netfilter_iptables netfilter_linux netfilter

netfilter是自2.4内核的一个数据包过滤框架。可以过滤数据包，网络地址和端口转换(nat和napt技术)，以及其他操作数据包的功能。主要工作原理是在内核模块注册回调函数(hook函数)到内核，内核执行到相关点时会触发这个回调函数，然后根据回调函数里的逻辑，对包含网络协议栈的sk_buff结构进行操作！！！iptables的内核模块就是使用的netfilter。netfilter官方网站：

二.基本函数接口

1.把hook函数注册到内核需要使用结构体nf_hook_ops来关联，该结构体定义在内核头文件目录的linux/netfilter.h里面，这里以2.6.39内核为例：

nf_hookfn就是要填充的hook函数。pf时8位协议族，如ipv4就是PF_INET。hooknum是指定hook函数注册的数据包的路径地点。netfilterpriority是该hook的优先级，当有多个hook在同一个点注册的时候，会按照优先级来执行hook。

2.nf_hookfn函数声明也是在linux/netfilter.h里面：

sk_buff是内核维护的网络协议栈结构，里面可以取出各协议栈信息。netfilter该函数的返回值：

NF_ACCEPT：接收数据包，由内核继续正常的报文传送

NF_DROP：丢弃数据包

NF_STOLEN：数据包的操作全部由hook函数处理

NF_QUEUE：将报文入队，通常交由用户程序处理

NF_REPEAT：再次调用该hook函数。

3.hooknum的5个通用注册点也是定义在linux/netfilter.h

NF_INET_PRE_ROUTING：系统收到数据后，且没有经过路由

NF_INET_LOCAL_IN：系统收到数据，经过路由后，如果数据的目标地址是本机就经过该点

NF_INET_FORWARD：系统收到数据，经过路由后，如果数据的目标地址是其他地方就经过该点

NF_INET_LOCAL_OUT：系统发送数据时，未经过路由

NF_INET_POST_ROUTING：系统发送数据时，经过了路由阶段，马上就发出去了

对于ipv4的注册点值跟上面一样，只是用的宏定义：

4.注册和撤销注册函数：

参数都是nf_hook_ops结构指针。

三.简单例子

我们用一个简单例子观察vxlan的数据包在各hook点的ip情况，vxlan环境可以参考Docker+OpenvSwitch搭建VxLAN实验环境

本例子是内核模块编程，可以参考初探linux内核编程，参数传递以及模块间函数调用

第27，34行简单过滤下本环境的IP，方便查看结果。

Makefile文件

四.验证

vxlan环境：

host1：eth0：192.168.2.1，虚拟网桥10.1.2.10

host2：eth0：192.168.2.2，虚拟网桥10.1.2.11

编译后插入模块，在host1里面ping一次host2的虚拟网桥10.1.2.11

然后参看内核输出信息：

可以看到vxlan的icmp请求有2个IP在工作，分别经过local_out_hook和post_routing_hook。

同理host2的icmp应答进入本机也是2个IP都经过了pre_routing_hook和local_in_hook。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25430-1.html