Linux Netfilter从入门到精通 ——第1部分：基础框架

Linux Netfilter从入门到精通 ——第1部分：基础框架

小白也能懂的Netfilter钩子与包过滤机制

作为Linux内核中至关重要的网络框架，netfilter 几乎支撑着所有现代Linux防火墙解决方案（如iptables、nftables）的运行。对于初学者来说，理解netfilter的工作原理是掌握Linux网络安全的第一步。本文将用最通俗的语言带你认识这个藏在内核里的“交通警察”。

1. 什么是netfilter？

netfilter 是Linux内核2.4版本开始引入的一个通用网络框架，它允许内核模块在网络数据包流经的各个关键路径上注册回调函数。每当有数据包经过这些“检查点”时，内核就会暂停数据包的处理，并调用注册在这些点上的函数，从而实现数据包的包过滤、网络地址转换（NAT）、数据包修改等功能。简而言之，netfilter就是Linux内核中内置的一套“钩子”机制。

2. 五大钩子点

netfilter在IPv4协议栈中定义了五个核心的钩子点（hook points），它们分布在数据包从进入网卡到离开网卡的完整路径上：

• PREROUTING：数据包刚进入网络层，还未做路由选择之前。常用于目的地址转换（DNAT）。
• INPUT：数据包经过路由判断后，目的地为本机时触发。用于过滤发往本机的数据包。
• FORWARD：数据包经过路由判断后，需要转发到其他主机时触发。用于转发路径上的过滤。
• OUTPUT：本机进程发送的数据包在离开本机前触发。用于过滤本机发出的数据包。
• POSTROUTING：数据包即将离开网卡前触发，通常用于源地址转换（SNAT）。

图：数据包流经netfilter钩子点的顺序

3. 数据包的旅程

为了更直观地理解，我们来看一个从外部访问本机Web服务的TCP数据包：它首先进入网卡，触发PREROUTING钩子；接着内核做路由选择，发现目的地是本机，于是触发INPUT钩子，然后才传递给上层的Web服务。如果本机作为路由器转发数据包，则经过PREROUTING后，路由判断需要转发，就会触发FORWARD钩子，最后通过POSTROUTING发送出去。整个过程清晰展示了netfilter如何在不干扰正常网络栈的前提下，赋予管理员强大的控制能力。

4. netfilter与iptables的关系

很多人听说过iptables，但未必知道它其实是netfilter的用户态配置工具。iptables将规则组织成表（如filter表、nat表），每个表对应不同的功能，而每个规则又挂在特定的钩子点上。当数据包触发钩子点时，netfilter会调用相应的iptables规则进行匹配和处理。这种设计使得Linux防火墙既高效又灵活，甚至能实现状态防火墙（通过连接跟踪模块）。

5. 总结与预告

本文是netfilter系列的第一篇，我们介绍了它的基本概念、五大钩子点以及数据包处理流程。通过理解这些基础，你已经揭开了Linux内核网络防火墙的神秘面纱。下一节我们将深入每个钩子点的实际应用，并用简单的命令行演示如何通过iptables操作这些钩子。如果你对包过滤、NAT或任何Linux网络话题感兴趣，请持续关注！

本文关键词：netfilter Linux防火墙 包过滤 钩子点