转载自:http://blog.chinaunix.net/uid-23069658-id-3160506.html http://blog.chinaunix.net/uid-23069658-id-3243434.html https://blog.csdn.net/jasonchen_gbd/article/details/44873089 https://blog.csdn.net/fangxin205/article/details/54972153 1.网络通信的基本模型 数据在协议…

前言 防火墙是保护服务器的重要工具. Linux中最常用的基本防火墙软件是iptables.iptables通过与Linux内核网络堆栈(networking stack)中的包过滤钩子(packet filtering hooks)进行交互来工作. 出入网络系统的数据包将在通过网络堆栈时会触发这些钩子.这些内核钩子称为netfilter框架. Netfilter 钩子 一个程序可以注册5个netfilter钩子. 当数据包通过网络堆栈时,将触发与被注册钩子相关的内核模块.下面介绍钩子 NF_I…

目录 Netfilter框架 Netfilter的5个hook点 netfilter协议栈数据流分析 连接跟踪conntrack conntrack连接跟踪表条目 连接跟踪表大小 管理连接跟踪表 iptables iptables table iptables chain table和chain的关系 iptables状态匹配 参考 Netfilter框架 netfilter是Linux底层包处理框架,在协议栈中提供了若干hook点,可以用于对数据包进行过滤.修改.地址转换(SNAT/DNAT)…

ifconfig 命令用于查看网络相关的命令: 安装:yum install net-tools -y  ifdown  eth_name  关闭网卡  ifup  eth_name   开启网卡 配制虚拟网卡: 编辑的内容: DEVICE=bond:1BONDING_OPTS="updelay=0 resend_igmp=1 use_carrier=1 miimon=100 arp_all_targets=any min_links=0 downdelay=0 xmit_hash_policy…

一.什么是防火墙? 防火墙其实就是一个隔离工具:工作于主机或者网络的边缘 对于进出本主机或者网络的报文根据事先定义好的网络规则做匹配检测 对于能够被规则所匹配的报文做出相应处理的组件(这个组件可以是硬件,也可以是软件) 种类: 主机防火墙.网络防火墙 硬件防火墙.软件防火墙 硬件防火墙:思科(AIR-CT5508-300-K9).华为(USG6670) 报文:报文也是网络传输的单位,传输过程中会不断的封装成分组.包.帧来传输,封装的方式就是添加一些信息段,那些就是报文头以一定格式组织起来的数据.…

1. Netfilter中hook的所在位置 当网络上有数据包到来时,由驱动程序将数据包从网卡内存区通过DMA转移到设备主存区(内存区), 之后触发中断通知CPU进行异步响应,之后ip_rcv函数会被调用到: ip_rcv函数首先对报文进行检验,最后调用NF_HOOK函数将控制权交给在NF_IP_PRE_ROUTING注册的规则进行处理,之后数据到达ip_rcv_finish函数并进行路由标的查询,确定该报文是发往本地还是转发. 如果该报文是发往本地的,则调用ip_local_deliver函数…

netfilter 是 Linux 内置的一种防火墙机制,我们一般也称之为数据包过滤机制.iptables 则是一个命令行工具,用来配置 netfilter 防火墙.下图展示了一个带有防火墙的简单网络拓扑结构: 图中的 Linux 主机既充当了路由器的角色,同时又充当了防火墙的角色.本文我们将以该拓扑结构介绍 netfilter/iptables 防火墙中的基本概念和主要功能.说明:本文的演示环境为 ubuntu 16.04. netfilter 与 iptables 的关系 netfilter…

IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table.chain.rule三级来存储数据报的各种规则.Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中.钩子函数通过访问iptables来判断应该返回什么值给Netfilter框架. iptables的结构: 表名包括(4张表): raw:…

概念简介 名称 Netfilter/iptables模块有两部分组成: Netfilter框架以及iptables,iptables又分为iptables(内核空间)和iptables命令行工具(用户空间): Netfilter/iptables模块 在一般使用者眼里简称为iptables,但其实在相关开发者眼里更倾向于叫作Netfilter,从项目官网地址也看得出来: https://netfilter.org/ 作用 用于数据包处理,比如:报文的转发.过滤.修改,网络地址转换等功能,是一种软…

上篇博文介绍了无线mesh网络和adhoc网络的区别,这篇文章将介绍无线mesh网络的骨干网节点的组建过程.首先需要介绍下骨干网节点的设计方案:每个骨干网节点都是由一块友善之臂的tiny6410 arm开发板+两块TP-LINK TL-WN721N USB无线网卡+linux 2.6.38系统组成的,其中一块网卡工作在adhoc模式下,用来和其他骨干网节点进行无线连接(自组织形式连接,而不是wifi接入点方式),另一块网卡工作在wifi的master模式下,也就是说需要在这块网卡上创建wifi热…