很不理解linux網(wǎng)橋與iptables的瓜葛.

iiiyyyhhhsss

bridge,按常理,都是工作在數(shù)據(jù)鏈路層.

而iptables,是屬于網(wǎng)絡(luò)層(ip層)的東西.


為什么,一個(gè)數(shù)據(jù)包如果需要轉(zhuǎn)發(fā),還需要經(jīng)過iptables的forward點(diǎn)呢?

不是網(wǎng)橋來做轉(zhuǎn)發(fā)的嗎?

按照我的理解,在網(wǎng)橋下,如果一個(gè)數(shù)據(jù)包需要轉(zhuǎn)發(fā),那么,應(yīng)該不需要往上層的協(xié)議棧傳送啊,怎么還會(huì)送到iptables里的?


感覺bridge與iptables很混...

誰(shuí)能幫幫忙,理清一下bridge與iptables的關(guān)系..

它們倆到底有什么瓜葛?

iiiyyyhhhsss

實(shí)情的確是這樣,只能證明:


iptables工作在兩層:


數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層


雖然很奇怪,為什么會(huì)工作在兩層,這樣不是使得分層次的網(wǎng)絡(luò)架構(gòu)變得模糊了嗎?

但事實(shí)的確是,兩層都有iptables.

Godbach

而iptables,是屬于網(wǎng)絡(luò)層(ip層)的東西.


為什么,一個(gè)數(shù)據(jù)包如果需要轉(zhuǎn)發(fā),還需要經(jīng)過iptables的forward點(diǎn)呢?

網(wǎng)橋處理的數(shù)據(jù)包還要經(jīng)過IP層，其中一個(gè)原因應(yīng)該是可以利用ip層的conntrack，對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行跟蹤。

另外，Netfilter框架的幾個(gè)hook點(diǎn)，并不是專用給iptables的，其他的功能也需要。iptables只是基于這些hook點(diǎn)，做了一些自己的實(shí)現(xiàn)。 不要把隸屬關(guān)系搞反了。

chengtao786

回復(fù) 1# iiiyyyhhhsss


    這是因?yàn)樵诰W(wǎng)橋那塊，對(duì)INET的hook有一個(gè)聯(lián)動(dòng)。所以INET的規(guī)則對(duì)網(wǎng)橋Bridge起到作用。
參看：net/bridge/br_netfilter.c中。
拿br_nf_pre_routing舉例說明。

1.        
   
2.         。。。。。       
   
3.         return NF_DROP;
   
4.         store_orig_dstaddr(skb);
   
5. 
   
6.         NF_HOOK(PF_INET, NF_INET_PRE_ROUTING, skb, skb->dev, NULL,
   
7.                 br_nf_pre_routing_finish);
   
8. 
   
9.         return NF_STOLEN;

復(fù)制代碼

獨(dú)孤九賤

iptables這個(gè)名字只存在用于用戶態(tài)，其內(nèi)核模塊名為Netfilter，而不是ipfilter，也不是ipfirewall……

既然名為NetXXX，所以它一開始就定位于Linux整個(gè)網(wǎng)絡(luò)棧（而非僅是tcp/ip棧）的一套擴(kuò)展接口處理，包括ip、ipv6，也包括網(wǎng)橋。

事實(shí)上，Netfilter對(duì)于網(wǎng)橋的支持，一開始也很“原始”，到了后來模仿ip層，形成了一整套完成的框架結(jié)構(gòu)，功能非常的強(qiáng)大！

Netfilter 的作用域，都是通過Hook來實(shí)現(xiàn)，樓主不想使用橋下的Netfilter，可以屏蔽這些Hook函數(shù)即可。事實(shí)上，橋下邊的Netfilter非常有用，例如，基于網(wǎng)橋的防火墻功能，或者網(wǎng)橋下的QoS（例如mangle操縱skb mark，為QoS的filter使用）。

platinum

iptables這個(gè)名字只存在用于用戶態(tài)，其內(nèi)核模塊名為Netfilter，而不是ipfilter，也不是ipfirewall……

既 ...
獨(dú)孤九賤 發(fā)表于 2010-08-17 10:47

個(gè)人認(rèn)為，netfilter 只是一個(gè)內(nèi)核的包過濾框架
iptables 用戶態(tài)程序?qū)��?yīng)的內(nèi)核態(tài)程序應(yīng)該是諸如 iptable_nat、iptable_filter、iptable_mangle、iptable_raw、ip_tables、x_tables 這樣的模塊
而這些模塊是注冊(cè)在 netfilter 上的，但實(shí)際上策略的遍歷都是在 *tables* 的 ko 模塊上運(yùn)作的
netfilter -> ip_tables/x_tables -> iptable_raw/iptable_mangle/iptable_filter/iptable_nat
應(yīng)該是這樣一種結(jié)構(gòu)

同理，用戶態(tài) ebtables 程序所對(duì)應(yīng)的內(nèi)核模塊也不是 netfilter，也有它自己的 br_ 模塊

iiiyyyhhhsss

網(wǎng)橋處理的數(shù)據(jù)包還要經(jīng)過IP層，其中一個(gè)原因應(yīng)該是可以利用ip層的conntrack，對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行跟蹤。
...
Godbach 發(fā)表于 2010-08-17 09:47

   

iptables這個(gè)名字只存在用于用戶態(tài)，其內(nèi)核模塊名為Netfilter，而不是ipfilter，也不是ipfirewall……

既 ...
獨(dú)孤九賤 發(fā)表于 2010-08-17 10:47

幾位說的很精辟啊,說到點(diǎn)子上了.

netfilter是內(nèi)核的包過濾架構(gòu),它主要就是在內(nèi)核中放置一些hook點(diǎn).

這些hook點(diǎn)并不針對(duì)具體某一個(gè)層.在鏈路層有hook點(diǎn),在ip層也有hook點(diǎn).

iptables是基于hook點(diǎn)實(shí)現(xiàn),也就是說,只是在這些hook點(diǎn)上,加上一些用戶的操作而已..


置于ebtables,暫在研究中...
感覺應(yīng)該也是在數(shù)據(jù)包路徑上的某些點(diǎn),插入一些用戶的操作...
ebtables根據(jù)官方的描述,是針對(duì)橋的,也即工作在數(shù)據(jù)鏈路層...

The ebtables program is a filtering tool for a Linux-based bridging firewall. It enables transparent filtering of network traffic passing through a Linux bridge.

獨(dú)孤九賤

個(gè)人認(rèn)為，netfilter 只是一個(gè)內(nèi)核的包過濾框架
iptables 用戶態(tài)程序?qū)��?yīng)的內(nèi)核態(tài)程序應(yīng)該是諸如 ipta ...
platinum 發(fā)表于 2010-08-17 12:06

嘿嘿，我說的Netfilter，包含了整個(gè)內(nèi)核部份了。不再細(xì)分了喔

ruoyisiyu

這種東西見仁見智，關(guān)鍵是看你需要如何去用。如果你愿意，你可以不必用ebtables/iptables這種用戶層工具，直接修改layer2，layer3層代碼。工具是為了達(dá)到目的的一種手段，不是唯一。

jianhuali0118

轉(zhuǎn)發(fā)可以通過兩種方式
一種：工作在鏈路層，根據(jù)mac不同轉(zhuǎn)發(fā)，就是網(wǎng)橋，此時(shí)網(wǎng)卡工作在混雜模式。
二種：工作在網(wǎng)絡(luò)層，根據(jù)ip不同轉(zhuǎn)發(fā)，就是路由器，網(wǎng)卡不需要工作在混雜模式；