netfilter深入数据规则存储研究.docVIP

Netfilter分析：这是完整地Netfilter源码分析 一、概述 1.Netfilter/IPTables框架简介 2.主要源代码文件 二、Netfilter/IPTables-IPv4总体架构 1.Netfilter地HOOK机制 2.IPTables基础模块 3.具体功能模块 三、HOOK地实现 1.Netfilter-IPv4中地HOOK 2.HOOK地调用 3.HOOK点地实现 4.HOOK地注册和注销 四、IPTables系统 1.表－规则系统 2.表地实现 3.规则地实现 4.规则地使用 5.规则地扩展 五、数据报过滤模块——filter表 1.概述 2.filter表地定义和初始化 3.filter表地实现 六、连接跟踪模块（Conntrack） 1.概述 2.连接状态地管理 3.连接跟踪地实现 4.协议地扩展 七、网络地址转换模块（Network Address Translation） 1.概述 2.基于连接跟踪地相关数据结构 3.nat表地实现 4.协议地扩展 八、数据报修改模块──mangle表 1.概述 2.mangle表地实现 3.数据报地修改 九、其它高级功能模块 一、概述 1. Netfilter/IPTables框架简介 Netfilter/IPTables是继2.0.x地IPfwadm、2.2.x地IPchains之后,新一代地Linux防火墙机制.Netfilter采用模块化设计,具有良好地可扩充性.其重要工具模块IPTables连接到Netfilter地架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作. Netfilter提供了一个框架,将对网络代码地直接干涉降到最低,并允许用规定地接口将其他包处理代码以模块地形式添加到内核中,具有极强地灵活性. 2. 主要源代码文件 Netfilter主文件：net/core/netfilter.c Netfilter主头文件：include/linux/netfilter.h IPv4相关： c文件：net/ipv4/netfilter/*.c 头文件：include/linux/netfilter_ipv4.h include/linux/netfilter_ipv4/*.h IPv4协议栈主体地部分c文件,特别是与数据报传送过程有关地部分： ip_input.c,ip_forward.c,ip_output.c,ip_fragment.c等 二、Netfilter/IPTables-IPv4总体架构 Netfilter主要通过表、链实现规则,可以这么说,Netfilter是表地容器,表是链地容器,链是规则地容器,最终形成对数据报处理规则地实现. 详细地说,Netfilter/IPTables地体系结构可以分为三个大部分： 1. Netfilter地HOOK机制 Netfilter地通用框架不依赖于具体地协议,而是为每种网络协议定义一套HOOK函数.这些HOOK函数在数据报经过协议栈地几个关键点时被调用,在这几个点中,协议栈将数据报及HOOK函数标号作为参数,传递给Netfilter框架. 对于它在网络堆栈中增加地这些HOOK,内核地任何模块可以对每种协议地一个或多个HOOK进行注册,实现挂接.这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册.若注册了,则调用该模块地注册时使用地回调函数,这样这些模块就有机会检查、修改、丢弃该数据报及指示Netfilter将该数据报传入用户空间地队列. 这样,HOOK提供了一种方便地机制：在数据报通过Linux内核地不同位置上截获和操作处理数据报. 2. IPTables基础模块 IPTables基础模块实现了三个表来筛选各种数据报,具体地讲,Linux2.4内核提供地这三种数据报地处理功能是相互间独立地模块,都基于Netfilter地HOOK函数和各种表、链实现.这三个表包括：filter表,nat表以及mangle表. 3. 具体功能模块 数据报过滤模块 连接跟踪模块（C