IP 过滤与防火墙技术解析
1. IP 过滤基础
在网络通信中,IP 过滤和防火墙起着至关重要的作用。TRACK 和 NF_IP_PRI_NAT_DST 可以针对相同的钩子编号和协议族进行注册,这意味着它们能够依据优先级存在于同一链中。其中,优先级为 NF_IP_PRI_CONNTRACK 的钩子会首先被处理,因为它负责跟踪 NAT 数据包的连接;随后,优先级为 NF_IP_PRI_NAT_DST 的钩子会对 IP 数据报的目标地址进行修改,以实现 NAT 功能。
2. Netfilter 钩子处理流程
Netfilter 钩子处理是 IP 过滤的核心环节,以下是详细的处理流程:
-NF_HOOK 宏:作为数据包进入 Netfilter 钩子处理的入口点,它会检查特定钩子类型和协议族的条目是否存在于 nf_hooks 全局表中,并通过调用 nf_hook_slow() 函数遍历为该钩子类型注册的每个钩子。
-nf_hook_slow() 函数:在这个例程中,会对数据包缓冲区(sk_buff)和 IP 头进行基本检查。在第 483 行调用 nf_iterate() 函数,使数据包通过所有注册的钩子进行处理。该例程会返回一个裁决结果,指示对数据包应采取的操作。若裁决结果为 NF_DROP,则表示数据包被某个钩子拒绝,需要丢弃该数据包;若为 NF_ACCEPT,则表示数据包被所有注册的钩子接受,需要调用回调例程 okfn 继续处理。
// cs 16.11. nf_hook_slow() /