Linux协议栈-netfilter(4)-期望连接

最新推荐文章于 2023-03-07 15:12:13 发布
VIP文章 最新推荐文章于 2023-03-07 15:12:13 发布
阅读量5.1k 收藏 16
点赞数 1
分类专栏: Linux内核源码 文章标签: 期望连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonchen_gbd/article/details/44877343
版权

传统的conntrack和NAT处理只对IP层和传输层头部进行转换处理,但是一些应用层协议,在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG的技术,它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。

例如:对于FTP协议的PORT/PASV命令,在数据包载荷中需要包含地址信息,并且数据包如果需要做NAT,那应用层数据部分的地址也需要做NAT转换。实现这种转换,需要在普通的conntrack条目基础上增加一个expect conntrack(期望连接)来记录这个连接上的额外信息。

本文将以tftp和ftp协议举例期望连接。

1. 以tftp举例期望连接

tftp是基于UDP的应用层协议,用于简单的文件传输。

1.1 实验拓扑

测试拓扑如下,在路由器R1上通过tftp请求PC1上的文件“ethreg.sh”,R1和PC1之间有一个路由器R2让R1位于局域网中,PC1位于公网中。在R1上输入以下命令:

tftp –gr ethreg.sh 192.168.10.100

在PC1上抓包结果如下:


第一个数据包为read request请求,数据包方向为R1->PC1(192.168.1.1:50173-> 192.168.10.100:69),其中69中tftp端口号,数据包传输过程经过了SNAT转换。

数据部分共经过两次传输完成,发送数据方向为PC1->R1(192.168.10.100:3873-> 192.168.1.1:50173),数据包在传输过程经过了DNAT转换。

可见传输数据时,第一个包是从Server端即PC1发出的,而PC1处在NAT外面,而通常情况下,这样的数据包是无法通过NAT达到局域网的,因为路由器R2上并没有记录这个连接做NAT的连接条目,NAT的作用之一就是隐藏局域网中的主机。

下面来看一下tftp协议如何依靠期望连接实现数据包的NAT转换的。

1.2 tftp协议的期望连接实现

在编译内核时打开CONFIG_NF_CONNTRACK_TFTP宏,使其以模块形式编译到内核,来支持tftp建立期望连接。该模块的init函数为nf_conntrack_tftp_init(),它初始化了一个conntrack helper方法,并将其注册到helper extension的链表中去(conntrack extensions见前面的博文)。

static struct nf_conntrack_helper tftp[MAX_PORTS][2]__read_mostly;

tftp conntrack模块的初始化函数:

static int __init nf_conntrack_tftp_init(void)
{
	int i, j, ret;
	char *tmpname;

	if (ports_c == 0)
		ports[ports_c++] = TFTP_PORT;

	for (i = 0; i < ports_c; i++) {
		memset(&tftp[i], 0, sizeof(tftp[i]));

		tftp[i][0].tuple.src.l3num = AF_INET;
		tftp[i][1].tuple.src.l3num = AF_INET6;
		for (j = 0; j < 2; j++) {
			tftp[i][j].tuple.dst.protonum = IPPROTO_UDP;
			tftp[i][j].tuple.src.u.udp.port = htons(ports[i]);
			tftp[i][j].expect_policy = &tftp_exp_policy;
			tftp[i][j].me = THIS_MODULE;
			tftp[i][j].help = tftp_help;

