iptables深入解析：filter篇.docVIP

之前大致写过iptables即netfilter的基本框架，在安全领域用到的比较多，一般小的设备防火墙，也有自己开发的比如思科的ACL，简单的包过滤什么的，都可以支持，但是它最大的缺点就是影响性能，或许我们需要借鉴tcpdump/wireshark的机制（它们都包含了对报文的解析） ，现在流行的dpi 什么的， 甚至工控领域也用到了。虽然它没有那么完美，但是框架比较好，而我们可以去改进和定制它.参考：iptables1.4.21 kernel 3.8.13 iptables的机制分两个部分:1. 用户空间的iptables工具2. 内核netfilter机制的支持 它分ipv4部分和ipv6部分，这里只分析ipv4部分.代码目录(内核):net/ipv4/netfilternet/ipv6/netfilternet/netfilter 这里先分析内核部分。我们都知道netfiter分四个基本模块1. Ct 链接追踪2. Filter 过滤3. Nat 地址转换4. Mangle 修改数据报文 CT是基础核心模块是状态防火墙和nat的基础. 而其他模块会维护一个全局表，也即我们用iptables命令的时候需要指定的表。它们工作在内核的五个钩子点上，即链的概念. 对于上面的模块在实际代码中是相对独立的初始化的：net/ipv4/netfilter/1.iptable_filter.c –iptable_filter_init2. iptable_mangle.c –iptable_mangle_init3.iptable_nat.c –iptable_nat_init4.iptable_raw.c –iptable_raw_init5.iptable_security.c —iptable_security_init 而关于链接追踪它是其他的基础，比较特殊。Net/netfilter/nf_conntrack_core.cnf_conntrack_init又被nf_conntrack_standalone.c C 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 static int nf_conntrack_net_init(struct net *net) { ????int ret; ? ????ret = nf_conntrack_init(net); ????if (ret 0) ????????goto out_init; ????ret = nf_conntrack_standalone_init_proc(net); ????if (ret 0) ????????goto out_proc; ????net-ct.sysctl_checksum = 1; ????net-ct.sysctl_log_invalid = 0; ????ret = nf_conntrack_standalone_init_sysctl(net); ????if (ret 0) ????????goto out_sysctl; ????return 0; ? out_sysctl: ????nf_conntrack_standalone_fini_proc(net); out_proc: ????nf_conntrack_cleanup(net); out_init: ????return ret; } ? static void nf_conntrack_net_exit(struct net *net) { ????nf_conntrack_standalone_fini_sysctl(net); ????nf_conntrack_standalone_fini_proc(net); ????nf_conntrack_cleanup(net); } ? static struct pernet_operations nf_conntrack_net_ops = { ????.init = nf_conntrack_net_init, ????.exit = nf_conntrack_net_exit, }; ? static int __init nf_conntrack_standalone_init(void) { ????return register_pernet_subsys(nf_conntrack_net_ops); } register_pernet_subsys这个函数不多说，它是内核命名空间