连接跟踪子系统之核心实现

最新推荐文章于 2023-03-17 18:19:30 发布
最新推荐文章于 2023-03-17 18:19:30 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter 连接跟踪 nf_conntrack_in nf_conntrack_confirm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoyu_750516366/article/details/89050000
版权
本文深入探讨了Netfilter连接跟踪子系统的核心实现,包括nf_conntrack_in()入口函数,其中resolve_normal_ct()用于检查数据包是否属于现有连接或创建新连接;nf_conntrack_confirm()出口函数,确认连接的有效性;以及连接超时机制,详细阐述了定时器的初始化、超时回调和更新过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如上一篇笔记连接跟踪子系统之AF_INET协议族钩子函数所介绍,协议族的钩子函数几乎都是直接调用框架的接口实现的处理,这篇笔记就来看看连接跟踪子系统框架部分的核心代码实现,涉及文件主要有:

代码路径说明
net/netfilter/nf_conntrack_core.c连接跟踪子系统框架代码的实现文件

1. 连接跟踪入口: nf_conntrack_in()

数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。

unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb)
{
	struct nf_conn *ct;
	enum ip_conntrack_info ctinfo;
	struct nf_conntrack_l3proto *l3proto;
	struct nf_conntrack_l4proto *l4proto;
	unsigned int dataoff;
	u_int8_t protonum;
	int set_reply = 0;
	int ret;

	//之前已经跟踪过了,直接返回
	if (skb->nfct) {
		NF_CT_STAT_INC_ATOMIC(ignore);
		return NF_ACCEPT;
	}
	//从全局数组nf_conntrack_l3protos[]中找到该协议族注册的L3协议
	l3proto = __nf_ct_l3proto_find((u_int16_t)pf);
	//调用L3协议的get_l4proto()回调解析skb,获取L4协议
	//编号protonum和L4协议报文首部距skb起始位置的偏移量dataoff
	ret = l3proto->get_l4proto(skb, skb_network_offset(skb), &dataoff, &protonum);
	if (ret <= 0) {
		pr_debug("not prepared to track yet or error occured\n");
		NF_CT_STAT_INC_ATOMIC(error);
		NF_CT_STAT_INC_ATOMIC(invalid);
		return -ret;
	}
	//查找全局数组nf_conntrack_protos[],寻找L4协议
	l4proto = __nf_ct_l4proto_find((u_int16_t)pf, protonum);
	//如果L4协议提供了校验回调error(),对skb进行校验
	if (l4proto->error != NULL &&
	    (ret = l4proto->error(skb, dataoff, &ctinfo, pf, hooknum)) <= 0) {
		NF_CT_STAT_INC_ATOMIC(error);
		NF_CT_STAT_INC_ATOMIC(invalid);
		return -ret;
	}
	//核心函数,获取该skb所属的连接跟踪信息块nf_conn,见下文。
	//如果数据包skb属于reply方向,set_reply会被设置为1,否则为0
	ct = resolve_normal_ct(skb, dataoff, pf, protonum, l3proto, l4proto,
			       &set_reply, &ctinfo);
	if (!ct) {
		/* Not valid part of a connection */
		NF_CT_STAT_INC_ATOMIC(invalid);
		return NF_ACCEPT;
	}
	if (IS_ERR(ct)) {
		//连接跟踪子系统本意不会过滤数据包,但是在一些异常情况也会丢包
		NF_CT_STAT_INC_ATOMIC(drop);
		return NF_DROP;
	}
	NF_CT_ASSERT(skb->nfct);
	//调用L4协议的packet回调函数决定连接跟踪子系统给Netfilter框架的返回值
	ret = l4proto->packet(ct, skb, dataoff, ctinfo, pf, hooknum);
	if (ret < 0) {
		/* Invalid: inverse of the return code tells
		 * the netfilter core what to do */
		pr_debug("nf_conntrack_in: Can't track with proto module\n");
		nf_conntrack_put(skb->nfct);
		skb->nfct = NULL;
		NF_CT_STAT_INC_ATOMIC(invalid);
		return -ret;
	}
	//如果是reply方向的第一个数据包,更新事件缓冲,并向外发送通知(应用场景?)
	if (set_reply && !test_and_set_bit(IPS_SEEN_REPLY_BIT, &ct->status))
		nf_conntrack_event_cache(IPCT_STATUS, skb);
	return ret;
}
EXPORT_SYMBOL_GPL(nf_conntrack_in);

