1. 為每種網(wǎng)絡協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)（IPv4定義了5個鉤子函數(shù)）, 這些鉤子函數(shù)在數(shù)據(jù)報流過協(xié)議棧的幾個關(guān)鍵點被調(diào)用。在這幾個點中，協(xié)議棧將把數(shù)據(jù)報及鉤子函數(shù)標號作為參數(shù)調(diào)用netfilter框架。

　　2. 內(nèi)核的任何模塊可以對每種協(xié)議的一個或多個鉤子進行注冊，實現(xiàn)掛接，這樣當某個數(shù)據(jù)包被傳遞給netfilter框架時，內(nèi)核能檢測是否有任何模塊對該協(xié)議和鉤子函數(shù)進行了注冊。若注冊了，則調(diào)用該模塊的注冊時使用的回調(diào)函數(shù)，這樣這些模塊就有機會檢查(可能還會修改)該數(shù)據(jù)包、丟棄該數(shù)據(jù)包及指示netfilter將該數(shù)據(jù)包傳入用戶空間的隊列。

　　3 .那些排隊的數(shù)據(jù)包是被傳遞給用戶空間的異步地進行處理。一個用戶進程能檢查數(shù)據(jù)包，修改數(shù)據(jù)包，甚至可以重新將該數(shù)據(jù)包通過離開內(nèi)核的同一個鉤子函數(shù)中注入到內(nèi)核中。

　　4. 任何在ip層要被拋棄的ip數(shù)據(jù)包在真正拋棄之前都要進行檢查。例如允許模塊檢查ip-spoofed包（被路由拋棄）。

　　5.IP層的五個HOOK點的位置如下所示 :

　　1. NF_IP_PRE_ROUTING：剛剛進入網(wǎng)絡層的數(shù)據(jù)包通過此點（剛剛進行完版本號，校驗 和等檢測）， 源地址轉(zhuǎn)換在此點進行；ip_input.c中IP_rcv調(diào)用。

　　2. NF_IP_LOCAL_IN：經(jīng)路由查找后，送往本機的通過此檢查點,INPUT包過濾在此點進行；ip_local_deliver中調(diào)用

　　3. NF_IP_FORWARD：要轉(zhuǎn)發(fā)的包通過此檢測點,FORWORD包過濾在此點進行；

　　4. NF_IP_POST_ROUTING：所有馬上便要通過網(wǎng)絡設備出去的包通過此檢測點，內(nèi)置的目的地址轉(zhuǎn)換功能（包括地址偽裝）在此點進行；

　　5. NF_IP_LOCAL_OUT：本機進程發(fā)出的包通過此檢測點，OUTPUT包過濾在此點進行。

　　這些點是已經(jīng)在內(nèi)核中定義好的，內(nèi)核模塊能夠注冊在這些HOOK點進行的處理，可使用nf_register_hook函數(shù)指定。在數(shù)據(jù)報經(jīng)過這些鉤子函數(shù)時被調(diào)用，從而模塊可以修改這些數(shù)據(jù)報，并向netfilter返回如下值：

　　NF_ACCEPT 繼續(xù)正常傳輸數(shù)據(jù)報

　　NF_DROP 丟棄該數(shù)據(jù)報，不再傳輸

　　NF_STOLEN 模塊接管該數(shù)據(jù)報，不要繼續(xù)傳輸該數(shù)據(jù)報

　　NF_QUEUE 對該數(shù)據(jù)報進行排隊(通常用于將數(shù)據(jù)報給用戶空間的進程進行處理)

　　NF_REPEAT 再次調(diào)用該鉤子函數(shù)

　　一個基于Netfilter框架的、稱為iptables的數(shù)據(jù)報選擇系統(tǒng)在Linux2.4內(nèi)核中被應用，其實它就是ipchains的后繼工具，但卻有更強的可擴展性。內(nèi)核模塊可以注冊一個新的規(guī)則表(table)，并要求數(shù)據(jù)報流經(jīng)指定的規(guī)則表。這種數(shù)據(jù)報選擇用于實現(xiàn)數(shù)據(jù)報過濾(filter表)，網(wǎng)絡地址轉(zhuǎn)換(Nat表)及數(shù)據(jù)報處理(mangle表)。 Linux2.4內(nèi)核提供的這三種數(shù)據(jù)報處理功能都基于netfilter的鉤子函數(shù)和IP表。它們是獨立的模塊，相互之間是獨立的。它們都完美的集成到由Netfileter提供的框架中。

　　包過濾

　　filter表格不會對數(shù)據(jù)報進行修改，而只對數(shù)據(jù)報進行過濾。iptables優(yōu)于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN, NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此對于任何一個數(shù) 據(jù)報只有一個地方對其進行過濾。這相對ipchains來說是一個巨大的改進，因為在ipchains中一個被轉(zhuǎn)發(fā)的數(shù)據(jù)報會遍歷三條鏈。

