Linux 中IP包過濾的實現(xiàn)

Linux 中IP包過濾的實現(xiàn)

 

裝備指揮技術(shù)學(xué)院   李新洪  李軍  張永樂

 

摘 要  本文主要介紹在Linux

內(nèi)核中實現(xiàn)IP包過濾的基本流程，同時對IP偽裝和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的實現(xiàn)作簡要的介紹。

關(guān)鍵詞  包過濾 防火墻 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） IP偽裝

隨著因特網(wǎng)的迅猛發(fā)展，信息安全、網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)注的焦點。越來越多的企業(yè)和機關(guān)已經(jīng)開始利用防火墻技術(shù)來保障網(wǎng)絡(luò)不受外部黑客的入侵。包過濾技術(shù)是防火墻技術(shù)的技術(shù)核心，更好的理解包過濾的機制有助于我們更深刻的理解和應(yīng)用防火墻來保障網(wǎng)絡(luò)信息的安全。

一、      Linux網(wǎng)絡(luò)部分代碼分析

Linux

網(wǎng)絡(luò)層采用統(tǒng)一的緩沖區(qū)結(jié)構(gòu)skbuff，一個個單獨的skbuff被組織成雙向鏈表的形式。網(wǎng)卡接收到數(shù)據(jù)幀后,系統(tǒng)內(nèi)核為接收到的數(shù)據(jù)幀分配一塊內(nèi)存,然后將數(shù)據(jù)整理成skbuff的結(jié)構(gòu).在網(wǎng)絡(luò)協(xié)議處理的時候,數(shù)據(jù)均以skbuff的形式在各層之間傳遞、處理。

skbuff的強大功能在于它提供了眾多指針,可以快速的定位協(xié)議頭位置;它也同時保留了許多數(shù)據(jù)包信息(如使用的網(wǎng)絡(luò)設(shè)備等),以便協(xié)議層根據(jù)需要靈活應(yīng)用.
整個網(wǎng)絡(luò)層的流程如下(

以兩個進程通過TCP/IP進行通信為例):

【Linux 中IP包過濾的實現(xiàn)】相關(guān)文章：

Linux對TCP/IP的支持淺析08-06

基于Linux內(nèi)核的鍵盤模擬實現(xiàn)08-19

在測控系統(tǒng)中用IP核實現(xiàn)D/A轉(zhuǎn)換08-06

帶硬件地址識別的UART IP 的設(shè)計和實現(xiàn)08-06

一種可進化IP核的設(shè)計和實現(xiàn)08-06

TCP/IP在網(wǎng)絡(luò)中的高效配置08-06

基于ARM的嵌入式TCP/IP協(xié)議的實現(xiàn)08-06

在校園網(wǎng)中管理ip地址08-07

基于PXA255的PDA交通管理系統(tǒng)在Linux環(huán)境下的實現(xiàn)08-06