Netfilter hook用于后门的通信，以及一种使特定的网络通信在运行于本机的基于Libpcap的嗅探器中消声匿迹的技术。

Netfilter是Linux 2.4内核的一个子系统，Netfiler使得诸如数据包过滤、网络地址转换(NAT)以及网络连接跟踪等技巧成为可能，这些功能仅通过使用内核网络代码提供的各式各样的hook既可以完成。

这些hook位于内核代码中，要么是静态链接的，要么是以动态加载的模块的形式存在。

Netfilter框架目录1网络通信1.1网络通信的基本模型1.2协议栈底层机制2 Netfilter2.1Netfilter介绍2.2钩子函数返回值2.3 hook点2.4 协议栈切入Netfilter框架3 Netfilter的实现方式3.1 nf_hooks[][]结构3.2 nf_hook_ops3.3 增加新的钩子函数3.4 基于源接口的数据包过滤钩子函数4 iptables防火墙内核模块4.1 iptables4.2 Netfilter框架防火墙iptables hook函数分类4.3 iptables基础4.4 iptables命令格式5连接跟踪机制5.1.重要数据结构5.2重要函数5.3链接跟踪建立的三条路径5.4 IP层接收和发送数据包进入连接跟踪钩子函数的入口5.5连接跟踪的流程分析1网络通信1.1网络通信的基本模型在数据的发送过程中，从上至下依次是“加头”的过程，每到达一层数据就被会加上该层的头部；与此同时，接受数据方就是个“剥头”的过程，从网卡收上包来之后，在往协议栈的上层传递过程中依次剥去每层的头部，最终到达用户那儿的就是裸数据了。

1.2协议栈底层机制“栈”模式底层机制基本就是像下面这个样子：对于收到的每个数据包，都从“A”点进来，经过路由判决，如果是发送给本机的就经过“B”点，然后往协议栈的上层继续传递；否则，如果该数据包的目的地是不本机，那么就经过“C”点，然后顺着“E”点将该包转发出去。

对于发送的每个数据包，首先也有一个路由判决，以确定该包是从哪个接口出去，然后经过“D”点，最后也是顺着“E”点将该包发送出去。

协议栈五个关键点A，B，C，D和E就是我们Netfilter大展拳脚的地方了。

2 Netfilter2.1 Netfilter介绍Netfilter是Linux 2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。

文章编号:1005-3751(2002)02-0022-04 Linux的N etf ilter功能框架N etf ilter Function Frame of Linux厉海燕,李新明(装备指挥技术学院,北京怀柔101416)L I Hai2yan,L I Xin2ming(Inst.of Equipment Command and Technology,Huairou Bejing101416,China)摘　要:Netfilter是Linux2.4内核实现数据包过滤、数据包处理、NAT等的功能框架。

文章通过和ipchains进行比较分析了netfilter功能框架,并介绍了其配置工具iptable的用法。

关键词:Linux;Netfilter;防火墙;数据包ABSTRACT:Netfilter is a function frame for Linux2.4kernel to realize netfilter、packet mangling and NAT etc.This paper ana2 lyzes netfilter function frame conpared with ipchains and de2 scribes the usage of it’s configuration tool-iptable. KEYWOR DS:Linux;Netfilter;Firewall;Datagram中图分类号:TP312;TP393.08 文献标识码:A1　前　言在ipchains防火墙的使用过程中,人们越来越觉得它的使用方法应该简单些,核心代码中数据包的处理过程应该进行简化。

因此,一个既简洁又灵活的框架产生了,它就是netfilter。

netfilter是Linux2.4内核实现数据包过滤、数据包处理、NA T等的功能框架,它比以前任何一版Linux内核的防火墙子系统都要完善强大,它提供了一个抽象、通用化的框架。