　　NAT

　　NAT表格監(jiān)聽三個Netfilter鉤子函數(shù)：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING實現(xiàn)對需要轉(zhuǎn)發(fā)的數(shù)據(jù)報的源地址進行地址轉(zhuǎn)換而NF_IP_POST_ROUTING則對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進行地址轉(zhuǎn)換。對于本地數(shù)據(jù)報的目的地址的轉(zhuǎn)換則由NF_IP_LOCAL_OUT來實現(xiàn)。NAT表格不同于filter表格，因為只有新連接的第一個數(shù)據(jù)報將遍歷表格，而隨后的數(shù)據(jù)報將根據(jù)第一個數(shù)據(jù)報的結(jié)果進行同樣的轉(zhuǎn)換處理。NAT表格被用在源NAT,目的NAT，偽裝(其是源NAT的一個特例)及透明代理(其是目的NAT的一個特例)。

　　數(shù)據(jù)報處理(Packet mangling)

　　mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用 mangle表，可以實現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些帶外數(shù)據(jù)。當前mangle表支持修改TOS位及設置skb的nfmard字段。

　　源碼分析

　　如果我們想加入自己的代碼,便要用nf_register_hook函數(shù)，其函數(shù)原型為：

　　int nf_register_hook(struct nf_hook_ops *reg)

　　struct nf_hook_ops

　　{

　　struct list_head list;

　　/* User fills in from here down. */

　　nf_hookfn *hook;

　　int pf;

　　int hooknum;

　　/* Hooks are ordered in ascending priority. */

　　int priority;

　　};

　　我們的工作便是生成一個struct nf_hook_ops結(jié)構(gòu)的實例，并用nf_register_hook將其HOOK上。其中l(wèi)ist項我們總要初始化為{NULL,NULL}；由于一般在IP層工作，pf總是PF_INET；hooknum就是我們選擇的HOOK點;一個HOOK點可能掛多個處理函數(shù)，誰先誰后，便要看優(yōu)先級，即priority的指定了。netfilter_ipv4.h中用一個枚舉類型指定了內(nèi)置的處理函數(shù)的優(yōu)先級：

　　enum nf_ip_hook_priorities {

　　NF_IP_PRI_FIRST = INT_MIN,

　　NF_IP_PRI_CONNTRACK = -200,

　　NF_IP_PRI_MANGLE = -150,

　　NF_IP_PRI_NAT_DST = -100,

　　NF_IP_PRI_FILTER = 0,

　　NF_IP_PRI_NAT_SRC = 100,

　　NF_IP_PRI_LAST = INT_MAX,

　　};

　　hook是提供的處理函數(shù)，也就是我們的主要工作，其原型為：

　　unsigned int nf_hookfn(unsigned int hooknum,

　　struct sk_buff **skb,

　　const struct net_device *in,

　　const struct net_device *out,

　　int (*okfn)(struct sk_buff *));

　　它的五個參數(shù)將由NFHOOK宏傳進去。

　　nf_register_hook根據(jù)reg中注冊的協(xié)議簇類型和優(yōu)先級在nf_hooks中找到相應的位置并插入到此表中。struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]在netfilter初始化時（netfilter_init／netfilter.c,而它在sock_init時調(diào)用）已經(jīng)初始為一個空表。

　　例如iptable在初始化時（init/iptable_filter.c）調(diào)用nf_register_hook注冊他的hook函數(shù)。

　　static struct nf_hook_ops ipt_ops[]

　　= { { { NULL, NULL }, ipt_hook, PF_INET, NF_IP_LOCAL_IN, NF_IP_PRI_FILTER },

　　{ { NULL, NULL }, ipt_hook, PF_INET, NF_IP_FORWARD, NF_IP_PRI_FILTER },

　　{ { NULL, NULL }, ipt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,

　　NF_IP_PRI_FILTER }

　　};

　　mangle在init/iptable_mangle.c中注冊它自己的hook函數(shù)。

　　static struct nf_hook_ops ipt_ops[]

　　= { { { NULL, NULL }, ipt_hook, PF_INET, NF_IP_PRE_ROUTING, NF_IP_PRI_MANGLE },

　　{ { NULL, NULL }, ipt_local_out_hook, PF_INET, NF_IP_LOCAL_OUT,

　　NF_IP_PRI_MANGLE }

　　};

　　NAT在init/ip_nat_standalone.c中注冊它自己的hook函數(shù)

　　/*包過濾前，更改目的地址*/

　　static struct nf_hook_ops ip_nat_in_ops

最新評論