linux下的Netfilter&iptables:注册连接跟踪函数流程分析1

最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布
阅读量260 收藏
点赞数
分类专栏: Linux 网络协议栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asn1111/article/details/104113436
版权

初始化函数如下

/* Connection tracking may drop packets, but never alters them, so
   make it the first hook. */
static struct nf_hook_ops ipv4_conntrack_ops[] __read_mostly = {
    {
        .hook        = ipv4_conntrack_in,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_PRE_ROUTING,
        .priority    = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook        = ipv4_conntrack_local,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_OUT,
        .priority    = NF_IP_PRI_CONNTRACK,
    },
    {
        .hook        = ipv4_helper,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_POST_ROUTING,
        .priority    = NF_IP_PRI_CONNTRACK_HELPER,
    },
    {
        .hook        = ipv4_confirm,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_POST_ROUTING,
        .priority    = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
    {
        .hook        = ipv4_helper,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority    = NF_IP_PRI_CONNTRACK_HELPER,
    },
    {
        .hook        = ipv4_confirm,
        .owner        = THIS_MODULE,
        .pf        = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority    = NF_IP_PRI_CONNTRACK_CONFIRM,
    },
};

static int __init nf_conntrack_l3proto_ipv4_init(void)
{
    int ret = 0;

    need_conntrack();
    nf_defrag_ipv4_enable();

    ret = nf_register_sockopt(&so_getorigdst);
    if (ret < 0) {
        printk(KERN_ERR "Unable to register netfilter socket option\n");
        return ret;
    }

    ret = register_pernet_subsys(&ipv4_net_ops);
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register pernet ops\n");
        goto cleanup_sockopt;
    }

/**************向钩子注册连接追踪函数******************/

    ret = nf_register_hooks(ipv4_conntrack_ops,
                ARRAY_SIZE(ipv4_conntrack_ops));
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register hooks.\n");
        goto cleanup_pernet;
    }

    ret = nf_ct_l4proto_register(&nf_conntrack_l4proto_tcp4);
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register tcp4 proto.\n");
        goto cleanup_hooks;
    }

    ret = nf_ct_l4proto_register(&nf_conntrack_l4proto_udp4);
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register udp4 proto.\n");
        goto cleanup_tcp4;
    }

    ret = nf_ct_l4proto_register(&nf_conntrack_l4proto_icmp);
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register icmpv4 proto.\n");
        goto cleanup_udp4;
    }

    ret = nf_ct_l3proto_register(&nf_conntrack_l3proto_ipv4);
    if (ret < 0) {
        pr_err("nf_conntrack_ipv4: can't register ipv4 proto.\n");
        goto cleanup_icmpv4;
    }

#if defined(CONFIG_PROC_FS) && defined(CONFIG_NF_CONNTRACK_PROC_COMPAT)
    ret = nf_conntrack_ipv4_compat_init();
    if (ret < 0)
        goto cleanup_proto;
#endif
    return ret;
#if defined(CONFIG_PROC_FS) && defined(CONFIG_NF_CONNTRACK_PROC_COMPAT)
 cleanup_proto:
    nf_ct_l3proto_unregister(&nf_conntrack_l3proto_ipv4);
#endif
 cleanup_icmpv4:
    nf_ct_l4proto_unregister(&nf_conntrack_l4proto_icmp);
 cleanup_udp4:
    nf_ct_l4proto_unregister(&nf_conntrack_l4proto_udp4);
 cleanup_tcp4:
    nf_ct_l4proto_unregister(&nf_conntrack_l4proto_tcp4);
 cleanup_hooks:
    nf_unregister_hooks(ipv4_conntrack_ops, ARRAY_SIZE(ipv4_conntrack_ops));
 cleanup_pernet:
    unregister_pernet_subsys(&ipv4_net_ops);
 cleanup_sockopt:
    nf_unregister_sockopt(&so_getorigdst);
    return ret;
}

 

 

