netfilter的架構就是在整個網絡流程的若幹位置放置了壹些檢測點(HOOK),而在每個檢測點上登記了壹些處理函數進行處理。
netfilter是由Rusty Russell提出的Linux 2.4內核防火墻框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如數據包過濾、數據包處理、地址偽裝、透明代理、動態網絡地址轉換(Network Address Translation,NAT),以及基於用戶及媒體訪問控制(Media Access Control,MAC)地址的過濾和基於狀態的過濾、包速率限制等。
框架
netfilter提供了壹個抽象、通用化的框架[1],作為中間件,為每種網絡協議(IPv4、IPv6等)定義壹套鉤子函數。Ipv4定義了5個鉤子函數,這些鉤子函數在數據報流過協議棧的5個關鍵點被調用,也就是說,IPv4協議棧上定義了5個“允許垂釣點”。在每壹個“垂釣點”,都可以讓netfilter放置壹個“魚鉤”,把經過的網絡包(Packet)釣上來,與相應的規則鏈進行比較,並根據審查的結果,決定包的下壹步命運,即是被原封不動地放回IPv4協議棧,繼續向上層遞交;還是經過壹些修改,再放回網絡;或者幹脆丟棄掉。
Ipv4中的壹個數據包通過netfilter系統的過程如圖1所示。
圖1 Netfilter的功能框架
關鍵技術
netfilter主要采用連線跟蹤(Connection Tracking)、包過濾(Packet Filtering)、地址轉換、包處理(Packet Mangling)4種關鍵技術。
⒈2.1 連線跟蹤
連線跟蹤是包過濾、地址轉換的基礎,它作為壹個獨立的模塊運行。采用連線跟蹤技術在協議棧低層截取數據包,將當前數據包及其狀態信息與歷史數據包及其狀態信息進行比較,從而得到當前數據包的控制信息,根據這些信息決定對網絡數據包的操作,達到保護網絡的目的。
當下層網絡接收到初始化連接同步(Synchronize,SYN)包,將被netfilter規則庫檢查。該數據包將在規則鏈中依次序進行比較。如果該包應被丟棄,發送壹個復位(Reset,RST)包到遠端主機,否則連接接收。這次連接的信息將被保存在連線跟蹤信息表中,並表明該數據包所應有的狀態。這個連線跟蹤信息表位於內核模式下,其後的網絡包就將與此連線跟蹤信息表中的內容進行比較,根據信息表中的信息來決定該數據包的操作。因為數據包首先是與連線跟蹤信息表進行比較,只有SYN包才與規則庫進行比較,數據包與連線跟蹤信息表的比較都是在內核模式下進行的,所以速度很快。
⒈2.2 包過濾
包過濾檢查通過的每個數據包的頭部,然後決定如何處置它們,可以選擇丟棄,讓包通過,或者更復雜的操作。
⒈2.3 地址轉換
網絡地址轉換 分為源NAT(Source NAT,SNAT)和目的NAT(Destination NAT,DNAT)2種不同的類型。SNAT是指修改數據包的源地址(改變連接的源IP)。SNAT會在數據包送出之前的最後壹刻做好轉換工作。地址偽裝(Masquerading)是SNAT的壹種特殊形式。DNAT 是指修改數據包的目標地址(改變連接的目的IP)。DNAT 總是在數據包進入以後立即完成轉換。端口轉發、負載均衡和透明代理都屬於DNAT。
⒈2.4 包處理
利用包處理可以設置或改變數據包的服務類型(Type of Service,TOS)字段;改變包的生存期(Time to Live,TTL)字段;在包中設置標誌值,利用該標誌值可以進行帶寬限制和分類查詢。