梳理下关键步骤:

  1. 根据skb找到能够处理该skb的L3协议和L4协议;
  2. 如果有,调用L4协议的error()回调进行报文校验,校验通过继续,否则结束;
  3. 调用resolve_normal_ct()查询该skb是否属于某个已有连接,没有则创建一个;
  4. 调用L4协议的packet()回调,该回调的返回值将作为该Netfilter钩子的返回值,一般应该都是NF_ACCEPT。

1.1 连接跟踪信息块的获取:resolve_normal_ct()

对于连接跟踪子系统来讲,每个数据包都应该归属某一条“连接”。如上,数据包通过一些检查后,就会调用该函数检查数据包是否属于已有的连接,如果该数据包不属于任何一个连接,那么它是一个“新连接”的数据包,这时该函数就会创建一个“连接”对该数据包进行跟踪,具体实现细节如下:

@dataoff: L4报文的偏移量
@set_reply: 输出参数,
/* On success, returns conntrack ptr, sets skb->nfct and ctinfo */
static inline struct nf_conn* resolve_normal_ct(struct sk_buff *skb,
		unsigned int dataoff, u_int16_t l3num, u_int8_t protonum,
		struct nf_conntrack_l3proto *l3proto, struct nf_conntrack_l4proto *l4proto,
		int *set_reply, enum ip_conntrack_info *ctinfo)
{
	struct nf_conntrack_tuple tuple;
	struct nf_conntrack_tuple_hash *h;
	struct nf_conn *ct;
	//将skb转换为tuple,具体实现见笔记"Netfilter之连接跟踪子系统核心数据结构"
	if (!nf_ct_get_tuple(skb, skb_network_offset(skb),
			dataoff, l3num, protonum, &tuple, l3proto, l4proto)) {
		pr_debug("resolve_normal_ct: Can't get tuple\n");
		return NULL;
	}
	//从全局的哈希表nf_conntrack_hash中寻找是否有一致的tuple_hash
	h = nf_conntrack_find_get(&tuple);
	if (!h) {
		//如果没找到,说明这是一个新的连接,新创建一个连接,顺带也就创建了tuple_hash
		h = init_conntrack(&tuple, l3proto, l4proto, skb, dataoff);
		if (!h)
			return NULL;
		if (IS_ERR(h))
			return (void *)h;
	}
	//tuple_hash就在连接跟踪信息块中,这里由tuple_hash获取连接跟踪信息块。
	//注意:连接跟踪信息块的分配是在init_conntrack()中完成的,这里只是转换
	ct = nf_ct_tuplehash_to_ctrack(h);
	//特别注意下面ctinfo的设定,它最后会被设置到skb->nfctinfo中,
	//表示当处理完该skb后,skb所属连接的状态
	if (NF_CT_DIRECTION(h) == IP_CT_DIR_REPLY) {
		//收到的是reply方向的数据包,记录状态为ESTABLISHED
		*ctinfo = IP_CT_ESTABLISHED + IP_CT_IS_REPLY;
		/* Please set reply bit if this packet OK */
		*set_reply = 1;
	} else {
		//初始方向的数据包,但是在该连接的reply方向上也已经收到过了数据包
		//那么skb依然是属于ESTABLISHED连接的
		if (test_bit(IPS_SEEN_REPLY_BIT, &ct->status)) {
			pr_debug("nf_conntrack_in: normal packet for %p\n", ct);
			*ctinfo = IP_CT_ESTABLISHED;
		} else if (test_bit(IPS_EXPECTED_BIT, &ct->status)) {
			pr_debug("nf_conntrack_in: related packet for %p\n", ct);
			*ctinfo = IP_CT_RELATED;
		} else {
			//初始方向的第一个数据包
			pr_debug("nf_conntrack_in: new packet for %p\n", ct);
			*ctinfo = IP_CT_NEW;
		}
		*set_reply = 0;
	}
	//设置skb中的引用计数和连接跟踪状态
	skb->nfct = &ct->ct_general;
	skb->nfctinfo = *ctinfo;
	//返回连接跟踪信息块指针
	return ct;
}

