Netfilter架构基本数据流程..doc

产品名称 密级 4.x 秘密 产品版本 共 页 Netfilter架构基本数据流程 拟制： 龙建武 日期： 2012-12-17 审核： 日期： 批准： 日期： Netfilter架构基本数据流程 一、netfiltert简介 Linux内核中的netfilter架构有以太网层netfilter，主要管理工具为ebtables，有网络层的netfilter，主要管理工具为iptables，本文主要从总体上讲述网络层ipv4 netfilter架构中的基本数据流程，即一个数据所从进入网络层netfiler架构时，其数据流向是怎样的，经过哪些规则表，连接跟踪等，到离开netfilter架构整个流程。Netfilter为内核中实现防火墙功能、数据包过滤、修改、连接跟踪、应用层网关alg等的载体。而linux应用层则提供了iptables这样功能强大的实现netfilter功能的配置管理工具。 Iptables规则在内核中的基本流程 数据包进入linux内核的网络层时，其总入口为kernel/linux/net/ipv4/ip_input.c的函数ip_rcv()，在对数据包进行正确性检查和校验之后，路由判断之前，会进入到一个netfilter的钩子NF_INET_PRE_ROUTING，数据包在这个钩子里进行一些处理，处理完之后，如果是接收包，则调用该钩子的ok函数，即下一步的处理函数。对于iptables来说，这里是PREROUTING规则链，能在这里设置iptables规则的只有mangle表和nat表，mangle表主要是对数据包打标记等操作。而nat表主要对数据包进行重定向，丢弃或接收数据包。 注意mangle表比nat表优先级高，所以在内核中会先处理mangle表的规则，然后再处理nat表的规则。 当路由判定后决定数据包是发往本地即Linux系统本身的，则其入口为kernel/linux/net/ipv4/ip_input.c的函数ip_local_deliver()，在这个函数最后会调用INPUT链的钩子函数NF_INET_LOCAL_IN，在这个钩子中可以设置mangle表和filter表的规则，mangle表比filter表优先级要高，filter表的主要作用是过滤数据包。 而当路由判定后数据包是发往其他主机的，则进入到kernel/linux/net/ipv4/ip_forward.c的函数ip_forward()，在函数最后同样要执行NF_INET_FORWARD这个钩子函数，在FORWARD链里，同样只能设置mangle表和filter表的规则，mangle表的优先级比filter表高。 数据包由本地发出的时候，执行到kernel/linux/net/ipv4/ip_output.c的函数__ip_local_out()，在这里会执行钩子函数NF_INET_LOCAL_OUT，在OUTPUT链里可以有mangle表、nat表、filter表的规则，优先级分别为mangle表到nat表再到filter表。 数据包在离开本机之前会调用到kernel/linux/net/ipv4/ip_output.c的函数ip_output()，这里执行的是NF_INET_POST_ROUTING钩子函数，在这个钩子里只能有mangle和nat表，而mangle表比nat表优先级高。 如下图为netfilter中iptables规则执行的基本流程 iptables规则执行的基本流程 三、netfilter架构中数据的具体执行流程 Linux网络层ipv4 netfilter架构基本数据流程 在这五个钩子执行HOOK函数后，HOOK函数调用到include/linux/netfilter.h的宏定义NF_HOOK(pf, hook, skb, indev, outdev, okfn)，而这个宏定义又会执行 NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh)，在这里有人判断，如果执行nf_hook_thresh()的返回值为1，则执行该钩子的回调函数即okfn()，而在nf_hook_thresh()则会调用真正实现netfilter架构的函数nf_hook_slow()，该函数在net/netfilter/core.c中，在函数nf_hook_slow()中则会调用nf_iterate()函数，在这里，会有一个for循环，按优先级值从小到大遍历执行该钩子比如NF_INET_PRE_ROUTIN