LVS FULLNAT模式下客户端真实地址的传递

最新推荐文章于 2022-03-24 17:54:45 发布
最新推荐文章于 2022-03-24 17:54:45 发布
阅读量4.3k 收藏 1
点赞数 1
分类专栏: 网络与系统管理 Linux

LVS FULLNAT模式下客户端真实地址的传递

NOV 16TH2015 6:01 PM

在LVS的FULLNAT转发模式下, LVS对数据包同时做SNAT和DNAT,将数据包的源IP、源端口更换为LVS本地的IP和端口,将数据包的目的IP和目的端口修改为RS的IP和端口,从而不再依赖特定网络拓朴转发数据包。

这种方式存在一个问题: RealServer中接收到数据包中源IP和源端口为LVS机器的IP和端口,这样应用层程序获取到的TCP连接的客户端地址为LVS的IP地址,很多依赖客户端地址的功能就不能正常工作了。

为了解决这问题,FULLNAT模式在转发包的时候,在TCP包中添加一个OPTION,来传递客户端的真实地址。RealServer中通过内核模块toa令应用层程序获取真实的客户端地址。

TOA OPTION的OPCODE为254(0xfe), 长度为8字节,结构为:

1
2
3
4
5
6
7

struct toa_data
{
    __u8   opcode;
    __u8   opsize;
    __u16  port;
    __u32  ip;
}

比如,TOA的OPTION为:

1

fe 08 91 cd 0a 05 0c 46

0xfe为opcode, 08为option长度,8字节,Port和IP都为网络字节序,端口号为0x91cd(37325), IP为: 0x0a050c46, “10.5.12.70”。

来看toa模块具体实现:

模块的初始化函数为toa_init:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

/* module init */
static int __init
toa_init(void)
{
    ...

    /* hook funcs for parse and get toa */
    hook_toa_functions();

    TOA_INFO("toa loaded\n");
    return 0;

err:
    ...

    return 1;
}

函数调用hook_toa_functions函数HOOK两个函数:

  • inet_getname
  • tcp_v4_syn_recv_sock
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

/* replace the functions with our functions */
static inline int
hook_toa_functions(void)
{
    /* hook inet_getname for ipv4 */
    struct proto_ops *inet_stream_ops_p =
            (struct proto_ops *)&inet_stream_ops;
    /* hook tcp_v4_syn_recv_sock for ipv4 */
    struct inet_connection_sock_af_ops *ipv4_specific_p =
            (struct inet_connection_sock_af_ops *)&ipv4_specific;
    ...

    inet_stream_ops_p->getname = inet_getname_toa;
    ...
    ipv4_specific_p->syn_recv_sock = tcp_v4_syn_recv_sock_toa;

    ...

    return 0;
}

Linux内核在监听套接字收到三次握手的ACK包之后,会从SYN_REVC状态进入到TCP_ESTABLISHED状态。这时内核会调用tcp_v4_syn_recv_sock函数。Hook函数tcp_v4_syn_recv_sock_toa首先调用原有的tcp_v4_syn_recv_sock函数,然后调用get_toa_data函数从TCP OPTION中提取出TOA OPTION,并存储在sk_user_data字段中。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

static struct sock *
tcp_v4_syn_recv_sock_toa(struct sock *sk, struct sk_buff *skb, struct request_sock *req, struct dst_entry *dst)
{
    struct sock *newsock = NULL;

    /* call orginal one */
    newsock = tcp_v4_syn_recv_sock(sk, skb, req, dst);

    /* set our value if need */
    if (NULL != newsock && NULL == newsock->sk_user_data) {
        newsock->sk_user_data = get_toa_data(skb);
        if(NULL != newsock->sk_user_data){
            TOA_INC_STATS(ext_stats, SYN_RECV_SOCK_TOA_CNT);
        } else {
            TOA_INC_STATS(ext_stats, SYN_RECV_SOCK_NO_TOA_CNT);
        }
    }
    return newsock;
}

get_toa_data函数的返回值处理比较特殊,并没有给返回结果分配内存空间,而是直接将TOA OPTION做为指针值返回并保存在sk_user_data这一指针变量中。这在64位服务器上没有问题,因为指针变量的大小为8字节,返回的TOA结构大小也为8字节。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

