基于嵌入式Linux的SOHO路由器设计

　　3.2 Netfilter 框架分析与NAT 技术实现

　　Netfilter 是Linux2.4 内核实现数据*滤、数据包处理和NAT 功能的框架。它为每种网络协议(IPv4, IPv6 等)定义一套钩子函数（IPv4 有5 个钩子函数)，内核中任何模块可以对协议中的钩子函数进行注册与挂接，这些钩子函数在数据包流经协议栈时被调用，注册后的模块可以检查、修改、丢弃数据包及指示Netfilter 将数据包传入用户空间队列，进行异步处理。一个数据包按图3 所示的过程通过Netfilter 系统。

　　数 据 包 从 左 边 进 入 系 统 ， 进 行 IP 校验后， 数据包经过第一个钩子函数NF_IP_PRE_ROUTING[1]进行处理；然后就进入路由代码，其决定该数据包是需要转发还是发给本机的；若该数据包是发给本机的，则该数据经过钩子函数NF_IP_LOCAL_IN处理后传递给上层协议；若该数据包应该被转发则它被NF_IP_FORWARD[3]处理；经过发的数据包经过最后一个钩子函数NF_IP_POST_ROUTING[4]处理后，再传输到网络上。

　　本地产生的数据经过钩子函数NF_IP_LOCAL_OUT[5]处理后，进行路由选择处理，然后经过NF_IP_POST_ROUTING[4] 处理以后发送到网络上。Netfilter 框架支持多种NAT，NAT 一般可分为源NAT 与目的NAT。源NAT 在数据包经过NF_IP_POST_ROUTING 时修改数据包的源地址，伪装是一个特殊的SNAT，目的NAT在数据包经过F_IP_LOCAL_OUT 或NF_IP_PRE―ROUTING 时修改数据包目的地址。

　　本文利用 IPtables 实现IP 伪装、Port Forward 端口转发、ALG。IPtables 是一个在Linux2.4内核中基于Netfilter 框架的数据包选择系统。地址转换会导致许多对NAT 敏感的应用协议无法正常工作，而地址转换应用网关(NAT ALG, Application Level Gateway)，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。IPtables 要求数据包流经指定的规则表，其中设定的规则用于实现数据*滤，网络地址转换及数据包处理，从而实现多台主机共享一个合法的IP 地址访问因特网，并实现*滤防火墙。

　　4 结束语

　　本文作者创新点：提出了一种基于嵌入式Linux操作系统的SOHO路由器设计方案。与现有设计方案相比，本文采用ATM9TDMI+Linux 构架设计SOHO路由器，能满足高速接入网用户需求，具有更高地系统稳定性和用户安全性。