时光漫走
关注
专栏目录
linux内核协议栈 netfilter 之 ip 层 netfilter 的 NAT 原理及模块初始化
11-06 1010
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2190
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
Linuxiptables原理
wujie_03的博客
04-23 412
iptables简介     netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础     规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如
Linux Netfilter框架实现及函数调用处理过程
mrtyxr的博客
01-26 1345
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 880
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
Connection tracking (conntrack) - Part 1: Modules and Hooks
maimang1001的专栏
05-20 603
Connection tracking (conntrack) - Part 1: Modules and Hooks [Thermalcircle.de]https://thermalcircle.de/doku.php?id=blog:linux:connection_tracking_1_modules_and_hooks With this article series I like to take a closer look at the connection tracking subsyste
洞悉linux下的Netfilter&iptables:什么是Netfilter
m0_74282605的博客
11-28 421
那就是:如果协议栈当前收到了一个IP报文(PF_INET),那么就把这个报文传到Netfilter的NF_IP_PRE_ROUTING过滤点,去检查[R]在那个过滤点(nf_hooks[2][0])是否已经有人注册了相关的用于处理数据包的钩子函数。NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。其核心就是nf_hook_slow()函数
(六)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?【中】
wjlkoorey的专栏
07-24 416
Netfilter<span style="font-family: 宋体;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family: 宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:Calibri;
Linux-Netfilter&iptables实现机制的分析及应用.pdf
08-04
### Linux-Netfilter & iptables 实现机制的分析及应用 #### 1. 引言 本文档旨在深入探讨Linux下的Netfilteriptables实现机制,重点关注用户态与内核态规则之间的交互方式及其管理方法。此外,文档还讨论了如何...
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
论文首先分析Linux 2.4 内核的 Netfilter 结构在 IP 协议栈中的位置和结构,然后介绍了应用 Patch-o-matic 结构扩展 Netfilter-iptables 目标(target)选项的机制和方法。 NetfilterLinux 防火墙的底层机构...
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
iptables匹配功能connbytes
redwingz的博客
03-25 2107
connbytes用于匹配一个连接中的字节数量,报文数量或者平均报文长度值。 # iptables -A OUTPUT -m connbytes --connbytes 100: --connbytes-dir both --connbytes-mode bytes # iptables -A OUTPUT -m connbytes --connbytes 300:11000 --connbytes-dir both --connbytes-mode bytes # # iptables -L -n -
Linux netfilter 学习笔记 之二 ip 层netfilter的hook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 9083
上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
iptables 到 nf_conntrack(1)
zyxpaomian的博客
01-19 541
Big Picture1 公司的监控服务器开启ipatbles 以后,经常会报kernel: nf_conntrack: nf_conntrack: table full, dropping packet的内核报错,原因是conntrack 表满了,常规的做法是以下几种: sysctl –w net.netfilter.nf_conntrack_max = 2097152 #状态跟踪表的最大行数的设定 sysctl -w net.netfilter.nf_conntrack_buckets = 104857
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3150
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
nf_hook_ops中使用常量定义
sidemap的博客
11-29 902
// 协议/地址簇相关(include/linux/socket) /* Supported address families */ #define AF_UNSPEC 0 #define AF_UNIX 1 /* Unix domain sockets */ #define AF_LOCAL 1 /* POSIX name for AF_UNIX */ #def...
记录一次开启nginx后应用全挂的情况
fengeh的专栏
08-06 1275
有一台阿里云上的服务器,上一任运维留下来的,里面装了nginx1.10.2 ,还开启了iptables。之前一直都是相安无事,内存占用率稳定达到85%-90%,cpu占用率偶尔达到50%,一般在10%以下。 突然一天,发现nginx设置跳转的域名无法连接,观察内存,cpu都没问题,连接数也正常,由于能力有限,因此也未进入查看内核方面的情况,只是做了些紧急措施,将重要的域...
Linux 驱动】netfilter/iptables (三) 注册和注销Netfilter hook
wenqian 'blog
12-22 3485
继前面介绍了 netfilter hook,这里我们开始进行实例讲解: wqlkp.c:#include <linux/module.h> #include <linux/kernel.h> #include <linux/netfilter.h> #include <linux/netfilter_ipv4.h>MODULE_LICENSE("Dual BSD/GPL");static stru
Netfilter框架详解:连接跟踪iptables机制
连接跟踪机制通过跟踪连接的元数据(如源和目的IP、端口,连接状态等)来管理网络连接。在IP层,接收和发送数据包会经过特定的钩子函数,如ip_conntrack_in和ip_conntrack_local,进行连接状态的更新。 5. 连接跟踪...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值