static void * get_toa_data(struct sk_buff *skb)
{
    struct tcphdr *th;
    int length;
    unsigned char *ptr;

    struct toa_data tdata;

    void *ret_ptr = NULL;

    if (NULL != skb) {
        th = tcp_hdr(skb);
        length = (th->doff * 4) - sizeof (struct tcphdr);
        ptr = (unsigned char *) (th + 1);

        while (length > 0) {
            int opcode = *ptr++;
            int opsize;
            switch (opcode) {
            case TCPOPT_EOL:
                return NULL;
            case TCPOPT_NOP:    /* Ref: RFC 793 section 3.1 */
                length--;
                continue;
            default:
                opsize = *ptr++;
                if (opsize < 2)    /* "silly options" */
                    return NULL;
                if (opsize > length)
                    return NULL;    /* don't parse partial options */
                if (TCPOPT_TOA == opcode && TCPOLEN_TOA == opsize) {
                    memcpy(&tdata, ptr - 2, sizeof (tdata));
                    memcpy(&ret_ptr, &tdata, sizeof (ret_ptr));
                    return ret_ptr;
                }
                ptr += opsize - 2;
                length -= opsize;
            }
        }
    }
    return NULL;
}

用户在使用套接字中的accept函数时, 会调用inet_getname将sock结构体中存储的源IP地址和端口返回。Hook函数inet_getname_toa首先调用原有函数inet_getname, 然后用tcp_v4_syn_recv_sock_toa函数保存在sk_user_data中数据提取真实IP和Port,对返回结果进行替换。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

static int
inet_getname_toa(struct socket *sock, struct sockaddr *uaddr,
        int *uaddr_len, int peer)
{
    int retval = 0;
    struct sock *sk = sock->sk;
    struct sockaddr_in *sin = (struct sockaddr_in *) uaddr;
    struct toa_data tdata;

    ...

    /* call orginal one */
    retval = inet_getname(sock, uaddr, uaddr_len, peer);

    /* set our value if need */
    if (retval == 0 && NULL != sk->sk_user_data && peer) {
        if (sk_data_ready_addr == (unsigned long) sk->sk_data_ready) {
            memcpy(&tdata, &sk->sk_user_data, sizeof(tdata));
            if (TCPOPT_TOA == tdata.opcode &&
                TCPOLEN_TOA == tdata.opsize) {
                ...
                sin->sin_port = tdata.port;
                sin->sin_addr.s_addr = tdata.ip;
            } else { /* sk_user_data doesn't belong to us */
                ...
            }
        } else {
            TOA_INC_STATS(ext_stats, GETNAME_TOA_BYPASS_CNT);
        }
    } else { /* no need to get client ip */
        TOA_INC_STATS(ext_stats, GETNAME_TOA_EMPTY_CNT);
    }

