URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84943
[ Назад ]

Исходное сообщение
"Модули iptables != модули netfilter"
Отправлено Zorge , 17-Апр-09 13:26

Добрый %daypart%, при разработке фильтра неправедных пакетов для nix и изучении манов по этому делу столкнулся с одной неясностью.
В процессе поисков исходников столкнулся с двумя подклассами ответов - типа модуль к netfulter(http://www.linuxjournal.com/article/7184) и к iptables(http://www.opennet.me/base/dev/iptables_match_mod.txt.html).
Вопрос: в чем отличие модулей iptables от модулей netfilter? Точнее не отличие а +/- обеих реализаций. И вообще меня интересует конкретное место iptables в netfilter. То что "iptables — название пользовательской утилиты (запускаемой из командной строки) предназначенной для управления системой netfilter" и "iptables is the userspace command line program used to configure the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset." не очень полно дает понимание места iptables в netfilter. Хочется понимания шагов на котором выполняется обработка каждым из модулей (что раньше).
Спасибо.

Содержание

Модули iptables != модули netfilter,Andrey Mitrofanov, 13:57 , 17-Апр-09
Модули iptables != модули netfilter,pavel_simple, 15:09 , 17-Апр-09
- Модули iptables != модули netfilter,Zorge, 21:31 , 17-Апр-09
  - Модули iptables != модули netfilter,pavel_simple, 23:51 , 17-Апр-09
    - Модули iptables != модули netfilter,Zorge, 00:15 , 18-Апр-09
      - Модули iptables != модули netfilter,pavel_simple, 01:10 , 18-Апр-09

Сообщения в этом обсуждении

"Модули iptables != модули netfilter"
Отправлено Andrey Mitrofanov , 17-Апр-09 13:57

>В процессе поисков исходников столкнулся с двумя подклассами ответов - типа модуль
>к netfulter
Эта статья - из 2003го года времён ядра 2.4... Утилита iptables обновляется (=изменяется, развивается) регулярно. Подозреваю, что примерно то же происходит и с подсистемой ядра.
>Вопрос: в чем отличие модулей iptables от модулей netfilter?
Без понятия. |-)
> интересует конкретное место iptables в netfilter.
>То что "iptables — название пользовательской утилиты
>системой netfilter"
>не очень полно дает понимание места iptables в netfilter.
http:/openforum/vsluhforumID3/51072.html#2
Это два _многозначных_ слова/термина/ярлыка, которые все используют, как левой пятке захочется. Значений много (подозреваю, что в своём после по ссылке "нашёл" не все), почти (название у "утилиты ком.строки" - одно) полностью пересекаются, конкретное [узкое] значение извлекается с помощью телепатии и удачи -- из контекста и собственного понимания....
За неимением понимания -- nf и ipt = одно и то же, а детали тщательно скрываются %) ядерными физи^Wпрограммерами.

"Модули iptables != модули netfilter"
Отправлено pavel_simple , 17-Апр-09 15:09

>[оверквотинг удален]
>к netfulter(http://www.linuxjournal.com/article/7184) и к iptables(http://www.opennet.me/base/dev/iptables_match_mod.txt.html).
>Вопрос: в чем отличие модулей iptables от модулей netfilter? Точнее не отличие
>а +/- обеих реализаций. И вообще меня интересует конкретное место iptables
>в netfilter. То что "iptables — название пользовательской утилиты (запускаемой из
>командной строки) предназначенной для управления системой netfilter" и "iptables is the
>userspace command line program used to configure the Linux 2.4.x and
>2.6.x IPv4 packet filtering ruleset." не очень полно дает понимание места
>iptables в netfilter. Хочется понимания шагов на котором выполняется обработка каждым
>из модулей (что раньше).
>Спасибо.
netfilter это подсистема ядра, к ней есть модули
iptables это утилита управления для netfilter, обычно под каждый модуль netfilter имеется плагин для iptables ерализующий в свою очередь управление конкретным модулем netfilter.

"Модули iptables != модули netfilter"
Отправлено Zorge , 17-Апр-09 21:31

>netfilter это подсистема ядра, к ней есть модули
>iptables это утилита управления для netfilter, обычно под каждый модуль netfilter имеется
>плагин для iptables ерализующий в свою очередь управление конкретным модулем netfilter.
тогда меня интересует мнение общественности.
Пишу фильтр пакетов\их анализатор (склеивает фрагментированные пакеты, откидывает лишние подтверждения о получении). модулем чего их следует писать?

"Модули iptables != модули netfilter"
Отправлено pavel_simple , 17-Апр-09 23:51

>>netfilter это подсистема ядра, к ней есть модули
>>iptables это утилита управления для netfilter, обычно под каждый модуль netfilter имеется
>>плагин для iptables ерализующий в свою очередь управление конкретным модулем netfilter.
>
>тогда меня интересует мнение общественности.
>Пишу фильтр пакетов\их анализатор (склеивает фрагментированные пакеты, откидывает лишние подтверждения о получении).
>модулем чего их следует писать?
нет -- ну вы скажите как вы поняли написаное -- а то я уже боюсь вам объяснять -- а хак хоть сориентируюсь насколько вы не понимаете написаное

"Модули iptables != модули netfilter"
Отправлено Zorge , 18-Апр-09 00:15

и Match-модуль для iptables и модуль ядра с хуками netfilter предоставляют средства для работы с заголовками пакетов (sk_buff *skb) - что выбрать?

"Модули iptables != модули netfilter"
Отправлено pavel_simple , 18-Апр-09 01:10

>и Match-модуль для iptables и модуль ядра с хуками netfilter предоставляют средства
>для работы с заголовками пакетов (sk_buff *skb) - что выбрать?
вы извините но на вопрос "надо выкопать яму ?большую?маленькую?конусом?, что для этого использовать экскаватор или лопату" -- у меня нет ответа.
рекомендую посмотреть на исходники netfilter и iptables -- может сами поймёте чего вы хотите -- я же откланиваюсь, мне вас понять видимо не дано.