2. 连接跟踪子系统出口:nf_conntrack_confirm()

/* Confirm a connection: returns NF_DROP if packet must be dropped. */
static inline int nf_conntrack_confirm(struct sk_buff *skb)
{
	//skb所属连接的连接跟踪信息块
	struct nf_conn *ct = (struct nf_conn *)skb->nfct;
	int ret = NF_ACCEPT;

	if (ct) {
		if (!nf_ct_is_confirmed(ct) && !nf_ct_is_dying(ct))
			ret = __nf_conntrack_confirm(skb);
		//向外部模块发送缓存的事件
		nf_ct_deliver_cached_events(ct);
	}
	return ret;
}

并不是每一个skb都需要执行确认,一条连接只有初始方向上的第一个skb需要被确认,并且连接必须是有效的才需要确认。

//检查该连接是否已经被确认过了
static inline int nf_ct_is_confirmed(struct nf_conn *ct)
{
	return test_bit(IPS_CONFIRMED_BIT, &ct->status);
}
//检查连接是否依然有效
static inline int nf_ct_is_dying(struct nf_conn *ct)
{
	return test_bit(IPS_DYING_BIT, &ct->status);
}

2.1 __nf_conntrack_confirm()

/* Confirm a connection given skb; places it in hash table */
int __nf_conntrack_confirm(struct sk_buff *skb)
{
	unsigned int hash, repl_hash;
	struct nf_conntrack_tuple_hash *h;
	struct nf_conn *ct;
	struct nf_conn_help *help;
	struct hlist_node *n;
	enum ip_conntrack_info ctinfo;

	ct = nf_ct_get(skb, &ctinfo);
	/* ipt_REJECT uses nf_conntrack_attach to attach related
	   ICMP/TCP RST packets in other direction.  Actual packet
	   which created connection will be IP_CT_NEW or for an
	   expected connection, IP_CT_RELATED. */
	//只处理初始方向skb
	if (CTINFO2DIR(ctinfo) != IP_CT_DIR_ORIGINAL)
		return NF_ACCEPT;
	//计算初始方向和reply方向的tuple的哈希值
	hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
	repl_hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_REPLY].tuple);

	spin_lock_bh(&nf_conntrack_lock);
	/* See if there's one in the list already, including reverse:
	   NAT could have grabbed it without realizing, since we're
	   not in the hash.  If there is, we lost race. */
	//检查全局的hash表中是否已经保存了对应的tuple或者reply_tuple,
	//如果已经保存了,那么是一种异常,结束处理过程
	hlist_for_each_entry(h, n, &nf_conntrack_hash[hash], hnode)
		if (nf_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple, &h->tuple))
			goto out;
	hlist_for_each_entry(h, n, &nf_conntrack_hash[repl_hash], hnode)
		if (nf_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_REPLY].tuple, &h->tuple))
			goto out;
	//将初始方向上的tuple_hash从unconfirmed链表中删除,添加的时候也只添加了初始方向的tuple
	hlist_del(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnode);
	//将tuple和reply_tuple都加入到全局的nf_conntrack_hash中,完成一条连接的跟踪
	__nf_conntrack_hash_insert(ct, hash, repl_hash);
	/* Timer relative to confirmation time, not original
	   setting time, otherwise we'd get timer wrap in
	   weird delay cases. */
	ct->timeout.expires += jiffies;
	//激活超时定时器
	add_timer(&ct->timeout);
	atomic_inc(&ct->ct_general.use);
	//标记该连接已经被确认过了
	set_bit(IPS_CONFIRMED_BIT, &ct->status);
	NF_CT_STAT_INC(insert);
	spin_unlock_bh(&nf_conntrack_lock);
	help = nfct_help(ct);
	if (help && help->helper)
		nf_conntrack_event_cache(IPCT_HELPER, skb);
#ifdef CONFIG_NF_NAT_NEEDED
	if (test_bit(IPS_SRC_NAT_DONE_BIT, &ct->status) ||
	    test_bit(IPS_DST_NAT_DONE_BIT, &ct->status))
		nf_conntrack_event_cache(IPCT_NATINFO, skb);
#endif
	nf_conntrack_event_cache(master_ct(ct) ? IPCT_RELATED : IPCT_NEW, skb);
	return NF_ACCEPT;
out:
	NF_CT_STAT_INC(insert_failed);
	spin_unlock_bh(&nf_conntrack_lock);
	return NF_DROP;
}
EXPORT_SYMBOL_GPL(__nf_conntrack_confirm);

