Netfilter框架详解(精编).docVIP

Netfilter是linux2.4内核实现数据包过滤/数据包处理/NAT等的功能框架。该 文讨论了linux 2.4内核的netfilter功能框架，还对基于netfilter框架上的 包过滤，NAT和数据包处理(packet mangling)进行了讨论。阅读本文需要了解 2.2内核中ipchains的原理和使用方法作为预备知识，若你没有这方面的知识， 请阅读IPCHAINS-HOWTO。 第一部分：Netfilter基础和概念 一、什么是Netfilter Netfilter比以前任何一版Linux内核的防火墙子系统都要完善强大。Netfilter 提供了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤 子系统。因此不要在2.4中期望讨论诸如如何在2.4中架设一个防火墙或者伪 装网关这样的话题，这些只是Netfilter功能的一部分。Netfilter框架包含 以下三部分： 1 为每种网络协议(IPv4、IPv6等)定义一套钩子函数（IPv4定义了5个钩子函 数),这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中， 协议栈将把数据报及钩子函数标号作为参数调用netfilter框架。 2 内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接，这 样当某个数据包被传递给netfilter框架时，内核能