Linux系統中的Netfilter提供了一個抽象、通用化的框架，該框架定義的一個子功能的實現就是包過濾子系統，框架包含以下五部分：1. 為每種網絡協議(IPv4、IPv6等)定義一套鉤子函數（IPv4定義了5個鉤子函數）, 這些鉤子函數在數據報流過協議棧的幾個關鍵點被調用。在這幾個點中，協議棧將把數據報及鉤子函數標號作為參數調用Netfilter框架。

2. 內核的任何模塊可以對每種協議的一個或多個鉤子進行注冊，實現掛接，這樣當某個數據包被傳遞給Netfilter框架時，內核能檢測是否有任何模塊對該協議和鉤子函數進行了注冊。若注冊了，則調用該模塊的注冊時使用的回調函數，這樣這些模塊就有機會檢查(可能還會修改)該數據包、丟棄該數據包及指示Netfilter將該數據包傳入用戶空間的隊列。

3 .那些排隊的數據包是被傳遞給用戶空間的異步地進行處理。一個用戶進程能檢查數據包，修改數據包，甚至可以重新將該數據包通過離開內核的同一個鉤子函數中注入到內核中。 4. 任何在IP層要被拋棄的IP數據包在真正拋棄之前都要進行檢查。例如允許模塊檢查IP-Spoofed包（被路由拋棄）。

5.IP層的五個HOOK點的位置如下所示：(1)NF_IP_PRE_ROUTING：剛剛進入網絡層的數據包通過此點（剛剛進行完版本號，校驗 和等檢測），源地址轉換在此點進行；IP_Input.c中IP_Rcv調用；(2)NF_IP_LOCAL_IN：經路由查找后，送往本機的通過此檢查點，INPUT包過濾在此點進行，IP_local_deliver中調用；(3)NF_IP_FORWARD：要轉發的包通過此檢測點，FORWORD包過濾在此點進行； (4)NF_IP_POST_ROUTING：所有馬上便要通過網絡設備出去的包通過此檢測點，內置的目的地址轉換功能（包括地址偽裝）在此點進行；(5)NF_IP_LOCAL_OUT：本機進程發出的包通過此檢測點，OUTPUT包過濾在此點進行。

這些點是已經在內核中定義好的，內核模塊能夠注冊在這些HOOK點進行的處理，可使用nf_register_hook函數指定。在數據報經過這些鉤子函數時被調用，從而模塊可以修改這些數據報，并向Netfilter返回如下值：

NF_ACCEPT 繼續正常傳輸數據報
NF_DROP 丟棄該數據報，不再傳輸
NF_STOLEN 模塊接管該數據報，不要繼續傳輸該數據報
NF_QUEUE 對該數據報進行排隊(通常用于將數據報給用戶空間的進程進行處理)
NF_REPEAT 再次調用該鉤子函數

一個基于Netfilter框架的、稱為IPtables的數據報選擇系統在Linux2.4內核中被應用，其實它就是IPchains的后繼工具，但卻有更強的可擴展性。內核模塊可以注冊一個新的規則表(table)，并要求數據報流經指定的規則表。這種數據報選擇用于實現數據報過濾(filter表)，網絡地址轉換(Nat表)及數據報處理(Mangle表)。 Linux2.4內核提供的這三種數據報處理功能都基于Netfilter的鉤子函數和IP表。它們是獨立的模塊，相互之間是獨立的。它們都***的集成到由Netfileter提供的框架中。
包過濾

Filter表格不會對數據報進行修改，而只對數據報進行過濾。IPtables優于IPchains的一個方面就是它更為小巧和快速。它是通過鉤子函數NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此對于任何一個數 報只有一個地方對其進行過濾。這相對IPchains來說是一個巨大的改進，因為在IPchains中一個被轉發的數據報會遍歷三條鏈。

NAT

NAT表格監聽三個Netfilter鉤子函數：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。 NF_IP_PRE_ROUTING實現對需要轉發的數據報的源地址進行地址轉換而NF_IP_POST_ROUTING則對需要轉發的數據包的目的地址進行地址轉換。對于本地數據報的目的地址的轉換則由NF_IP_LOCAL_OUT來實現。NAT表格不同于filter表格，因為只有新連接的***個數據報將遍歷表格，而隨后的數據報將根據***個數據報的結果進行同樣的轉換處理。NAT表格被用在源NAT、目的NAT，偽裝(其是源NAT的一個特例)及透明代理(其是目的NAT的一個特例)。

數據報處理(Packet Mangling)

Mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用 mangle表，可以實現對數據報的修改或給數據報附上一些帶外數據。當前mangle表支持修改TOS位及設置skb的nfmard字段。

如果我們想加入自己的代碼，便要用nf_register_hook函數。我們的工作便是生成一個struct nf_hook_ops結構的實例，并用nf_register_hook將其HOOK上。其中list項我們總要初始化為{NULL,NULL}；由于一般在IP層工作，pf總是PF_INET；hooknum就是我們選擇的HOOK點;一個HOOK點可能掛多個處理函數，誰先誰后，便要看優先級，即priority的指定了。Netfilter_IPv4.h中用一個枚舉類型指定了內置的處理函數的優先級。

【編輯推薦】

1. 巧用Recent模塊加固Linux安全
2. Linux安全訪問控制模型應用及方案設計
3. Linux安全設置 全面堅固系統穩定安全