基于ｌｉｎｕｘ的网络控制系统

数据包从左边进入系统，进行IP校验和，数据包流经Netfiler框架的第一个钩子NF_IP_PREROUTING。进入路由代码，在该处决定该数据包是转发还是发往本机。若该数据包是发给本机的，则数据流经过Netfilter钩子NF_IP_LOCAL_IN之后才能传递给本机。若该数据包转发则它被Netfilter钩子NF_IP_FORWARD处理。经过转发的数据包经过最后一个Netfilter钩子NF_IP_POSTROUTING处理以后，传输出系统。本机产生的数据经过钩子NF_IP_LOCAL_OUT处理，进行路由选择处理，通过NF_IP_POSTROUTING发送出本系统。 （二）IPTABLES 基于Netfilter框架，称为iptables的数据报选择系统在Linux2.4内核中被应用。内核模块可以注册一个新的规则表（table表），并要求数据报流经指定的规则表。这种数据报选择用于实现数据报过滤（filter表），网络地址转换（nat表）及数据报处理（mangle表）。 Linux2.6内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和IP表。它们是独立的模块，相互之间是独立的。它们都完美的集成到由Netfilter提供的框架中。 1．包过滤（filter） filter表不会对数据报进行修改，而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN，NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进，因为在ipchains中一个被转发的数据报会遍历三条链。 2．网络地址转换（NAT） NAT表示监听三个Netfilter钩子函数:NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING和NF_IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发的数据报的源地址进行地址转换。NF_IP_POST_ROUTING则对需要转发的数据包的目的地址进行地址转换。对于本地数据报的目的地址的转换则由NF_IP_LOCAL_OUT来实现。 NAT表不同于filter表，因为只有新连接的第一个数据报将遍历NAT表，而随后的数据报将根据第一个数据报的结果进行同样的转换处理。 NAT表用于源NAT，目的NAT，伪装（是源NAT的一个特例）及透明代理（是目的NAT的一个特例）。 3．数据报处理（mangle） mangle表在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用mangle表，可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。 iptables作为用户管理程序，是用来配置Netfilter过滤规则的工具，实现对Netfilter过滤规则组织以及添加、删除等管理操作。规则是定义了数据包过滤的条件以及处理的方式。iptables是与Linux内核中的Netfilter机制紧密结合的防火墙，是Linux操作系统中的一个管理内核数据包过滤的工具，能够实现连接限制、网络地址转换（NAT）、日志以及其他许多功能。 三、网络控制具体构建实例 下面以我校图书馆的具体要求为例，说明如何利用Netfilter/iptables配置应用防火墙。 我校图书馆局域网位于校园网内，有三个网段，分别是172.16.97.0/24，172.16.32.98/24，172.16.99.0/24。图书馆服务器位于172.16.99.0/24网段、工作人员用机和读者公共检索位于172.16.98.0/24段，电了阅览室位于172.16.97.0/24网段。电了阅览室的网络需求基本无限制，属自由区；关键在于对服务器和数据库服务器的保护，工作人员可自由访问Intemet但限制使用QQ，BT等服务，限制读者公共检索在校园网内使用。