striver1205的专栏

IP是无连接的，因此IP路由是每包一路由的，数据包通过查找路由表获取路由，这是现代操作协议协议栈IP路由的默认处理方式。但是如果协议栈具有流识别能力，是不是可以基于流来路由呢？答案无疑是肯定的。设计思想在Linux的实现中，nf_conntrack可以做到基于流的IP路由，大致思想就是，仅仅针对一个流的第一个正向包和第一个反向包查找标准的IP路由表，将结果保存在conntrack项中，后续的属于同一流的数据包直接取出路由项来使用。背后的思想是：这可以省去查找路由表的开销，是这样吗？也不全是！关键是，将一

Linux中有一个基于Netfilter的连接跟踪机制，即ip_conntrack，每一个conntrack表示的就是一个流，该流里面保存了大量的信息字段，这些字段本地有效，指导着数据包的转发策略，但是我觉得这些字段信息还不够详细，试想，一个nfmark字段好像就可以做到一切了，但是我如果想为一个数据流绑定一个字符串怎么办呢？也许你会说使用iptables+ipset+nfmark可以完成一切，这也是UNIX/Linux哲学的风格，一种后现代主义的风格，但是最近我上了不归路，非要在ip_conntrack里