netfilter与iptables表规则建立
2021/4/19 7:27:13
本文主要是介绍netfilter与iptables表规则建立,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
在内核的net中,iptable_nat.c iptable_filter.c iptable_mangle.c中,分别建立了3张表,供iptables规则使用。
其中filter、mangle表的建立,有自己的优选级
调用 ipt_register_table函数进行注册表; 调用xt_hook_link注册到时hook,此表可以挂到5个点,那就会注册到5个hook点,优先级都是一样的,如上图。
那么nat表呢?
它也这个结构体,但在初始化时,仅调用了ipt_register_table注册了表,那么通过iptables打入的nat规则如何生效呢?
它额外注册了几个hook点函数,如下:
以NF_INET_PRE_ROUTING为例,nf_nat_ipv4_in-》nf_nat_ipv4_fn-》如果ct状态为IP_CT_NEW -》nf_nat_rule_find-》ipt_do_table执行iptables nat表中的NF_INET_PRE_ROUTING点上规则。
对于NF_INET_POST_ROUTING也是一样,nf_nat_ipv4_out-》nf_nat_ipv4_fn-》如果ct状态为IP_CT_NEW -》nf_nat_rule_find-》ipt_do_table。
也就是说对于nat表中动作,仅会在ct为IP_CT_NEW时,执行一次,如果ct的状态其它,则不会再执行。
返回来的规则在conntrack中进行会进行处理(nf_conntrack_l3proto_ipv4.c)。
也就是说,对于iptables规则,filter和magle表中的规则对每个数据包都会进行;而nat表中规则,只会对数据报文做一次,后续的就交给ct来做了。
根据优先级,如下
则执行顺序为
新的报文-》ip_recv-》PREROUTING HOOK点
-》优先级NF_IP_PRI_CONNTRACK
-》优先级NF_IP_PRI_MANGLE -》所有的magle表中规则都会顺序执行
-》优先级NF_IP_PRI_FILTER-》所有filter表中规则都会顺序执行
-》优先级NF_IP_PRI_NAT_DST->nf_nat_ipv4_in-》nf_nat_ipv4_fn-》执行iptables nat表中的NF_INET_PRE_ROUTING点上规则。
所有的钩子函数执行完后
ct中已存在链接的报文-》ip_recv-》PREROUTING HOOK点
-》优先级NF_IP_PRI_CONNTRACK,更新连接跟踪
-》优先级NF_IP_PRI_MANGLE -》所有的magle表中规则都会顺序执行
-》优先级NF_IP_PRI_FILTER-》所有filter表中规则都会顺序执行
-》优先级NF_IP_PRI_NAT_DST->nf_nat_ipv4_in-》nf_nat_ipv4_fn-》nf_nat_packet,完成nat转换(不再执行相应规则)
所有的钩子函数执行完后
这篇关于netfilter与iptables表规则建立的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23Springboot应用的多环境打包入门
- 2024-11-23Springboot应用的生产发布入门教程
- 2024-11-23Python编程入门指南
- 2024-11-23Java创业入门:从零开始的编程之旅
- 2024-11-23Java创业入门:新手必读的Java编程与创业指南
- 2024-11-23Java对接阿里云智能语音服务入门详解
- 2024-11-23Java对接阿里云智能语音服务入门教程
- 2024-11-23JAVA对接阿里云智能语音服务入门教程
- 2024-11-23Java副业入门:初学者的简单教程
- 2024-11-23JAVA副业入门:初学者的实战指南