利用netfilter构建用户态防火墙.pptVIP

防火墙II——利用netfilter构建用户级防火墙 2012-12 课程内容 Netfilter概述 Netfilter工作机制 利用netfilter构建用户级防火墙原理 Libipq工作流程与相关函数 实验题目 Netfilter概述 Netfilter 更准确地讲是Linux 内核中，一个包过滤框架，默认地，它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能，因为它设计的开放性，任何有内核开发经验的开发人员，也可以很容易地利用它提供接口，在内核的数据链路层、网络层，实现自己的功能模块。 Netfilter工作机制 Netfilter的五种操作 NF_DROP 丢弃该报文，释放所有与该报文相关的资源； NF_ACCEPT 接受该报文，并继续处理； NF_STOLEN 该报文已经被HOOK函数接管，协议栈无须继续处理； NF_QUEUE 将该报文传递到用户态去做进一步的处理； NF_REPEAT 再次调用本HOOK函数。 利用netfilter构建防火墙 在内核中注册自己的钩子函数； 利用IP_QUEUE实现内核与用户层之间的数据包交换，实现用户态防火墙 利用netfilter构建用户态防火墙机制 当HOOK处理函数返回NF_QUEUE值时，内核协议栈将通过Linux NetLink通信机制把当前报文传递到用户态，由用户态的防火墙程序进行处理。这样，只要能够