3. 连接超时机制

一个连接被建立后,如果长时间没有数据交互,那么应该将该连接从连接跟踪子系统中清除,因为毕竟内存是有限的,不可能长时间跟踪这些空闲的连接。

为了实现这个目的,连接跟踪子系统为每个连接维护了一个定时器,一旦该定时器超时,那么就将该连接从系统中清除。

定时器的初始化

定时器是在连接跟踪信息块的分配函数nf_conntrack_alloc()中初始化的。

struct nf_conn *nf_conntrack_alloc(const struct nf_conntrack_tuple *orig,
				   const struct nf_conntrack_tuple *repl)
{
...
	/* Don't set timer yet: wait for confirmation */
	setup_timer(&ct->timeout, death_by_timeout, (unsigned long)ct);
...
}

如上所见,定时器是在nf_conntrack_confirmed()中激活的。

定时器超时回调

定时器超时回调函数为death_by_timeout(),其实现就是将连接跟踪信息块从系统中删除。

static void death_by_timeout(unsigned long ul_conntrack)
{
	struct nf_conn *ct = (void *)ul_conntrack;
	struct nf_conn_help *help = nfct_help(ct);
	struct nf_conntrack_helper *helper;
	//如果该连接有helper模块,先调用该helper模块的销毁函数
	if (help) {
		rcu_read_lock();
		helper = rcu_dereference(help->helper);
		if (helper && helper->destroy)
			helper->destroy(ct);
		rcu_read_unlock();
	}
	spin_lock_bh(&nf_conntrack_lock);
	/* Inside lock so preempt is disabled on module removal path.
	 * Otherwise we can get spurious warnings. */
	NF_CT_STAT_INC(delete_list);
	//将连接跟踪信息块、可能存在的期望连接一并从系统中删除
	clean_from_lists(ct);
	spin_unlock_bh(&nf_conntrack_lock);
	//递减连接信息跟踪块的引用计数,当引用计数变为0后会被其
	nf_ct_put(ct);
}

具体的删除由clean_from_llists()实现:

static void clean_from_lists(struct nf_conn *ct)
{
	//删除了tuple也就从全局的hash表中删除了连接跟踪信息块
	hlist_del_rcu(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnode);
	hlist_del_rcu(&ct->tuplehash[IP_CT_DIR_REPLY].hnode);
	//销毁所有的期望连接
	nf_ct_remove_expectations(ct);
}

3.3 定时器的更新

当然,当收到数据包后,也应该更新该定时器,防止其超时,这是通过调用nf_ct_refresh_acct()刷新的。这个刷新动作的调用由L4协议的paket()回调负责完成,这同时也表示将超时时间的决定权给了L4协议。

