在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用netfilter框架。 4. 任何在ip层要被抛弃的ip数据包在真正抛弃之前都要进行检查。内核模块可以注册一个新的规则表,并要求数据报流经指定的规则表。它们是独立的模块,相互之间是独立的。iptables优于ipchains的一个方面就是它更为小巧和快速。因此对于任何一个数 据报只有一个地方对其进行过滤。这相对ipchains来说是一个巨大的改进,因为在ipchains中一个被转发的数据报会遍历三条链。NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理。 mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。当前mangle表支持修改TOS位及设置skb的nfmard字段。
暂无评论