LINUX内核2.4.x的网络安全框架

　　在分析LINUX2.4.x网络安全的实现之前先简单介绍一下它里面包含的几个重要概念：netfilter、iptables、match、target、nf_sockopt_ops、网络安全功能点的实现。详细解释会在后面的分析中讲到。

　　首先是netfilter，它定义了协议栈中的检查点和在检查点上引用的数据结构，以及在检查点上对这些结构引用的过程。iptables定义了实现网络安全功能的规则的组织以及对规则的操作。一个规则中包含零个或多个match和一个target，规则组织沿用了LINUX2.2.x中的chain，rule的概念，但是增加了table的概念，这三者的关系是：table是实现某项功能所有规则的总和，chain是在某个检查点上所引用规则的集合，rule是一个单独的规则。match在规则中用于匹配数据包中的各项参数，每个match匹配特定的参数，所以一个规则中可以有多个match，这包括系统已定义的match，也包括通过内核模块另外添加的match。target在规则中决定如何处理匹配到的数据包，因此在target中实现了具体的网络安全功能。nf_sockopt_ops是在系统调用get/setssockopt中引用的数据结构，实现用户空间对规则的添加、删除、修改、查询等动作。以上的结构在使用之前必须先注册到系统中才能被引用。

　　LINUX2.4.x网络安全实现了包过滤，地址转换（包含了LINUX2.2.x中的地址伪装和透明代理功能并有其他扩展功能），连接跟踪（这是实现地址转换的基础，在它里面实现了对连接状态的记录和监控，与状态检测类似），Mangle（这是LINUX2.4.x新增的一个功能，它对数据包进行检查但不做禁止、丢弃或允许的判断）。实现这些功能点需要分别注册netfilter，iptables，match，target，nf_sockopt_ops的数据结构。如果实现其他新的功能，只需定义相应的结构并将它注册到系统中，并且通过用户空间的配置工具（这个配置工具也须支持新的结构）把它加入到规则中就可以了。这些结构在规则中自动被引用。

　　2.netfilter

　　netfilter定义了协议栈中的检查点和检查点上引用的数据结构以及对这些数据结构引用的过程。首先看看在检查点上引用的数据结构，如图所示：

　　图2.1 nf_hoo_ops数据结构的组织

　　图中ns_hook_ops就是在检查点上引用的结构。每个协议栈预先定义的8个链表数组用于保存这些结构，这些链表与协议栈中的检查点一一对应。在实际的应用中，这8个链表并不一定都被使用，比如在IPV4中，只定义了5个检查点，分别对应前5个链表。nf_hook_ops结构如下：