    return retval;
}

后续应用层程序调用getpeername()时就可以获取到真实的客户端地址了。

achejq
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NAT123端口映射获取客户端访问用户真实IP
12-02
经过一般的NAT端口映射后,客户端访问真实用户IP丢失,的处理方法。 利用NAT123端口映射,客户端用户真正IP不丢失。 示例了ASP,.NET,DISCUZ论坛等例子,都是用标准参数处理。 经过NAT123端口映射的WEB网站应用用户真实IP不丢失。
Linux内核网路协议栈——系统的初始化(inet_init主要数据结构)
weixin_39094034的博客
03-04 1215
网络初始化申请了两块skb高速缓存和创建了一个/proc/net/protocols文件,现在开始重头戏,网络协议栈的初始化。这篇文章主要介绍网络栈中使用到的主要数据结构。 网络协议栈的内核实现和理论上的分层有些不一样,在代码里面的分层如下图: 开始前,先回顾一下应用层socket函数的调用,它会创建一个socket并返回对应的描述符: int <strong&g...
Linux网络协议栈 -- socket创建(2)
liujianqing的专栏
07-07 1248
三、af_inet 协议簇的协议封装    接下来,函数调用之前已经注的 inet_family_ops的函数指针 create,也就是inet_create()函数,前面,可以说一个通用的 socket 已经创建好了,这里要完成与协议本身相关的一些创建 socket 的工作。这一部份的工作比较复杂,还是先来看看 af_inet.c 中的模块初  始化时候,做了哪些与此相关的工作。
LVS中使用toa模块遇到的坑
frankzfz的专栏
03-24 820
LVS中的fullnat模式中,为了获取client的IP地址,会使用到LVS中的toa模块,该模块的作用就是替代系统中的getname系统调用,在rs端通过getname的系统调用获取到client的IP地址。在toa模块中使用到kallsyms_lookup_name函数,该函数的作用就是获取sock_def_readable函数的地址。但是在一些内核发行版中kallsy...
TOA(tcp option adress)安装
醉趋醍的博客
11-19 5135
1.说明 1.1.场景说明 TOA 属于 4层转发系统的一个功能模块,缺省情况下服务经过 4层转发系统,服务源站查看到的请求IP为NAT的回源地址,这对于一些特殊业务来说(比如游戏),是无法满足的,TOA的功能就是让真实源服务源站获取访问者真实IP地址,该模块安装在源站服务器上。以下为 TOA 的局限性: 仅支持 TCP 协议 仅支持 IPv4 仅支持 Linux 操作系统 1.2.前提条件 ...
关于 FullNat 模式的 Toa 实现原理【转】
legend050709的专栏
02-24 4303
目录背景获取client ip的几种方法toa/uoa 获取client ip原理tcp option 字段lvs中的toa格式与插入格式插入后端获取client ipnetstat 和 toa的关系其他思考参考 背景 FullNat 模式的特点,比如跨机房、可运维性强等优势。不过会存在一个问题,在后端服务器上,应用程序能够获取到的请求源 IP 是 lvs 的 LocalIP,并不是真实客户端的 ClientIP。而现在大多数业务都需要对用户信息进行分析画像,也有一些敏感业务需要对用户进行溯源,所以获取用户
TOA - TCP Option Address
热门推荐
depakin+的专栏
05-22 1万+
使用Haproxy转发TCP到业务服务器端,后端报文看到的源 IP 地址是代理服务器的IP 。 为了让后端能够获取到用户端实际的 IP 地址,有三个方案: 1. http 请求记录标识: 在客户端和服务器建立TCP连接之前,一般都是先http请求拿到服务器的IP和PORT。 在http请求时,使用客户端的ID或者macid,device_id,golbal_id等唯一标识映射用户的ip,存储起来,ex:redis的hash 或 zset。 这样,后端tcp服务器就可以根据唯一标识,在存储中拿到用户的ip
fullnat:真实服务器的内核模块可通过LVS-FULLNAT查看实际的客户端IP
05-01
好吧,fullnatLVS的第四个模式,在技术上与LVS-NAT相同,但是它试图将实际的客户端IP地址保留给真实的服务器。 为此,FULLNAT服务器更改传入的数据包以将实际IP地址注入TCP / SYN数据包,并且实际服务器必须加载...
lvs_cluster:lvs fullnat 集群建立和发布工具
06-02
此系统是基于 LVS + OSPF + FULLNAT + Nginx 架构的, 几点说明: 1. 集群有万兆和千兆, 万兆集群的 LVS 机器是万兆网卡, 千兆集群的 LVS 机器是普通千兆网卡; 2. 集群类型分为外网和内网, 通过 type 指定, extra 为...
LVS负载均衡_NET模式.txt
06-14