			tmpname = &tftp_names[i][j][0];
			if (ports[i] == TFTP_PORT)
				sprintf(tmpname, "tftp");
			else
				sprintf(tmpname, "tftp-%u", i);
			tftp[i][
最低0.47元/天 解锁文章
落尘纷扰
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions jetbrainsclient.vmoptions phpstorm.vmoptions pycharm.vmoptions rider.vmoptions rubymine.vmoptions webide.vmoptions webstorm.vmoptions
linux中的软链(symbolic link)
shiludeng的专栏
07-06 951
当前虚拟化技术盛行,不可避免要使用软链,之前使用公司的PaaS平台,也遇到了软链相关的问题应用场景在实例上运行shell脚本,shell进一步调用python脚本通常我的做法是: 1)将python环境打包上线,目录结构如下: /home/work ./script ./python2.7.tar.gz 2) 固定写死shell脚本目录和python环境的期望目录结
Linux学习总结
热门推荐
唐滚滚的博客
10-29 4万+
Linux学习目标: Linux操作系统介绍与安装。 Linux常用命令。 Linux常用软件安装。 Linux网络。 防火墙。  Shell编程等。 ******************************************************************************LinuxOS介绍与安装***************************
linux锁机制be_normal,Linux netfilter 学习笔记 之九 ip层netfilter连接跟踪模块代码分析...
weixin_34108829的博客
05-14 410
基于linux2.6.21上一节分析了连接跟踪模块相关的初始化代码,本节分析连接中hook函数。在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。发往本地的数据:对于连接跟踪来说,只在hook点NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN两个hook点进入到连接跟踪模块,按优先级顺序,依次调用ipv4_conntrack_defrag->ipv4_conntrac...
Linux的目录和常用命令详解
gbz2000的博客
03-14 2555
Linux的目录和常用命令详解 目录 1、Linux 系统目录结构 2、Linux的绝对路径与相对路径 3、Linux中的基本命令介绍(非常重要!!!) 4、用户与用户组管理 5、文件的基本属性和权限 6、文件与目录管理 7、关机、重启与sync 8、重定向与追加 回到顶部 1、Linux 系统目录结构 在我们平时生活中,操作系统用的最多的是Windows系统,如果你是土豪从小到大都是iPhone、Mac之类的电子产品,那你应该不会来做程序员吧(所以你就看不到这...
Linux 网络层收发包流程及 Netfilter 框架浅析
腾讯技术工程
11-25 1777
本文作者:sivenzhang,腾讯 IEG 测试开发工程师1. 前言本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 N...
Netfilter实战一数据包的捕获
haoyuxuanyuan的博客
03-07 993
  通过上文Netfilter介绍的了解到,Netfilter是通过注册钩子函数来将我们的代码加入Netfilter的处理机制中,我们首先需要了解各个钩子点的含义,PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT和POST_ROUTING是Netfilter钩子点。它们是在Linux内核网络协议栈中定义的五个特定点,用于处理网络数据包的不同阶段。以下是它们的详细介绍:   以上代码定义了一个hook_func函数,该函数将被注册到NF_INET_PRE_ROUTING钩子点,当有
Ethereal 过滤规则
gtkknd的专栏
10-19 1881
Ethereal 过滤规则 过滤规则: 一、IP过滤:ip.addr==192.168.100.25 或者 !(192.168.100.25) IP过滤有ip.src==192.168.100.25,表示源地址为192.168.100.25 ip.dst==192.168.100.25,表示目标地址为192.168.100.25 二、端口过
Linux连接跟踪helper
a1558451960的专栏
01-08 650
1. 该技术是为了解决什么问题而引入? 对于一些比较复杂的协议,会在数据包的应用层里携带一些信息用来建立其他新的连接(比如ftp),因此就会产生了防火墙该不该放行这些新的连接数据包问题,为了解决这个问题,就给连接跟踪引入了一个特殊的helper模块, 用来检测这些信息,让防火墙能够正常的放行这些新的连接数据包。 2. helper机制是如何工作的? PREROUTING: 在...