/* Refresh conntrack for this many jiffies and do accounting */
static inline void nf_ct_refresh_acct(struct nf_conn *ct,
	enum ip_conntrack_info ctinfo, const struct sk_buff *skb,
	unsigned long extra_jiffies)
{
	__nf_ct_refresh_acct(ct, ctinfo, skb, extra_jiffies, 1);
}
/* Refresh conntrack for this many jiffies and do accounting if do_acct is 1 */
void __nf_ct_refresh_acct(struct nf_conn *ct, enum ip_conntrack_info ctinfo,
	const struct sk_buff *skb, unsigned long extra_jiffies, int do_acct)
{
	int event = 0;

	NF_CT_ASSERT(ct->timeout.data == (unsigned long)ct);
	NF_CT_ASSERT(skb);
	spin_lock_bh(&nf_conntrack_lock);
	//设定了该标记的连接的超时值将无法被更新
	if (test_bit(IPS_FIXED_TIMEOUT_BIT, &ct->status))
		goto acct;
	/* If not in hash table, timer will not be active yet */
	if (!nf_ct_is_confirmed(ct)) {
		//连接跟踪信息块还没有被确认时,该定时器就还没有被激活,此时
		//重新设定超时时间,认为是重新更新超时时间戳
		ct->timeout.expires = extra_jiffies;
		event = IPCT_REFRESH;
	} else {
		//传入超时值是当前时间的相对值
		unsigned long newtime = jiffies + extra_jiffies;
		//只有当新的超时值至少超过当前超时值1s时才重新更新定时器(避免频繁更新)
		if ((newtime - ct->timeout.expires >= HZ) && del_timer(&ct->timeout)) {
			ct->timeout.expires = newtime;
			add_timer(&ct->timeout);
			event = IPCT_REFRESH;
		}
	}
acct:
#ifdef CONFIG_NF_CT_ACCT
	//做数据统计
	if (do_acct) {
		ct->counters[CTINFO2DIR(ctinfo)].packets++;
		ct->counters[CTINFO2DIR(ctinfo)].bytes +=
			skb->len - skb_network_offset(skb);
		if ((ct->counters[CTINFO2DIR(ctinfo)].packets & 0x80000000)
		    || (ct->counters[CTINFO2DIR(ctinfo)].bytes & 0x80000000))
			event |= IPCT_COUNTER_FILLING;
	}
#endif
	spin_unlock_bh(&nf_conntrack_lock);
	/* must be unlocked when calling event cache */
	if (event)
		nf_conntrack_event_cache(event, skb);
}
EXPORT_SYMBOL_GPL(__nf_ct_refresh_acct);
linux内核协议栈 netfilter连接跟踪子系统AF_INET钩子函数
11-01 912
1连接跟踪子系统钩子函数概述 如《linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景》中的1.4小结所述,为了支持连接跟踪子系统,AF_INET协议族在4个HOOK点共注册了8个钩子函数,每个HOOK点有两个。这些钩子函数可分为入口(PRE_ROUTING和LOCAL_IN)和出口(LOCAL_OUT和POST_ROUTING)两大类。 1.1数据包流向 在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。 1.1.1 发往本地的数...
linux内核协议栈 netfilter连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2389
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
linux nf_conntrack 连接跟踪机制
weixin_30597269的博客
05-11 381
PRE_ROUTING和LOCAL_OUT点可以看作是整个netfilter的入口,而POST_ROUTING和LOCAL_IN可以看作是其出口; 报文到本地:PRE_ROUTING----LOCAL_IN---本地进程 需要本机转发的数据包:PRE_ROUTING---FORWARD---POST_ROUTING---外出 从本机发出的数据包:LOCAL_OUT----POST_...
连接跟踪子系统之初始化
九天小哥的专栏
04-21 610
这篇笔记记录了连接跟踪子系统框架部分的初始化过程,涉及的核心代码文件有: 代码路径 说明 net/netfilter/nf_conntrack_standalone.c 连接跟踪子系统的启动文件 net/netfilter/nf_conntrack_core.c 连接跟踪子系统框架的核心实现 初始化入口:nf_conntrack_standalone_init() stat...
