linux-2.6.35.6内核netfilter框架

pywj777

基于netfilter框架所开发的功能，请参考我的另外两个帖子nf_conntrack和xtables

数据结构图如下：

• 这个二维数组的每一项代表了一个钩子被调用的点，NF_PROTO代表协议栈，NF_HOOK代表协议栈中某个路径点。
• 所有模块都可以通过nf_register_hook ()函数将一个钩子项挂入想被调用点的链表中（通过protocol和hook指定一个点）。这样，该钩子项就能够处理指定protocol中和指定hook点流经的所有数据包。
• netfilter在不同协议栈的不同点上（例如arp_rcv()、ip_rcv()、ip6_rcv()、br_forward()等）放置NF_HOOK()函数，当数据包经过了某个协议栈（NF_PROTO）的某个点（NF_HOOK）时，该协议栈会通过NF_HOOK()函数调用对应钩子链表（nf_hooks[NF_PROTO][NF_HOOK]）中注册的每一个钩子项来处理该数据包。
  

pywj777

netfilter为每个钩子函数提供返回值

NF_DROP（0）        数据包被丢弃。即不被下一个钩子函数处理，同时也不再被协议栈处理，并释放掉该数据包。协议栈将处理下一个数据包。
NF_ACCEPT（1）        数据包允许通过。即交给下一个钩子函数处理、或交给协议栈继续处理（okfn()）。
NF_STOLEN（2）        数据包被停止处理。即不被下一个钩子函数处理，同时也不被协议栈处理，但也不释放数据包。协议栈将处理下一个数据包。
NF_QUEUE（3）        将数据包交给nf_queue子系统处理。即不被下一个钩子函数处理，也不被协议栈处理，也不释放数据包。协议栈将处理下一个数据包。
NF_REPEAT（4）        数据包将被该返回值的钩子函数再次处理一遍。
NF_STOP（5）        数据包停止被该HOOK点的后续钩子函数处理，并交给协议栈继续处理（okfn()）

pywj777

netfilter相关功能在内核中文件分布图

瀚海书香

回复 1# pywj777
多谢分享！
其实netfilter部分的改动除了把参数封装之外，最近这几个内核版本（2.6.24---》3.0.8）的改动都很小。

   

Godbach

回复 1# pywj777

感谢 pywj777 兄分享啊，最近 pywj777 兄干货很多啊，再次感谢！

   

i_ontheroad

描述得很精彩。

Godbach

回复 1# pywj777
乍一看还以为是今天发的贴呢。细看是去年的今天发的。

pywj777 对 netfilter&iptables 都研究的非常透彻。赞一下



   

daniel_11

Godbach 发表于 2013-05-30 14:00
回复 1# pywj777
乍一看还以为是今天发的贴呢。细看是去年的今天发的。

Haha, me too.

pywj777

回复 7# Godbach

时间真快，专业就一年过去了
   

pywj777

回复 8# daniel_11

都过去一年了，你是怎么翻出来的