RK3568平台开发系列讲解(网络篇)netfilter框架

????返回专栏总目录

文章目录

  • 一、Netfilter 介绍
  • 二、netfilter 简单案例
  • 三、防火墙功能

一、Netfilter 介绍


Linux内核自2.4版本开始引入了Netfilter框架,这是一项重要的网络功能增强。Netfilter框架由Linux内核防火墙和网络维护者 Rusty Russell 所提出和实现。这个作者还基于 netfilter 开发了大名鼎鼎的 iptables,用于在用户空间管理这些复杂的 netfilter 规则。

Netfilter的核心理念是在网络协议栈的关键路径上设置了一系列钩子(hook)点。这些钩子点允许开发者注册自定义的回调函数,使得网络数据包在流经这些点时,可以被相应的函数拦截并进行处理。通过这一机制,Netfilter为Linux内核提供了强大的网络包过滤、网络地址转换(NAT)、连接跟踪等功能。

借助Netfilter框架,开发者无需直接修改内核网络协议栈的复杂代码,只需编写相应的钩子函数模块并注册到合适的钩子点上,即可方便地实现所需的网络功能。这种模块化设计大大提高了Linux内核网络子系统的可扩展性和灵活性。

以收到 ip 包为例,内核处理的代码如下

/*
 * IP receive entry point
 */
int ip_rcv(struct 
上一篇:飞腾平台虚拟机组播性能调优指南


下一篇:安全开发基础篇--数据类型