Linux 中IP包過濾的實現(xiàn)

Linux 中IP包過濾的實現(xiàn)

 

裝備指揮技術學院   李新洪  李軍  張永樂

 

摘 要  本文主要介紹在Linux

內(nèi)核中實現(xiàn)IP包過濾的基本流程，同時對IP偽裝和網(wǎng)絡地址轉換（NAT）的實現(xiàn)作簡要的介紹。

關鍵詞  包過濾 防火墻 網(wǎng)絡地址轉換（NAT） IP偽裝

隨著因特網(wǎng)的迅猛發(fā)展，信息安全、網(wǎng)絡安全已經(jīng)成為人們?nèi)找骊P注的焦點。越來越多的企業(yè)和機關已經(jīng)開始利用防火墻技術來保障網(wǎng)絡不受外部黑客的入侵。包過濾技術是防火墻技術的技術核心，更好的理解包過濾的機制有助于我們更深刻的理解和應用防火墻來保障網(wǎng)絡信息的安全。

一、      Linux網(wǎng)絡部分代碼分析

Linux

網(wǎng)絡層采用統(tǒng)一的緩沖區(qū)結構skbuff，一個個單獨的skbuff被組織成雙向鏈表的形式。網(wǎng)卡接收到數(shù)據(jù)幀后,系統(tǒng)內(nèi)核為接收到的數(shù)據(jù)幀分配一塊內(nèi)存,然后將數(shù)據(jù)整理成skbuff的結構.在網(wǎng)絡協(xié)議處理的時候,數(shù)據(jù)均以skbuff的形式在各層之間傳遞、處理。

skbuff的強大功能在于它提供了眾多指針,可以快速的定位協(xié)議頭位置;它也同時保留了許多數(shù)據(jù)包信息(如使用的網(wǎng)絡設備等),以便協(xié)議層根據(jù)需要靈活應用.
整個網(wǎng)絡層的流程如下(

以兩個進程通過TCP/IP進行通信為例):

【Linux 中IP包過濾的實現(xiàn)】相關文章：

Linux對TCP/IP的支持淺析08-06

基于Linux內(nèi)核的鍵盤模擬實現(xiàn)08-19

在測控系統(tǒng)中用IP核實現(xiàn)D/A轉換08-06

帶硬件地址識別的UART IP 的設計和實現(xiàn)08-06

一種可進化IP核的設計和實現(xiàn)08-06

TCP/IP在網(wǎng)絡中的高效配置08-06

基于ARM的嵌入式TCP/IP協(xié)議的實現(xiàn)08-06

在校園網(wǎng)中管理ip地址08-07

基于PXA255的PDA交通管理系統(tǒng)在Linux環(huán)境下的實現(xiàn)08-06