linux-conntrack对报文的处理

最新推荐文章于 2024-04-17 13:47:37 发布
VIP文章 最新推荐文章于 2024-04-17 13:47:37 发布
阅读量409 收藏 3
点赞数
文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigsheng2/article/details/122776836
版权

Linux 内核中的 ct 系统,本身从不改变/操纵数据包。通常也不会丢弃数据包,只可能在极少数情况下发生这种情况。
ct更多的是为其他内核组件提供决策。如 NAT 子系统以及Iptables和Nftables 的状态包过滤模块。连接跟踪最重要的使用场景就是 NAT,NAT 依赖连接跟踪的结果。
所以,即使存在established 状态的 ct,数据包还是会经过各个hook点,各个内核组件,还是会查找路由表、neighbor表等。
如下,nat流程中,nf_nat_packet 调用 nf_nat_manip_pkt 调用 nf_nat_ipv4_manip_pkt ,使用nf_conntrack_tuple *target 对数据包进行修改,而且在PREROUTING只修改daddr 和 dport,在POSTROUTING只修改saddr和sport。

unsigned int
nf_nat_inet_fn(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
    ct = nf_ct_get(skb, &ctinfo);
    if (!ct)    // conntrack 不存在就做不了 NAT,直接返回,这也是我们为什么说 NAT 依赖 conntrack 的结果
        return NF_ACCEPT;

    nat = nfct_nat(ct);

