linux-conntrack对报文的处理

最新推荐文章于 2024-04-03 11:34:58 发布
最新推荐文章于 2024-04-03 11:34:58 发布
阅读量459 收藏 3
点赞数
文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigsheng2/article/details/122776836
版权
Linux内核的ct系统主要为其他组件提供决策,如NAT和iptables/Nftables的状态包过滤。它在NAT中尤其关键,但即使连接已建立,数据包仍会经过各hook点和路由表。nat流程中,nf_conntrack_tuple用于修改数据包的daddr和dport(PREROUTING)或saddr和sport(POSTROUTING)。
摘要由CSDN通过智能技术生成

Linux 内核中的 ct 系统,本身从不改变/操纵数据包。通常也不会丢弃数据包,只可能在极少数情况下发生这种情况。
ct更多的是为其他内核组件提供决策。如 NAT 子系统以及Iptables和Nftables 的状态包过滤模块。连接跟踪最重要的使用场景就是 NAT,NAT 依赖连接跟踪的结果。
所以,即使存在established 状态的 ct,数据包还是会经过各个hook点,各个内核组件,还是会查找路由表、neighbor表等。
如下,nat流程中,nf_nat_packet 调用 nf_nat_manip_pkt 调用 nf_nat_ipv4_manip_pkt ,使用nf_conntrack_tuple *target 对数据包进行修改,而且在PREROUTING只修改daddr 和 dport,在POSTROUTING只修改saddr和sport。

unsigned int
nf_nat_inet_fn(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
    ct = nf_ct_get(skb, &ctinfo);
    if (!ct)    // conntrack 不存在就做不了 NAT,直接返回,这也是我们为什么说 NAT 依赖 conntrack 的结果
        return NF_ACCEPT;

    nat = nfct_nat(ct);

