3.3.1Netfilter的5个钩子
文档摘要
3.3.1 Netfilter 的 5 个钩子 Netfilter 围绕网络协议栈(主要在网络层)埋下了 5 个钩子(也称 hook)[^1],用来干预 Linux 网络通信。 内核中的其他模块(如 iptables、IPVS 等)向这些钩子注册回调函数。当数据包进入内核网络协议栈并经过这些钩子时,注册的回调函数自动触发,从而对数据包进行相应的干预和处理。 这 5 个钩子的名称与含义如下: PREROUTING:只要数据包从设备(如网卡)进入协议栈,就会触发该钩子。当我们需要修改数据包的 “Destination IP” 时,会使用到该钩子,即 PREROUTING 钩子主要用于目标网络地址转换(DNAT,Destination NAT)。 FORWARD:顾名思义,指转发数据包。
评论区
(0)
U