wjlkoorey258

摘要： 自己开发一个match模块 今天我们来写一个很简单的match来和大家分享如何为iptables开发扩展功能模块。这个模块是根据IP报文中有效载荷字段的长度来对其进行匹配，支持固定包大小，也支持一个区间范围的的数据包，在用户空间的用法是： iptables -A... 阅读全文

摘要： 为netfilter/iptables增添新功能模块：ipp2p 一个防火墙功能模块包含两部分：内核空间的ko模块和用户空间的so模块。如下： 而且文件的命令都非常有讲究。例如我们有个模块名叫AAA，那么内核中该模块的文件名一般为ipt_AAA.c和ipt_AAA.h；对应的用户空间模... 阅读全文

摘要： 连接跟踪系统的初始化流程分析 有了前面的知识，我们再分析连接跟踪系统的初始化ip_conntrack_standalone_init()函数就太容易不过了。还是先上ip_conntrack_standalone_init()函数的流程图：该函数的核心上图已经标出来了“初始化连接跟踪系统”... 阅读全文

摘要： Netfilter连接跟踪的详细流程 上一篇我们了解了连接跟踪的基本框架和大概流程，本篇我们着重分析一下，数据包在连接跟踪系统里的旅程，以达到对连接跟踪运行原理深入理解的目的。 连接跟踪机制在Netfilter框架里所注册的hook函数一共就五个：ip_conntrack_de... 阅读全文

摘要： 如何理解Netfilter中的连接跟踪机制？ 本篇我打算以一个问句开头，因为在知识探索的道路上只有多问然后充分调动起思考的机器才能让自己走得更远。连接跟踪定义很简单：用来记录和跟踪连接的状态。 问：为什么又需要连接跟踪功能呢？ 答：因为它是状态防火墙和NAT的实现基础。 OK，算是... 阅读全文

摘要： 今天我们讨论一下防火墙的数据包过滤模块iptable_filter的设计原理及其实现方式。 内核中将filter模块被组织成了一个独立的模块，每个这样独立的模块中都有个类似的init()初始化函数。编写完该函数后，用module_init()宏调用初始化函数；同样当模块被卸载时调用mod... 阅读全文

摘要： 作为ipchains的后继者，iptables具有更加优越的特性，良好的可扩展功能、更高的安全性以及更加紧凑、工整、规范的代码风格。 在2.6的内核中默认维护了三张表(其实是四张，还有一个名为raw的表很少被用到，这里不对其进行分析介绍了)：filter过滤表，nat地址转换表和mang... 阅读全文

摘要： Netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块(ip_tables)正是通过把自己所编写的一些钩子函数注册到Netfilter所监控的五个关键点(NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP... 阅读全文

摘要： 本人研究linux的防火墙系统也有一段时间了，由于近来涉及到的工作比较纷杂，久而久之怕生熟了。趁有时间，好好把这方面的东西总结一番。一来是给自己做个沉淀，二来也欢迎这方面比较牛的前辈给小弟予以指点，共同学习，共同进步。 能在CU上混的人绝非等闲之辈。因此，小弟这里说明一下：本系列博... 阅读全文

摘要： 作为面向对象编程的四大特征(抽象、封装、继承和多态)之一的多态性，是考察开发人员对面向对象的基础掌握程度的有力知识点。面试中也经常被问到像这样的问题：请简述一下什么是多态？C++多态的实现机制是什么？等等之类。今天我们就来小谈一下C++的多态机制。 首先，我们先开宗明义：在C++中，... 阅读全文