netfilter存在不兼容的驱动netfilter

netfilter 时间:2021-06-07 阅读:()

netfilter和iptables什么关系

对于上的系统，不管是什么情况都要明确一点：网络是不安全的。

因此，虽然创建一个防火墙并不能保证系统100％安全，但却是绝对必要的。

Linux提供了一个非常优秀的防火墙工具filter/iptables。

它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。

本文将简单介绍使用 netfilter/iptables实现防火墙架设和连接共享等应用。

netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序filter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。

netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构filter/iptables从ipchains和 ipwadfm（IP防火墙管理）演化而来，功能更加强大。

下文filter/iptabels统一称为iptables。

可以用iptables为Unix、Linux和BSD个人工作站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。

iptales只读取数据包头，不会给信息流增加负担，也无需进行验证。

要想获得更好的安全性，可以将其和一个代理服务器（比如squid）相结合。

基本概念典型的防火墙设置有两个网卡：一个流入，一个流出。

iptables读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。

通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。

通过使用iptables系统提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。

关于添加、去除、编辑规则的命令，一般语法如下： iptables [-t table]mand [match] [target] 1．表（table） [-t table]选项允许使用标准表之外的任何表。

表是包含仅处理特定类型信息包的规则和链的信息包过滤表。

有三个可用的表选项：filter、nat和mangle。

该选项不是必需的，如果未指定，则filter作为缺省表。

各表实现的功能如表1所示。

表1 三种表实现的功能 2．命令mand） command部分是iptables命令最重要的部分。

它告诉iptables命令要做什么，例如插入规则、将规则添加到链的末尾或删除规则。

表2是最常用的一些命令及例子。

3．匹配（match） iptables命令的可选match部分指定信息包与规则匹配所应具有的特征（如源地址、目的地址、协议等）。

匹配分为通用匹配和特定于协议的匹配两大类。

这里将介绍可用于采用任何协议的信息包的通用匹配。

表3是一些重要且常用的通用匹配及示例说明。

4．目标（target）目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。

除了允许用户定义的目标之外，还有许多可用的目标选项。

表4是常用的一些目标及示例说明。

除表4外，还有许多用于建立高级规则的其它目标，如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。

怎么安装libnetfilter

去网上搜索一下这个软件包或者是源代码包，然后下载回来安装或者是编译就可以了，rh系统使用的rpm封包，所以用rpm命令来安装就可以了，源代码包用./configure make make install等指令也可以编译安装的。

什么是Netfilter

通俗的说filter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能）。

netfilter[1] IP层的五个HOOK点的位置如下图所示 [1]:NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验和等检测），目的地址转换在此点进行； [2]:NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行； [3]:NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行； [4]:NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行； [5]:NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。

在IP层代码中，有一些带有NF_HOOK宏的语句，如IP的转发函数中有：如果在编译内核时没有配filter时，就相当于调用最后一个参数，此例中即执行 ip_forward_finish函数；否则进入HOOK点，执行通过nf_register_hook（）登记的功能（这句话表达的可能比较含糊，实际是进入nf_hook_slow（）函数，再由它执行登记的函数）。