    switch (ctinfo) {
    case IP_CT_RELATED:
    case IP_CT_RELATED_REPLY: /* Only ICMPs can be IP_CT_IS_REPLY.  Fallthrough */
    case IP_CT_NEW: /* Seen it before? This can happen for loopback, retrans,
最低0.47元/天 解锁文章
bigsheng2
关注
Linux Kernel TCP/IP Stack — L3 Layer — netfilter 框架 — conntrackCT,连接跟踪)
烟云的计算
07-17 4991
目录 文章目录目录CT CT CTconntrack,connection tracking,连接跟踪),顾名思义,就是跟踪(并记录)连接的状态,是许多网络应用的基础。例如:iptables、LVS/IPVS、OvS、Docker Network、Kubernetes Service、ServiceMesh Sidecar 等。 需要注意的是,CT 中的 connection,与 TCP 的 connection 并不完全相同。CT 中,一个 IP 5-tuple 定义的一条 Flow 就表示一条 Con
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2263
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
03-20 1309
本文介绍连接跟踪(connection tracking,conntrackCT)的原理,应用,及其在 Linux 内核中的实现。代码分析基于内核4.19。为使行文简洁,所贴代码只保留了核心逻辑,但都给出了代码 所在的源文件,如有需要请查阅。水平有限,文中不免有错误之处,欢迎指正交流。// 为方便 NAT 的实现,内核将 tuple 结构体拆分为 "manipulatable" 和 "non-manipulatable" 两部分// 下面结构体中的 _man 是 manipulatable 的缩写。
Linux中的conntrack命令深入解析
最新发布
展望、进击
04-03 1671
Linux网络管理和监控领域,`conntrack`命令是一个强大的工具,它提供了对netfilter连接跟踪系统的直接访问🔍。这篇文章将深入探讨`conntrack`的由来、底层原理、参数意义,以及其常见用法,并对返回结果的每个字段进行详细解释。
【转帖LINUX】netfilter中的conntrack内核阅读笔记(5)
生命因你而精彩!明天更美好!
02-11 867
2008-07-07 22:096,TCP filter的原理: 当filter收到某个连接的第一个报文时,会为该连接在全局连接表中创建一个表项,并用报文中携带的源、目的IP和端口这个四元组创建original tuple和reply tuple,这两个tuple分别从不同方向来标识这个连接。后续的报文会根据其携带的四元组找到相应的连接表项,然后根据表项所记录的历史状态
perf内核跟踪和探测
frankzfz的专栏
10-17 803
前面的文章中介绍了使用bcc systemtap等跟踪命令,对内核进行跟踪,还有一个perf工具,作为内核自带的内核分析工具,也可以对内核跟踪和观测,perf的不同之处在于可以方便的分析内核中那个函数占用的CPU时间较多,成为影响系统性能的主要主要因素,所以被称为:Performance Counters for Linux (PCL)。在使用perf命令跟踪内核变量可以使用下面的命令,本篇文章还是使用icmp_rcv函数作为跟踪的示例函数:执行下面的命令。前面有行号的是可以追踪的内核源码。
Linux ct获取本机ip,linux ip命令
weixin_29370183的博客
05-09 207
ip 是个命令, ip 命令的功能很多!基本上它整合了 ifconfig 与 route 这两个命令,不过ip 的功能更强大!如果您有兴趣的话,请自行 vi /sbin/ifup 就知道整个 ifup 就是利用 ip这个命令来实现的。下面介绍一下使用方法[root@linux ~]# ip [option] [动作] [命令]参数:option :设定的参数,主要有:-s:显示出该设备的统计数据(...
linux conntrack 原理,十五、Netfilter中conntrack的建立过程
weixin_33467061的博客
05-14 896
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪的连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
基于eBPF/XDP实现conntrack功能
06-19
Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后对网络报文进行跟踪;但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样...
linux-内核参数优化参考指标
dlm520947的博客
07-30 2547
民间最全的Linux系统内核参数调优说   相信做运维的同仁,进行运维环境初建时,必须要考虑到操作系统内核参数的优化问题,本人经历数次的运维环境重建后,决定要自行收集一份比较完善的系统内核参数优化说明文件出来,于是就有了下文,本文当前值是官方默认参数,建议参数直接添加于sysctl -a输出的结果每一行的后面,希望对运维的同仁做系统内核参数调优时有所帮助。废话不多讲,直接上干货! ...
UCloud基于Linux内核新特性的Conntrack卸载设计与优化
Ucloud_TShare的博客
04-03 825
近期,Netfilter 和 Mellanox 联合开发了flowtable hardware offload 功能,使flowtable成为一种标准的conntrack卸载方案,并实现了Linux标准的Netfilter 硬件offload接口。作为一个新功能,还存在一些缺陷和不完善的地方。 对此,我们做了大量的硬件卸载开发工作,进行问题修复、功能优化,帮助完善kernel功能并提升性能,后续...
netfilter&iptables探讨(4)——nat的实现与使用
dillanzhou的博客
12-11 1300
在之前的几篇文章中,我们讨论了netfilter与iptables的实现原理与基本用法。在netfilter&iptables的各种使用场景中,nat是最常用也是最复杂的用法之一。许多常用的网络使用模式都是通过nat iptables规则实现的,例如docker默认的bridge网络模式。本文将具体分析iptables中nat规则的实现方式,介绍报文经过nat规则实现地址转换的过程。并以docker bridge模式使用的nat规则为例,具体了解nat规则的实际用法。
netfilter之nat代码分析
City_of_skey的博客
12-12 1316
nat主要在PRE_ROUTING、OUTING、LOCAL_IN、POST_ROUTING四个链上注册了hook函数,PRE_ROUTING、OUTING这个两个链上做DNAT,LOCAL_IN和POST_ROUTING链上做SNAT。nat表没有LOCAL_IN链,但在LOCAL_IN上注册了钩子函数nf_nat_fn,主要作用是修改数据包的源端口。 static struct nf_ho...
在云原生场景中,nettrace 如何快速进行网络故障诊断
OpenCloudOS的博客
01-10 3539
nettrace工具自上线以来,受到了业界的广泛关注。特别是复杂的云原生网络环境中,nettrace 工具通过报文跟踪、网络诊断的方式为用户解决了多次疑难网络问题。
linux nat源码分析,Linux网络子系统安全性模块详细分析之文件nf_nat_core.c核心代码注释...
weixin_39608526的博客
05-12 159
原标题:Linux网络子系统安全性模块详细分析之文件nf_nat_core.c核心代码注释2.4.3.6 核心代码注释static bool manip_pkt(u_int16_t proto,struct sk_buff *skb,unsigned int iphdroff,conststruct nf_conntrack_tuple *target,enum nf_nat_manip_type...
Linux内核路由器模式 内网ip的nat转换实现流程
taochao90的博客
03-29 2581
nat表需要的三个链:  1.PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;  2.POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则。  3.OUTPUT:定义对本地产生的数据包的目的NAT规则。需要用到的几个动作选项...
52.第十三章 Linux防火墙 -- iptables(二)
Raymond的博客
01-24 166
3.3 iptables 基本匹配条件 基本匹配条件:无需加载模块,由iptables/netfilter自行提供 [!] -s, --source address[/mask][,...]:源IP地址或者不连续的IP地址 [!] -d, --destination address[/mask][,...]:目标IP地址或者不连续的IP地址 [!] -p, --protocol protocol:指定协议,可使用数字如0(all) protocol: tcp, udp, icmp, icmpv6, udp
Linux性能优化-网络性能优化思路
m0_74282605的博客
12-13 1136
第三类,在长连接的场景中,通常使用 Keepalive 来检测 TCP 连接的状态,以便对端连接断开后,可以自动回收。比如,就以 VXLAN 为例,它在原来报文的基础上,增加了 14B 的以太网头部、 8B 的 VXLAN 头部、8B 的 UDP 头部以及 20B 的 IP 头部。自然,链路层的优化,也是围绕这些基本功能进行的。虽然网络性能优化的整体目标,是降低网络延迟(如 RTT)和提高吞吐量(如 BPS 和 PPS),但具体到不同应用中,每个指标的优化标准可能会不同,优先级顺序也大相径庭。
OVS 内核CT实现
榕易的易
08-30 4476
文章目录引言OVS CT 定义CT 匹配域CT 动作TCP 使用范例TCP SYN包TCP SYN-ACK 包TCP ACK 包TCP 断连OVS 内核态 CT 实现CT 实现框架OVS 侧实现 - 进入 CTLinux 内核侧实现OVS 侧实现 - 离开 CT 后内核 CT 下的TCP 状态迁移关于 NAT 实现TCP 三次握手之旅SYN 包到来时SYN-ACK 包到来时ACK 包到来时遗留问题参考文档 引言 所有连接跟踪模块的作用,都是在首包到来时,识别并在CT表中生成表项;而当该连接的特定数据包到
Linux协议栈--NAT源码分析
maimang1001的专栏
01-27 1399
Linux协议栈--NAT源码分析 NAT的初始化 NAT的实现 NAT的实际转换过程 参考NAT的初始化前面我们在Iptables规则中提到过,NAT是Iptables中的一种表。所以NAT的初始化会在Iptables框架中注册一个表项。然后NAT也需要在Netfilter框架中注册钩子函数才能捕获数据包并对其进行修。这些都是在/net...http://cxd2014.github.io/2017/09/29/linux-nat/ NAT的初始化 前面我们在Iptables规则中提到过,NAT是Ip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值