零费用的NetfilterIptables防火墙技术.pdfVIP

NetfIl I es 零费用的 ter／Iptab防火墙技术 张 丽 江苏省无锡立信职教中心校 #define 征网络安全问题日趋严峻的今 NF—HOOK(pf，hook，skb，被传到网络上I本地产生的PACKET 天，防火墙作为第一道防线起着关 indev，outdev，okfn)(okfn)(skb) 键的作用。Linux由于其源代码的开 #endif 点处理后，进行路由选择，然后经过 放性，成为研究防火墙技术的一个 从这个宏函数的定义能够清楚 很好的平台。本文介绍Linux的防地理解，如果编译内核时没有配置 送到网络上。 火墙技术Netfilter／Iptables毛ELinuxNetfilter选项，就和应放钩子的地方 由此可见，5个HOOK的位置， 内核中的具体实现，以及Linux下常没有放钩子一样，将直接执行oldn函 掌管了全部数据包的可能出入口。 用的防火墙规则配置软件Iptables。数指针指向的函数。如果编译内核时 我们只要在对应的位置对数据包进 ●Netfilter在lP协议栈中的总配置了Netfilter，而且应放钩子的地行操作，就能实现对数据包的各种 体框架 方有钩子，就会执行nLhook_slow处理。当HOOK截获数据包以后，将 Netillter是Linux2．4．x以后的 ()，从而执行各钩子下的钩子函数。 根据一些规则判断数据包的命运。 内核中用于包处理的抽象、通用化 而所有钩子函数都将去执行一个重要 用户通过注册一些规则检测函数来 的框架，它为IPv4、IPv6、Appletalk的函数IPt_do_table0，此函数的一检测数据包，内核Netfilter将根据这 等可以多达32种的网络协议定义了 个重要功能就是去进行规则的匹配。 些函数的返回值来决定数据包的命 一套HOOK，这些HOOK在数据报NetFilter框架结构图阐述了运。返回值有以下5种： 流过协议栈的几个关键点被调用， PACⅪ汀经过协议栈的过程。当一个 I、EACCⅡ吓：允许数据包通过。 如IPv4协议栈为了实现对NeffilterPACl(I『r通过以太网卡从左边进入P NF—DROP：丢弃该数据包。 架构的支持，IPPACKET在IPv4协议栈，先进行P校验处理，经过第一 PPREROUl卧JG 协议栈上的游历路线之中，仔细选 个钩子函数在NF 据包已被处理。 择了5个参考点。在这5个参考点上， 点进行处理，然后进入路由代码，判 NF_QUEUE：将数据包排入队 各引入了一行对NF_HOOK0宏函数断这个PACKET的目标地址以决定列，通常是将数据包发送给用户进 的一个相应的调用。这个宏函数定 该PACKET是需要转发还是发给本程空间处理。 义如下： 机，若PACKET是发给本地的，则 NF—REPEAT：再一次调用本 #defineNF—HOOK(pf，hook，skb，该PACKET经过钩子函数在 HOOK。 lndev，outdev，okfn)＼ NF_IP—LOCALjN点的处理后传给 上层协议I若该PACKET应该被转 (1ist_empty(nf_hooks[(pf)][(hook)])? (okfn)(skb)：nfhook_slow 发，那就由NF—IP—FORWARD点 ‘“pf)，(hook．)，(skb)，(indev)，(outdev)，的钩子函数进行处理；经过转发的 (okfn))) PACKEr在NFPpDSTROUTING #else 点