真实服务器响应完请求后,查看默认路由(NAT模式下我们需要把RS的默认路由设置为LB服务器。)把响应后的数据包发送给LB,LB再接收到响应包后,把包的源地址改成虚拟地址(VIP)然后发送回给客户端
LVS三种模式配置及优点缺点比较
01-31
LVS是什么:http://www.linuxvirtualserver.org/VS-NAT.htmlhttp://www.linuxvirtualserver.org/VS-IPTunneling.htmlhttp://www.linuxvirtualserver.org/VS-DRouting.html首先是安装ipvsadm管理程序下载:...
使用LVS或者阿里云的SLB后如何获取访客真实的IP地址
weixin_34054866的博客
06-12 636
阿里云服务器使用SLB后如何获取真实IP(使用LVS等负载均衡方案之后如何获取真实的IP)使用7层负载均衡之后最终realserver的访问都是由proxy发起的,所以日志中记录的访问IP都是proxy的IP,这时候如果想获取真实IP,阿里云官方提供了使用 http_realip_module或者mod_rpaf来获取真实IP(这种办法除了可以获取IP记录到日志中,还可以禁止...
LVS集群中的IP负载均衡技术
★ 分享、传播、open source
06-07 737
章文嵩 ([email protected]) 2002 年 4 月 本文在分析服务器集群实现虚拟网络服务的相关技术上,详细描述了LVS集群中实现的三种IP负载均衡技术(VS/NAT、VS/TUN和VS/DR)的工作原理,以及它们的优缺点。 1.前言 在前面文章中,讲述了可伸缩网络服务的几种结构,它们都需要一个前端的负载调度器(或者多个进行主从备份)。我们先分析实现虚拟网络服务的主
lvs的DR模型工作流程从ip数据层的详细分析
系统运维
02-01 139
lvs的DR模型工作流程从ip数据层的详细分析 时间2012-07-22 作者itnihao邮箱[email protected] 博客 http://itnihao.blog.51cto.com Vip 192.168.16.20 Realserver1192.168.16.2 Realserver3192.168.16.4 序列号:416372224[38/4...
linux内核态发送tcp包,读Linux内核(4.9.9)之TCP连接三次握手
weixin_35798040的博客
04-29 625
简单介绍TCP连接建立的三次握手。第一次:客户端发送SYN报文,主动发起连接请求,SYN=1,seq=x第二次:服务端收到SYN报文,回复ACK报文,SYN=1, ACK=1,seq=y ,ack=x+1第三次:客户端收到服务端ACK,回复ACK报文,SYN=1, ACK=1,seq=x+1 ,ack=y+1,连接连接建立下面我们进入内核源码,分析这个过程在内核中的实现。首先客户端调用connec...
Linux内核--网络内核实现分析
a746742897的博客
11-10 1371
Linux内核--网络协议栈深入分析(三)--INET协议族socket和传输层sock 网址:http://www.linuxidc.com/Linux/2012-09/70548.htm 本文分析基于Linux Kernel 3.2.1 Linux内核中协议族有INET协议族,UNIX协议族等,我们还是以INET协议族为例。 更多请查看 
Linux内核中网络数据的接收
pandy_gao的博客
02-12 1101
1. Linux网络数据的接收始于中断,本文用wifi驱动ath10k进行分析,中断处理函数为 ath10k_pci_interrupt_handler,那么中断处理函数是如何与网卡关联?要了解这个 问题就得了解pcie接口网卡的注册流程: -&gt;ath10k_pci_init drivers/net/wireless/ath/ath10k/pci.c -&gt;ath10k_pci_p...
LVS FULLNAT模式
最新发布
04-03
LVS(Linux Virtual Server)是一种用于构建高可用性、高性能、可伸缩的服务器集群的开源软件。其中,FULLNAT模式LVS集群中的一种工作模式。 在FULLNAT模式下,LVS对外提供的虚拟IP地址被映射到多个真实服务器的私有IP地址上。当客户端请求连接时,LVS会根据负载均衡算法选择一台真实服务器进行处理,并将请求的源IP地址和端口号进行修改,使其变为LVS的VIP和端口号,然后将请求转发给真实服务器。 在真实服务器处理请求后,它会将响应数据发送回LVSLVS再将响应数据的源IP地址和端口号进行修改,变为客户端的IP地址和端口号,然后将响应转发给客户端。 FULLNAT模式相比其他LVS工作模式,如DR(直接路由)和TUN(隧道)模式,具有更高的灵活性和可扩展性,因为它可以在不同的子网中使用,并支持更多的网络拓扑结构。但是,FULLNAT模式的性能可能不如其他模式,因为它需要进行地址转换和数据包重写操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值