Netfilter简介

最新推荐文章于 2026-05-05 08:03:29 发布
原创 最新推荐文章于 2026-05-05 08:03:29 发布 · 2.5k 阅读 · 10
标签
#linux #netfilter
本文围绕Linux内核中的Netfilter防火墙系统展开,介绍其是集成到内核协议栈的防火墙框架,各协议可基于此实现防火墙功能。阐述了内核中的防火墙子模块、数据包含关系,重点讲解IPv4模块防火墙的功能、拦截点、处理流程,以及iptables的表、匹配规则和执行动作等。

一、Netfilter简介
前言
研究Netfilte已经有一段时间了,Netfilter的内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。

本系列博文采用的linux内核版本是2.6.32。

Natfilter 是集成到linux内核协议栈中的一套防火墙系统,用户可通过运行在用户空间的工具来把相关配置下发给Netfilter 。

Netfilter 提供了整个防火墙的框架,各个协议基于Netfilter 框架来自己实现自己的防火墙功能。每个协议都有自己独立的表来存储自己的配置信息,他们之间完全独立的进行配置和运行。
一、在内核中包括的防火墙子模块

1、链路层的防火墙模块,对应协议栈是在软桥(bridge)中对报文进行处理。对应用户空间的配置工具是ebtables。

2、网络层中ipv4的防火墙模块,对应协议栈是在Ipv4协议栈中对报文进行处理,对应用户空间的配置工具是iptables

3、网络层中ipv6的防火墙模块,对应协议栈是在Ipv6协议栈中对报文进行处理,对应用户空间的配置工具是ip6tables

4、对ARP处理的防火墙模块,该处理是在协议栈的IPv4部分,但是自己有独立的表来存放自己的配置,对应用户空间的配置工具是arptables。

二、数据的包含关系:
上图说明了各个数据的包含关系。在这里插入图片描述上图说明了各个数据的包含关系。

1、Netfilter 中有包含一些表(table),不同的表用来存储不同功能的配置信息。
2、每个table 里有多个chain,chain表示对报文的拦截处理点。
3、每个chain 包含一些用户配置的rule,一条rule包含了一个或多个匹配规则(match)和一个执行动作(target)。如果报文符合匹配规则后,需要根据该执行动作(target)来处理报文。

最低0.47元/天 解锁文章
大白话netfilter
热门推荐
yanchendage的博客
03-16 1万+
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filter,filter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
深入理解Netfilter
weixin_36184908的博客
05-24 1745
NetfilterLinux内核中的一个框架,用于进行网络数据包的过滤和操作。它提供了强大的网络数据包处理功能,使系统管理员能够在Linux系统上实施高级的网络安全策略,包括防火墙、网络地址转换(NAT)、流量控制等。Netfilter的核心是一个包过滤器,它可以在数据包通过网络协议栈的不同阶段进行处理。当数据包经过网络协议栈时,Netfilter可以检查、修改或丢弃这些数据包,从而允许管理员根据自己的需求对网络流量进行控制和管理。
YOLOv5模型改造实战:手把手教你集成ECA注意力模块(附完整代码与避坑指南)
最新发布
weixin_30631587的博客
05-05 247
本文详细介绍了如何在YOLOv5模型中集成ECA注意力模块,通过实战步骤和完整代码,帮助开发者提升目标检测精度。文章涵盖ECA模块的核心优势、环境配置、代码修改、配置文件调整及性能对比,特别提供了避坑指南和进阶优化技巧,适合深度学习工程师和研究者参考。
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2494
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
Linux: Netfilter 简介
JiMoKuangXiangQu的专栏
04-28 2773
Linux,网络,Netfilter
netfilter简介
newand
12-03 1663
1. netfilter简介 netfilter是在Linux内核中一组钩子,这些钩子允许在网络协议栈中使用内核模块来注册回调函数,可以处理协议栈中经过钩子的每一个报文。因此我们可以利用它来实现很多功能,如过滤报文,修改报文等。 和netfilter常常出现在一起的还有iptable,它是在netfilter基础上在Linux内核中内置的防火墙架构,它工作在用户空间,根据我们配置的规则集工作,
LinuxNetfilter简介
血饮渊虹的博客
10-27 3647
1、什么是Netfilter NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 iptables是Linux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配...
netfilter/iptables 简介
星愿心愿的专栏
05-06 676
<br />netfilter/iptables 简介:<br /> <br />http://blogold.chinaunix.net/u/3188/showart_10237.html
netfilter/iptables简介
weixin_44260459的博客
11-22 385
netfilter和iptables是什么关系?常说的iptables里面的表(table)、链(chain)、规则(rule)都是什么东西?本篇将带着这些疑问介绍netfilter/iptables的结构和相关概念,帮助有需要的同学更好的理解netfilter/iptables,为进一步学习使用iptables做准备。 什么是netfilter和iptables 用通俗点的话来讲: netfilter指整个项目,不然官网就不会叫www.netfilter.org了。 在这个项目里面,n
netfilter简介及流程图
maimang1001的专栏
12-20 491
NetfilterLinux 内核中用于网络包过滤和操作的框架,由 Rusty Russell 于1998年创立,旨在改进旧的 ipchains 和 ipfwadm 实现。它采用模块化设计,具有良好可扩展性,并在2000年3月合并进Linux 2.3.x内核版本。
linux-内核:netfilter框架
赵凯月的博客
06-23 2386
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1336
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
netfilter框架及基本原理介绍
m0_74282605的博客
01-11 1756
IN钩子,即所有Director内核内的数据包路由规则都必须将数据包发送到LOCAL_ IN钩子, 在你建立Director时这很容易实现,因为所有抵达Director的集群服务数据包都有-一个虚拟ip地址(VIP) 作为目标地址,VIP实际上是属于Director的一- 个ip别名或从属ip地址,因为VIP是Director所有的- -个本地ip地址,Director 内核中的路由表将总是在内部传递数据包,因此Director接收到的目标地址为VIP的数据包总会命中LOCAL _IN钩子。
Netfilter和iptables命令详解,从入门到精通
meihualing的专栏
05-09 3645
iptables命令详解
Linux Netfilter介绍
weixin_42915431的博客
12-31 7790
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
Linux NetFilter/iptables 简介
剑气书香
06-30 751
NetFilter/Iptables Linux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值