netfilter之IP层的HOOK点

Morphad

netfilter的架构就是，在网络协议栈上放置一些检测点(HOOK)，而在检测点放置一些处理函数，当数据经过这些检测点时触发这些处理函数。

ipv4在IP层的HOOK点有5个：

1. ipv4在IP层的HOOK点有5个：
   
2. enum nf_inet_hooks {  
   
3.     NF_INET_PRE_ROUTING,  
   
4.     NF_INET_LOCAL_IN,  
   
5.     NF_INET_FORWARD,  
   
6.     NF_INET_LOCAL_OUT,  
   
7.     NF_INET_POST_ROUTING,  
   
8.     NF_INET_NUMHOOKS  
   
9. };

复制代码

他们的先后顺序如下图所示：


1、对于进入的数据包，首先触发NF_INET_PRE_ROUTING HOOK点；然后查找路由信息，判定是进入本机的数据包还是需要转发的数据包
   a)对于进入本机的数据包，触发NF_NET_LOCAL_IN HOOK点，交给上层协议继续进行处理
   b)对于需要转发的数据包，触发NF_INET_FORWARD HOOK点；然后根据路由信息决定怎样发出数据，并触发NF_INET_POST_ROUTING HOOK点，然后交给下层协议做数据包的发出操作
2、对于由本机发出的数据包，首先查找路由信息(决定怎样发出数据等)；然后触发NF_INET_LOCAL_OUT HOOK点；根据路由信息决定怎样发出数据，并触发NF_INET_POST_ROUTING HOOK点，然后交给下层协议做数据包的发出操作


可使用netfilter框架在IP层的HOOK点上注册hook_operation，来完成不同的功能；如filter,nat,mangle,conntrack等

瀚海书香

回复 1# Morphad
多谢分享！
要是能够再系统一下就好多了。

   

Godbach

回复 1# Morphad
ASCII 图画的不错。


   

daniel_11

Godbach 发表于 2013-04-23 13:34
回复 1# Morphad
ASCII 图画的不错。

确实很赞！Plain text快被丢弃了～～～