有关netfilter防火墙的具体实现问题，欢迎提出宝贵意见

booklijian

我现在想设计一个简单的linux下的防火墙，想用netfilter框架来做，但是网上好多资料都是关于如何在内核中作为模块来加载的。真正的在用户态来实现的确很少（我没有找到）。请高手能否给指点一下如何在用户态来实现？其实这里主要是由于规则库的大小不确定，而内核态的堆栈空间很少，所以想将该规则库放到用户态下，这就有如何让该内核模块从用户态空间读取该规则库信息的问题。
另外我想将防火墙的规则库能够实现动态更新。也就是说，如果添加了一条规则，如何实现在不重启防火墙的情况下使该条规则生效？
我想说的尽可能的详细，由此也导致了说的有点繁琐。其实就是想知道如何在用户态下利用netfilte框架结构来实现一个防火墙，达到不用重启的条件下就能够动态更新规则库。
期待各位提出宝贵意见。非常感谢。

思一克

netfilter本身就是内核态的。
在用户态哪有效率了？把数据包考来拷去？

booklijian

嗯，版主说的也是。如果是这样的话，我应该怎么实现？您能否给我说说思路？不用具体实现，只要说说思路就可以了。我想看看iptables的源码，但是看了一段时间没有看懂，有点乱。我对netfilter在内核态下曾经写过小程序。
请您说说思路就可以了，只要可以实现就行。

booklijian

谢谢版主

思一克

nf_register_hook()

在hook函数中返回NF_DROP NF_ACCEPT等

booklijian

谢谢版主的提示。我已经用这些函数编写过简单的程序了。
我现在考虑了两种方案：
1，不开发，直接利用iptables进行设置，但是这样的话，就没有学到什么东西了
2.自己进行开发的话，利用netfilter，不知道利用修改/proc下对应文件（关于对应防火墙规则的文件，我以前好像看到过，但是一时找不到了。有知道的提示一下，谢谢）的方法来实现实时修改规则而不用重启防火墙，可否？
请各位高手指点。

思一克

/proc下对应的你说的文件大概就是IPTABLES的.

netfilter本身是一个机制. iptables就利用了它. netfilter本身什么过滤作用也没有. 仅仅是让人能够在5个数据包的经过点上设立检查站而已. 它本身不是检查站.

xw009

原帖由 "booklijian" 发表：

2.自己进行开发的话，利用netfilter，不知道利用修改..........

什么意思?
自己开发和/proc有关系吗?
用NETFILTER钩子吧

yehuang

[quote]原帖由 "booklijian"]我现在想设计一个简单的linux下的防火墙，想用netfilter框架来做，但是网上好多资料都是关于如何在内核中作为模块来加载的。真正的在用户态来实现的确很少（我没有找到）。请高手能否给指点一下如何在用户态来实现？..........[/quote 发表：

参照iptable

wzwhh

我也想用netfilter框架做个东西，不过是负载均衡集群，做个报文转发的系统。不知道怎么入手写程序，我们可以交流一下，我的QQ是33586363。