Linux下Netfilter创建自己的Hook,让数据包可以发送到用户层,然后统计节点负载信息
prowc的博客
08-02 2530
Linux下Netfilter创建自己的Hook函数,让数据包可以发送到用户层,然后统计节点的负载信息 希望实现的功能如题目所示,该功能实际分为几个步骤 在用户空间编写自己的Hook函数C文件,并将该文件编译成内核模块(后缀为.ko),然后加载到内核中,并测试Hook函数是否起作用 在用户空间编写C文件,接收内核传过来的数据包,统计负载信息,然后回传给内核 一、在用户空间编写自己...
IDEA的ja-netfilter
04-12
IDEA的ja-netfilter
ja-netfilter2.0.1.zip
05-10
idea-ja-netfilter2.0.1.zip
ja-netfilter
02-09
ja-netfilter
ja-netfilter自定义时间
05-02
在janf_config.txt文件中可以自定义破解时间 第一步点击:Start Trial 登录...第三步:-javaagent:C:\\ja-netfilter\\ja-netfilter.jar(此目录是ja-netfilter.jar存放的终极目录) 第四步:点击save保存,重启IDEA
linux内核中打印栈回溯信息 - dump_stack()函数分析
落尘纷扰的专栏
05-08 2万+
当内核出现比较严重的错误时,例如发生Oops错误或者内核认为系统运行状态异常,内核就会打印出当前进程的栈回溯信息,其中包含当前执行代码的位置以及相邻的指令、产生错误的原因、关键寄存器的值以及函数调用关系等信息,这些信息对于调试内核错误非常有用。
Linux内存管理 —— DMA和一致性缓存
落尘纷扰的专栏
03-06 2万+
1. 出现内存不一致的原因 CPU写内存的时候有两种方式: 1. write through: CPU直接写内存,不经过cache。 2. write back: CPU只写到cache中。cache的硬件使用LRU算法将cache里面的内容替换到内存。通常是这种方式。 DMA可以完成从内存到外设直接进行数据搬移。但DMA不能访问CPU的cache,CPU在读内存的时候,如果cache命中...
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
linux内核中的likely()和unlikely()宏的作用
落尘纷扰的专栏
04-10 1万+
在看linux内核代码的时候,经常会看到likely(x)和unlikely(x)宏的使用。那这两个宏有什么作用呢? 这两个宏在内核中的定义如下: # define likely(x) __builtin_expect(!!(x), 1) # define unlikely(x) __builtin_expect(!!(x), 0) 可见这里使用了gcc的内建函数__builtin_exp
Linux 虚拟文件系统(VFS)介绍
落尘纷扰的专栏
05-27 1万+
1. 通用文件模型Linux内核支持装载不同的文件系统类型,不同的文件系统有各自管理文件的方式。Linux中标准的文件系统为Ext文件系统族,当然,开发者不能为他们使用的每种文件系统采用不同的文件存取方式,这与操作系统作为一种抽象机制背道而驰。为支持各种文件系统,Linux内核在用户进程(或C标准库)和具体的文件系统之间引入了一个抽象层,该抽象层称之为“虚拟文件系统(VFS)”。VFS一方面提供一...
ja-netfilter idea 2023
最新发布
08-08
2023年的"Ja-Netfilter"是一个基于网络过滤技术的创新想法。它旨在提供更高效、更智能的网络过滤解决方案,帮助用户更好地管理和保护他们的网络安全。 "Ja-Netfilter"将利用最新的人工智能和机器学习技术,通过深度学习算法来分析和识别网络流量中的恶意行为和威胁。它将建立起一种自适应的过滤系统,能够根据实时数据和情境自动地调整过滤规则,以应对不断变化的网络攻击和威胁。 与传统的网络过滤技术相比,"Ja-Netfilter"具有明显的优势。首先,它能够从大量的网络数据中快速准确地分析出潜在的威胁,大大提高了网络防御的效率。其次,通过使用机器学习算法,"Ja-Netfilter"能够主动学习和适应新的网络攻击手段,及时更新过滤规则,从而提供更好的保护。此外,"Ja-Netfilter"还支持用户自定义的过滤规则,使用户能够根据自己的需求对网络流量进行精细化的控制。 "Ja-Netfilter"除了为个人用户提供网络安全保护外,也可以应用于企业和组织的网络安全管理中。它可以帮助企业对内部和外部网络流量进行监控和过滤,实时检测和阻止潜在的威胁,从而保护企业机密和客户数据的安全。 总而言之,"Ja-Netfilter"是一项创新的网络过滤技术,将利用人工智能和机器学习技术提供更高效、更智能的网络安全保护。它的出现将有助于提升网络安全防御能力,为用户提供更安全、更稳定的网络环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值