新闻中心

EEPW首页>嵌入式系统>设计应用> 基于嵌入式Linux的SOHO路由器设计

基于嵌入式Linux的SOHO路由器设计

作者: 时间:2010-07-12 来源:网络 收藏

  3.2 Netfilter 框架分析与NAT 技术实现

  Netfilter 是2.4 内核实现数据*滤、数据包处理和NAT 功能的框架。它为每种网络协议(IPv4, IPv6 等)定义一套钩子函数(IPv4 有5 个钩子函数),内核中任何模块可以对协议中的钩子函数进行注册与挂接,这些钩子函数在数据包流经协议栈时被调用,注册后的模块可以检查、修改、丢弃数据包及指示Netfilter 将数据包传入用户空间队列,进行异步处理。一个数据包按图3 所示的过程通过Netfilter 系统。

Netfilter 系统

  数 据 包 从 左 边 进 入 系 统 , 进 行 IP 校验后, 数据包经过第一个钩子函数NF_IP_PRE_ROUTING[1]进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发给本机的,则该数据经过钩子函数NF_IP_LOCAL_IN处理后传递给上层协议;若该数据包应该被转发则它被NF_IP_FORWARD[3]处理;经过发的数据包经过最后一个钩子函数NF_IP_POST_ROUTING[4]处理后,再传输到网络上。

  本地产生的数据经过钩子函数NF_IP_LOCAL_OUT[5]处理后,进行路由选择处理,然后经过NF_IP_POST_ROUTING[4] 处理以后发送到网络上。Netfilter 框架支持多种NAT,NAT 一般可分为源NAT 与目的NAT。源NAT 在数据包经过NF_IP_POST_ROUTING 时修改数据包的源地址,伪装是一个特殊的SNAT,目的NAT在数据包经过F_IP_LOCAL_OUT 或NF_IP_PRE―ROUTING 时修改数据包目的地址。

  本文利用 IPtables 实现IP 伪装、Port Forward 端口转发、ALG。IPtables 是一个在2.4内核中Netfilter 框架的数据包选择系统。地址转换会导致许多对NAT 敏感的应用协议无法正常工作,而地址转换应用网关(NAT ALG, Application Level Gateway),对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。IPtables 要求数据包流经指定的规则表,其中设定的规则用于实现数据*滤,网络地址转换及数据包处理,从而实现多台主机共享一个合法的IP 地址访问因特网,并实现*滤防火墙。


  4 结束语

  本文作者创新点:提出了一种操作系统的方案。与现有方案相比,本文采用ATM9TDMI+Linux 构架,能满足高速接入网用户需求,具有更高地系统稳定性和用户安全性。

linux操作系统文章专题:linux操作系统详解(linux不再难懂)

上一页 1 2 3 下一页

评论


相关推荐

技术专区

关闭