wjlkoorey258

摘要： 面向连接的TCP程序设计 基于TCP的程序开发分为服务器端和客户端两部分，常见的核心步骤和流程： 其实按照上面这个流程调用系统API确实可以完全实现应用层程序的开发，一点问题没有。可随着时间的推移，你会觉得这样子的开发毫无激情。为什么TCP的开发就要按照这样的流程来呢？... 阅读全文

摘要： 基于无连接的UDP程序设计 同样，在开发基于UDP的应用程序时，其主要流程如下： 对于面向无连接的UDP应用程序在开发过程中服务端和客户端的操作流程基本差不多。对比面向连接的TCP程序，服务端少了listen和accept函数。前面我们也说过listen函数最主要的作用... 阅读全文

摘要： Netfilter连接跟踪的详细流程 上一篇我们了解了连接跟踪的基本框架和大概流程，本篇我们着重分析一下，数据包在连接跟踪系统里的旅程，以达到对连接跟踪运行原理深入理解的目的。 连接跟踪机制在Netfilter框架里所注册的hook函数一共就五个：ip_conntrack_de... 阅读全文

摘要： 连接跟踪系统的初始化流程分析 有了前面的知识，我们再分析连接跟踪系统的初始化ip_conntrack_standalone_init()函数就太容易不过了。还是先上ip_conntrack_standalone_init()函数的流程图：该函数的核心上图已经标出来了“初始化连接跟踪系统”... 阅读全文

摘要： 基于连接跟踪机制的状态防火墙的设计与实现 连接跟踪本身并没有实现什么具体功能，它为状态防火墙和NAT提供了基础框架。前面几章节我们也看到：从连接跟踪的职责来看，它只是完成了数据包从“个性”到“共性”抽象的约定，即它的核心工作是如何针对不同协议报文而定义一个通用的“连接”的概念出来，具体的实现由不... 阅读全文

摘要： 网络地址转换：NAT Netfitler为NAT在内核中维护了一张名为nat的表，用来处理所有和地址映射相关的操作。诸如filter、nat、mangle抑或raw这些在用户空间所认为的“表”的概念，在内核中有的是以模块的形式存在，如filter；有的是以子系统方式存在的，如nat，但... 阅读全文

摘要： 如何理解Netfilter中的连接跟踪机制？ 本篇我打算以一个问句开头，因为在知识探索的道路上只有多问然后充分调动起思考的机器才能让自己走得更远。连接跟踪定义很简单：用来记录和跟踪连接的状态。 问：为什么又需要连接跟踪功能呢？ 答：因为它是状态防火墙和NAT的实现基础。 OK，算是... 阅读全文

摘要： 今天我们讨论一下防火墙的数据包过滤模块iptable_filter的设计原理及其实现方式。 内核中将filter模块被组织成了一个独立的模块，每个这样独立的模块中都有个类似的init()初始化函数。编写完该函数后，用module_init()宏调用初始化函数；同样当模块被卸载时调用mod... 阅读全文

摘要： 作为ipchains的后继者，iptables具有更加优越的特性，良好的可扩展功能、更高的安全性以及更加紧凑、工整、规范的代码风格。 在2.6的内核中默认维护了三张表(其实是四张，还有一个名为raw的表很少被用到，这里不对其进行分析介绍了)：filter过滤表，nat地址转换表和mang... 阅读全文

摘要： Netfilter框架为内核模块参与IP层数据包处理提供了很大的方便，内核的防火墙模块(ip_tables)正是通过把自己所编写的一些钩子函数注册到Netfilter所监控的五个关键点(NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP... 阅读全文