本人这学期要做本科毕业设计，任务是Linux下防火墙状态检测技术的实现。本人对Linux下的网络开发和状态检测技术都缺乏了解，查了一些资料后，初步设想是写几个模块挂到iptables的hook点上，这几个模块起到维护一张状态表的并根据表中内容过滤包的功能。可是我有了这个设想却不知道该如何下手编程，急死了。请大家指点一下，我这个设想的方向对不对？如果对的话该怎样入手，需要看些什么资料，分析些什么代码？如果不对的话应该往哪个方向努力，才能在2个月左右的时间内完成这个任务，得到初步的成果？
小弟只是想得到各位高人的一个方向性的指点，了解一下自己需要去做些什么。请大家畅所欲言好了，分不够还可以添，谢谢各位了！

就是分析netfilter和iptables本身的代码啊.
HOOK是在netfilter而不是iptables上的。

iptables本身就有基本的状态检测吧?
iptables -m state --state ....

netfilter是在内核中的,Iptables和Ipchains是用户态的,和内核态的netfilter模块相交互.Iptables和Ipchains的最大区别就是Iptables有状态检验,Ipchains就没有.

看了一下IPTABLES的代码,好变态...还不如不看

关注

up