linux防火墙实现技术比较

核心提示： 5.1 ipchains由于ipchains是已经是内核的正式一部分，它采用了修改系统调用的办法来添加修改命令，linux防火墙实现技术比较(8)，采用的办法就是扩展setsockopt系统调用：int setsockopt (int socket, IPPROTO_IP, int com

5.1 ipchains

由于ipchains是已经是内核的正式一部分，它采用了修改系统调用的办法来添加修改命令，采用的办法就是扩展setsockopt系统调用：

int setsockopt (int socket, IPPROTO_IP, int command, void *data, int length)

man ipfw可以获得这方面的细节。

ipchains应用程序首先要需要建立一个raw socket(libipfwc.c)，然后在之上调用setsockopt。

sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)

调用顺序：

ipchains在应用层调用setsockopt,进入内核：

--->sys_socketcall(net/socket.c)

--->sys_setsockopt(net/socket.c)

--->inet_setsockopt(net/ipv4/af_inet.c)

--->sock_setsockopt(net/core/sock.c)

--->raw_setsockopt(net/ipv4/raw.c)

--->ip_setsockopt（net/ipv4/ip_sockglue.c）

--->ip_fw_ctl(net/ipv4/ip_fw.c)

5.2 iptables

原理同ipchains, 但内部命令格式作了大幅简化。详见nf_setsockopt（）。

5.3 FW1

FW1 登记了一个字符设备，通过它来进行用户空间与内核空间的交互。相关代码（从汇编代码翻译成的C程序）如下：

static unsigned int fw_major=0;

static struct file_operations fw_fops=

{

NULL, /* lseek */

fw_read, /* read */

fw_write, /* write */

NULL, /* readdir */

fw_poll, /* poll */

fw_ioctl, /* ioctl */

NULL, /* mmap */

fw_open, /* open */

NULL, /* flush */

fw_release /* release */

NULL, /* fsync */

};

int init_module()