    switch (ctinfo) {
    case IP_CT_RELATED:
    case IP_CT_RELATED_REPLY: /* Only ICMPs can be IP_CT_IS_REPLY.  Fallthrough */
    case IP_CT_NEW: /* Seen it before? This can happen for loopback, retrans,
最低0.47元/天 解锁文章
bigsheng2
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux Kernel TCP/IP Stack — L3 Layer — netfilter 框架 — conntrackCT,连接跟踪)
烟云的计算
07-17 4927
目录 文章目录目录CT CT CTconntrack,connection tracking,连接跟踪),顾名思义,就是跟踪(并记录)连接的状态,是许多网络应用的基础。例如:iptables、LVS/IPVS、OvS、Docker Network、Kubernetes Service、ServiceMesh Sidecar 等。 需要注意的是,CT 中的 connection,与 TCP 的 connection 并不完全相同。CT 中,一个 IP 5-tuple 定义的一条 Flow 就表示一条 Con
go-conntrack:c语言绑定的免费API,用于golang与conntrack子系统进行通信
05-07
go-conntrack 这是go-conntrack ,它是用编写的。 它为的conntrack子系统提供了无绑定的API。 例子 func main () { nfct , err := ct . Open ( & ct. Config {}) if err != nil { fmt . Println ( "could not ...
常用Linux 命令
想飞的鱼
06-30 833
(1) vi 命令模式下 :w 只保存不退出 (2)shell Ctrl + Z , 程序后台执行   fg:后台程序调到前台 (3)在当前shell里执行一个文件里的命令:                                       source /home/user/file.name     (4)列出包括子进程的进程树:             
嵌入式linux仪器,高大上的开源CT扫描仪
weixin_42502977的博客
05-06 485
大家听到断层扫描仪(CT)一定都会想到医院里面庞大的机器,它可以帮助医生得到病人身体完整的三维图像。事实上,CT在工业检测中也有很大的用处,它可以在工业中无损检测和逆向工程中发挥巨大作用。这种高大上的仪器似乎和创客们无关,但加拿大的Peter Jansen却用木质结构打造了自己的CT仪。事实上,开源CT仪的概念是苹果的发明者Jerry Wozniak放到Github里面的:Peter收到这个启发,...
Linux命令(1)
pengxiang1998的博客
03-02 210
ls命令 – 显示指定工作目录下的内容及属性信息 示例 内容详细列表 mkdir命令 – 创建目录 权限 更改电脑的文件所有者,常理下试允许更改的,但却不可以, 注:更改一个文件或目录的所有者,只有root才能更改 添加一个所有者 添加一个组成员 find 文件搜索命令 1.根据文件名搜索 文件名为px的 *以x结尾的文件 为任意字符 ?代表的是单个字符 iname则会区...
Linux - 网络子系统 - CT
vertor11的博客
06-27 763
引用 连接跟踪(conntrack)原理、应用以及Linux内核实现 Linux内核那些事之连接跟踪 一. Overall CT:连接跟踪 - connection tracking,conntrack。 连接跟踪是许多网络应用的基础。例如,Kubernetes Service、ServiceMesh sidecar、 软件四层负载均衡器 LVS/IPVS、Docker network、OVS、iptables 主机防火墙等等,都依赖 连接跟踪功能 例如,上图是一台 IP 地址为...
netfilter之nat
fengcai_ke的博客
07-18 672
netfilter nat实现分析
netfilter&iptables探讨(4)——nat的实现与使用
dillanzhou的博客
12-11 1139
在之前的几篇文章中,我们讨论了netfilter与iptables的实现原理与基本用法。在netfilter&iptables的各种使用场景中,nat是最常用也是最复杂的用法之一。许多常用的网络使用模式都是通过nat iptables规则实现的,例如docker默认的bridge网络模式。本文将具体分析iptables中nat规则的实现方式,介绍报文经过nat规则实现地址转换的过程。并以docker bridge模式使用的nat规则为例,具体了解nat规则的实际用法。
netfilter之nat代码分析
City_of_skey的博客
12-12 1196
nat主要在PRE_ROUTING、OUTING、LOCAL_IN、POST_ROUTING四个链上注册了hook函数,PRE_ROUTING、OUTING这个两个链上做DNAT,LOCAL_IN和POST_ROUTING链上做SNAT。nat表没有LOCAL_IN链,但在LOCAL_IN上注册了钩子函数nf_nat_fn,主要作用是修改数据包的源端口。 static struct nf_ho...
Linux ct获取本机ip,linux ip命令
weixin_29370183的博客
05-09 175
ip 是个命令, ip 命令的功能很多!基本上它整合了 ifconfig 与 route 这两个命令,不过ip 的功能更强大!如果您有兴趣的话,请自行 vi /sbin/ifup 就知道整个 ifup 就是利用 ip这个命令来实现的。下面介绍一下使用方法[root@linux ~]# ip [option] [动作] [命令]参数:option :设定的参数,主要有:-s:显示出该设备的统计数据(...
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
go-conntrack
06-27
跟踪 安装 go get honnef.co/go/conntrack 文档 文档可以在找到。
Linux-netfilter-conntrack机制初步分析
04-27
Linux-netfilter-conntrack机制初步分析,谈论了conntrack的实现机制。
conntrack-tools离线宝及其依赖.zip
08-09
conntrack-tools离线宝及其依赖
netfilter-nf-conntrack-模块实现分析.doc编程资料
04-06
netfilter-nf-conntrack-模块实现分析.doc
Linux上安装mysql指南
最新发布
weixin_38003620的博客
04-17 317
我在装的时候,第5、6步报错了,先暂时跳过。最后一步server也报错了,由于server是本机搭建mysql数据库的,只是客户端可能也没必要装。mysql -h -u<用户名称> -p<用户密码> -P3306 --default-character-set=utf8。一开始,我自己下载了安装包,装了一个这个社区版的,rpm -qa | grep mysql。最后,看看我已经装好的包,只需要装mysql客户端这些就够了,不需要生产数据。查了资料,好像说要先把上面两个包先卸载,再重新装。
Linux 网络排查命令
学习记录
04-14 442
学习记录
LinuxLinux信号
ZHENGZJM的博客
04-14 772
介绍Linux中信号的概率
Linux】命名管道的创建方法&&基于命名管道的两个进程通信的实现
m0_74265792的博客
04-14 674
Linux】命名管道的创建方法&&基于命名管道的两个进程通信的实现
kmod-ipt-conntrack
05-12
kmod-ipt-conntrackLinux内核中的一个内核模块,它提供了一种基于连接跟踪的防火墙机制。该模块可用于iptables和ip6tables防火墙规则中,它可以跟踪传入和传出连接的状态,从而可以根据连接的状态来决定是否允许或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值