基于Netfilter框架和IP Queue机制的轻量级网络防火墙实现

摘要

一般而言,要在Linux下开发防火墙的程序,需要对内核协议栈有深入的理解,并掌握内核协议栈代码的细节.这对普通开发者是非常有难度的.Netfilter 是一个支持数据报过滤、数据报处理、NAT等功能的内核子系统框架.以Linux 2.6 内核为基础.IP Queue 机制是 Linux 内核在Netfilter框架的基础上提供的,是应用层上的机制,通过 NetLink 和内核进行交互,这使得开发一些用户态的防火墙应用成为可能.在此基础上,同时实现了一种基于 Netfilter 框架和 IP Queue 机制的轻量级防火墙.通过对比测试表明,由于设计清晰的模块架构、较强的可扩展性,本文实现的轻量级防火墙能够很好地达到实际要求,容易开发出更专业防火墙程序.