56、IP 过滤与防火墙技术解析

IP 过滤与防火墙技术解析

1. IP 过滤基础

在网络通信中，IP 过滤和防火墙起着至关重要的作用。TRACK 和 NF_IP_PRI_NAT_DST 可以针对相同的钩子编号和协议族进行注册，这意味着它们能够依据优先级存在于同一链中。其中，优先级为 NF_IP_PRI_CONNTRACK 的钩子会首先被处理，因为它负责跟踪 NAT 数据包的连接；随后，优先级为 NF_IP_PRI_NAT_DST 的钩子会对 IP 数据报的目标地址进行修改，以实现 NAT 功能。

2. Netfilter 钩子处理流程

Netfilter 钩子处理是 IP 过滤的核心环节，以下是详细的处理流程：
-NF_HOOK 宏：作为数据包进入 Netfilter 钩子处理的入口点，它会检查特定钩子类型和协议族的条目是否存在于 nf_hooks 全局表中，并通过调用 nf_hook_slow() 函数遍历为该钩子类型注册的每个钩子。
-nf_hook_slow() 函数：在这个例程中，会对数据包缓冲区（sk_buff）和 IP 头进行基本检查。在第 483 行调用 nf_iterate() 函数，使数据包通过所有注册的钩子进行处理。该例程会返回一个裁决结果，指示对数据包应采取的操作。若裁决结果为 NF_DROP，则表示数据包被某个钩子拒绝，需要丢弃该数据包；若为 NF_ACCEPT，则表示数据包被所有注册的钩子接受，需要调用回调例程 okfn 继续处理。

// cs 16.11. nf_hook_slow() /