Netfilter连接跟踪实现机制初步分析
Simple‘s Blog
08-17 1054
1.  前言   Netfilter中的连接跟踪模块作为地址转换等的基础,在对Netfilter实现机制有所了解的基础上再深入理解连接跟踪实现机制,对于充分应用Netfilter框架的功能和扩展其他的模块有着重大的作用。本文只是简要的分析连接跟踪的整体框架,其中的重要数据结
连接跟踪的源代码分析
花落孤独
09-16 4489
 关于连接跟踪 连接跟踪CONNTRACK),就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包,生成一个新的连接记录项(Connection entry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实现SNAT和DNAT的前提。 1.    连接跟踪的相关结构Netfil
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2796
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
linux内核协议栈 netfilter连接跟踪子系统核心数据结构 struct nf_conn
11-01 2314
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
分布式数据库存储子系统设计与实现.pdf
08-10
任务管理模块是分布式数据库存储子系统核心,它负责所有任务的创建、执行和状态跟踪。每个任务通过唯一的TaskID进行标识和管理。任务管理模块与计时器模块紧密相连,可以对任务执行时间进行计时,从而确保任务的...
大规模分布式系统跟踪基础设施Dapper
张彦峰的博客
03-17 5万+
论文《Dapper, a Large-Scale Distributed Systems Tracing Infrastructure》介绍了谷歌开发的大规模分布式系统跟踪基础设施Dapper。Dapper旨在通过提供跨多个服务和计算机的详细跟踪信息,帮助开发人员理解和调试复杂的分布式系统。论文讨论了Dapper背后的动机、其架构以及在诊断性能问题和优化分布式系统方面所提供的实际好处。本文作为回顾经典,重新学习,翻译的同时加入一些现有的理解。
连接跟踪conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 5438
连接跟踪conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
netfilter nf_ct_get获得连接状态返回为空的问题
yldfree的博客
02-09 3094
struct nf_conn *ct = NULL;enum ip_conntrack_info ctinfo;ct = nf_ct_get(skb,&amp;ctinfo);获得连接状态.但ct返回去的结果为空,这怎么回事,只能查找内核看看啥原因,这个首先要看看ct这个东西是什么时候创建的了,经过看内核,发现这个结构体是在ipv4_conntrack_in和ipv4_conntrack_loca...
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
ip层netfilter连接跟踪模块
Rain
12-09 2502
内核版本 2.6.21  一、ip层netfilter连接跟踪模块的概念及相关的数据结构分析 连接跟踪CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同
连接跟踪流量统计
redwingz的博客
03-27 1382
连接跟踪的流量统计由扩展acct_extend实现,模块初始化函数nf_conntrack_acct_init注册连接跟踪扩展。 static const struct nf_ct_ext_type acct_extend = { .len = sizeof(struct nf_conn_acct), .align = __alignof__(struct nf_conn_acct), .id = NF_CT_EXT_ACCT, }; int nf_conntrack_acc
一个Netfilter nf_conntrack流表查找的优化-为conntrack增加一个per cpu cache
TCP/IP
08-01 7797
独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如state match,Linux NAT等,诚然,我虽然对NAT也是抱怨太多,但不管怎样,不是还有很多人在用它吗。       曾经,我针对conntrack查找做过一个
Netfilter学习之NAT类型动态配置(四)nf_nat_core.c源码解析
ty的博客
04-06 4327
  在研究了masquerade的用户空间和内核源码之后,我们发现最后进入了nf_nat_setup_info()函数,该函数位于nf_nat_core.c之中,是Netfilter的NAT表核心函数的实现。 1 nf_nat_core.c源码分析   本小节分析了nf_nat_core的源码,重点分析当Iptables指定的钩子函数激活后,在Netfilter中是如何识别和起作用的。这里...
一个复杂的nf_conntrack实例全景解析
TCP/IP
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其中最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
linux跟踪连接nf_conntrack netfilter调优
一只蜗牛慢慢爬
08-07 1117
转载: http://www.mamicode.com/info-detail-2422830.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值