????返回专栏总目录

一、Netfilter 介绍

---

Linux内核自2.4版本开始引入了Netfilter框架,这是一项重要的网络功能增强。Netfilter框架由Linux内核防火墙和网络维护者 Rusty Russell 所提出和实现。这个作者还基于 netfilter 开发了大名鼎鼎的 iptables，用于在用户空间管理这些复杂的 netfilter 规则。

Netfilter的核心理念是在网络协议栈的关键路径上设置了一系列钩子(hook)点。这些钩子点允许开发者注册自定义的回调函数,使得网络数据包在流经这些点时,可以被相应的函数拦截并进行处理。通过这一机制,Netfilter为Linux内核提供了强大的网络包过滤、网络地址转换(NAT)、连接跟踪等功能。

借助Netfilter框架，开发者无需直接修改内核网络协议栈的复杂代码,只需编写相应的钩子函数模块并注册到合适的钩子点上，即可方便地实现所需的网络功能。这种模块化设计大大提高了Linux内核网络子系统的可扩展性和灵活性。

以收到 ip 包为例，内核处理的代码如下

/*
 * IP receive entry point
 */
int ip_rcv(struct