LINUX内核2.4.x的网络安全框架

nf_register_hook函数将ns_hook_ops结构注册到这些链表上，链表的索引由结构中hooknum指定。同一链表上的结构按优先值由小到大排列。在检查点上引用这些结构时，以它们在链表上的先后顺序引用。
检查点由宏NF_HOOK定义。在检查点上，函数nf_hook_slow调用函数nf_iterate遍历对应链表并调用链表上的结构ns_hook_ops中定义的函数。如果结构中的函数返回NF_ACCEPT，则继续调用下一个结构中的函数；如果结构中的函数返回NF_DROP或NF_STOLEN或NF_QUEUE，则将这个值返回给nf_hook_slow；如果结构中的函数返回NF_REPEAT,则重复调用此结构上的函数；如果到了链表上的最后一个结构，则把这个结构中函数的返回值返回给ns_hook_slow。在ns_hook_slow中判断nf_iterate的返回值，如果是NF_ACCEPT，则允许数据包通过，并将数据包传递给协议栈中的下一个函数；如果是NF_DROP，则释放数据包，协议栈流程中断；如果是NF_STOLEN，同样中断协议栈的流程，但是没有释放这个数据包；如果是NF_QUEUE，则将这个包发送到用户空间处理，同时中断协议栈的流程。
检查点分布在协议栈的流程中，下图是IPV4中的检查点：

图2.2IPV4中的检查点
图中检查点的名称如下：

检查点编号 检查点名称 检查点所在文件名 1 NF_IP_PRE_ROUTING ip_input.c 2 NF_IP_LOCAL_IN ip_input.c 3 NF_IP_FORWARD ip_forward.c 4 NF_IP_POST_ROUTING ip_output.c 5 NF_IP_LOCAL_OUT ip_output.c

表2.1IPV4中检查点的名称
图中，ROUTE(1)处对收到的包做路由查找并判断这个包是需要转发的包还是发往本机上层的包，ROUTE(2)处查找发出包的路由。NF_IP_PRE_ROUTING处对所有传入IP层的数据包进行检查，在这之前，有关数据包的版本、长度、校验和等正确性检查已经完成。NF_IP_LOCAL_IN对发往本机上层的数据包进行检查。请注意这两个检查点与LINUX2.2.x中检查点的区别，在LINUX2.2.x没有区分发往本机上层包和需要转发的包，所以在做完地址解伪装之后又调用了一次路由查找函数，为解伪装之后的包查找路由。NF_IP_FORWARD处检查需要转发的数据包。NF_IP_POST_ROUTING处对所有向链路层传递的数据包进行检查，注意在此处数据包的路由已经确定。NF_IP_LOCAL_OUT对本机发出的包进行检查，此处的路由还没有确定，所以可以做目的地址转换。实现某个网络安全功能可能需要在多个检查点上注册相应的结构，在后面的分析中我们可以看到具体的例子。