作者 主題: netfilter 與 iptables 的關聯  (閱讀 2446 次)

0 會員 與 1 訪客 正在閱讀本文。

apachectl

  • 憂鬱的高中生
  • ***
  • 文章數: 174
    • 檢視個人資料
netfilter 與 iptables 的關聯
« 於: 2010-02-15 09:43 »
在核心中netfilter 架構裡有五個hooks點,NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING、NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_FORWARD,這些hooks應該就是iptables使用的五個chains,但不知這些chains跟hook 點是甚麼關聯?

以下是我的理解:
比如當執行 iptables 指令設定到了INPUT chain時,就等於將INPUT的規則設至NF_IP_LOCAL_IN這個hook 點上,並掛上相關的模組,這樣當封包進入後,即可透過模組對封包進行檢查過濾的動作。
如此理解不知是否有誤?

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: netfilter 與 iptables 的關聯
« 回覆 #1 於: 2010-02-15 09:54 »
在核心中netfilter 架構裡有五個hooks點,NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING、NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_FORWARD,這些hooks應該就是iptables使用的五個chains,但不知這些chains跟hook 點是甚麼關聯?

以下是我的理解:
比如當執行 iptables 指令設定到了INPUT chain時,就等於將INPUT的規則設至NF_IP_LOCAL_IN這個hook 點上,並掛上相關的模組,這樣當封包進入後,即可透過模組對封包進行檢查過濾的動作。
如此理解不知是否有誤?

我們先不看程式面,但是您應該先查一下文件先釐清實際上 iptables 目前至少有 4 個 table,不同 table 各自有不同的 chain 可以使用...

比方這篇內..

http://phorum.study-area.org/index.php/topic,41142.html

這張圖:

http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png

但是沒有包含 raw table 部份項目。

若要討論程式面,要翻閱 source code 會比較清楚。
I am kenduest - 小州

my website: http://kenduest.sayya.org/