Linux系统中防火墙的框架及简单分析

核心提示： 这些点是已经在内核中定义好的，内核模块能够注册在这些HOOK点进行的处理，Linux系统中防火墙的框架及简单分析(2)，可使用nf_register_hook函数指定，在数据报经过这些钩子函数时被调用，而随后的数据报将根据第一个数据报的结果进行同样的转换处理，NAT表格被用在源NAT,目的

这些点是已经在内核中定义好的，内核模块能够注册在这些HOOK点进行的处理，可使用nf_register_hook函数指定。在数据报经过这些钩子函数时被调用，从而模块可以修改这些数据报，并向Netfilter返回如下值：

NF_ACCEPT 继续正常传输数据报

NF_DROP 丢弃该数据报，不再传输

NF_STOLEN 模块接管该数据报，不要继续传输该数据报

NF_QUEUE 对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)

NF_REPEAT 再次调用该钩子函数

一个基于Netfilter框架的、称为IPtables的数据报选择系统在Linux2.4内核中被应用，其实它就是IPchains的后继工具，但却有更强的可扩展性。内核模块可以注册一个新的规则表(table)，并要求数据报流经指定的规则表。这种数据报选择用于实现数据报过滤(filter表)，网络地址转换(Nat表)及数据报处理(Mangle表)。 Linux2.4内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和IP表。它们是独立的模块，相互之间是独立的。它们都完美的集成到由Netfileter提供的框架中。

包过滤

Filter表格不会对数据报进行修改，而只对数据报进行过滤。IPtables优于IPchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN, NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此对于任何一个数 报只有一个地方对其进行过滤。这相对IPchains来说是一个巨大的改进，因为在IPchains中一个被转发的数据报会遍历三条链。

NAT

NAT表格监听三个Netfilter钩子函数：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换而NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。NAT表格不同于filter表格，因为只有新连接的第一个数据报将遍历表格，而随后的数据报将根据第一个数据报的结果进行同样的转换处理。NAT表格被用在源NAT,目的NAT，伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例)。