有感于netfilter的转发效率

最新推荐文章于 2022-03-16 14:36:58 发布
最新推荐文章于 2022-03-16 14:36:58 发布
阅读量363 收藏 1
点赞数
分类专栏: linux转载 文章标签: 数据结构 Cache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809397
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

一个数据包进入netfilter后,首先组碎片,组完后就得查一遍当前的连接表(第一个表,HASH链表结构),虽然是HASH的,但数量一大每个链表里节点还是不少;如果如果查不到,得先分配内存建立连接信息,然后查期待子连接列表(第二个表,链表),这个表是单一线性表,一般情况下这个表倒是不太长,找到发现是子连接的话要和主连接绑一下,最后根据各个IP协议的处理检查一下数据包的合法性,这才完成数据包的前期操作,这个是在用户层不可控,由netfilter自动完成的;然后就得查目的NAT表(第3个表,数组结构),匹配了的话进行目的NAT,否则进行一个空绑定,每个后续包都要到这个绑定函数里操作一番,然后进行路由表查找(涉及的路由表和路由cache,也需要查表,但和netfilter无关);然后或者转发,或者进入本机;如果转发,需要查转发链的规则表(第4个表,数组结构)进行过滤;然后数据包进入POSTROUTING点,和PREROUTING的目的NAT 类似,这里是进行源NAT,同样要查源NAT规则表(第5个表,数组结构),有规则的按规则转换,没规则的进行地址不变的转换,然后再次进行绑定操作,最后发出。

有此可见,一个包进了netfilter要查至少5个表,其中连接状态表是数量最大的,所以也用HASH形式处理,其次应该属于转发链的过滤表,如果不把状态检查规则放前面的话,每个后续包检查的规则也不会少,尤其是作流量控制;另外前后两次NAT绑定操作也是特别费性能的操作,而且如果本身不进行NAT,也得进行空绑定操作,空绑定时所有流程也走一遍,并没简化,校验和又都白算一遍,浪费。综合种种,难怪内核加了netfilter后性能被砍一半。

发表于: 2006-09-04,修改于: 2006-09-04 08:47,已浏览3167次,有评论4条 推荐 投诉
	网友: Godbach 	时间:2008-08-05 17:52:23 IP地址:219.238.94.★


因此,如果说部使用NAT的功能时,是不是可以考虑用一个内核模块实现iptables和静态表的功能,而不用内核现成的呢。


	网友: Godbach 	时间:2008-08-05 18:03:33 IP地址:211.100.11.★


端木兄的这篇文章其实也相当于把netfilter对数据包的处理进行了流程性的分析,对我很有帮助,谢谢。


	网友: Godbach 	时间:2008-08-05 18:13:10 IP地址:211.100.11.★


一个包进了netfilter要查至少5个表

-------------------------------------

这个地方应该是最多查5个表吧。如果是发往本机的包,则不需要FOWARD和POSTROUTING。所查的表应该少于5个吧。


	网友: Godbach 	时间:2008-08-05 20:46:14 IP地址:219.238.94.★


惭愧。没看清楚题目,题目本来就是说的转发的效率。
cxw06023273
关注
专栏目录
Linux内核(一):网桥转发与Netfilter初始化
afanx的博客
09-06 1745
文章目录概念模块初始化网桥网桥初始化Netfilter初始化HOOK钩子函数声明钩子函数注册函数HOOK点支持的协议优先级返回值各种钩子函数转发流程二层网桥转发 概念 RCU机制:Linux的同步机制,读-拷贝修改。原理是,RCU保护的共享数据结构,读者不需要锁,写者要写的时候先拷贝一份副本,修改副本,等到没有读者读原数据之后,将指向原数据的指针改为指向副本。允许多个读者同时访问被保护数据,是否允许多个写者并行访问取决于写者间的同步机制。 RTNL互斥锁:内核的接口很多都显式的要求在rtnl lock的保
synsanity:netfilter(iptables)目标用于高性能无锁SYN cookie,以减轻SYN泛滥
05-11
同步性-已弃用 该项目已被弃用。 截至2017年,GitHub运行带有Linux内核。 synsanity是GitHub上生产中使用的netfilter(iptables)目标,用于实现SYN Flood缓解的高性能无锁SYN cookie。 synsanity允许运行3.x内核Linux服务器以最小(或至少更少)的性能影响来处理SYN泛洪。 使用默认Linux内核3.x设置,由于内核在LISTEN套接字和conntrack中发生自旋锁,因此非常小的SYN泛洪会导致CPU完全耗尽。 synsanity将大部分工作移到了netfilter(iptables)目标中,并绕过了针对这种攻击情形的锁定,从而允许在数据包到达TCP堆栈之前生成高吞吐量的syncookie。 以下组件组成了协同关系及其支持的设置: 包含内核端iptables模块,其中大部分工作都在其中进行。 包含iptabl
大一统的Netfilter-一种Linux防火墙优化方法
totoxian
08-27 874
1.背景 目前,Linux的防火墙是基于Netfilter实现的。Netfilter可谓是无所不能,Netfilter的官网的patch-o-matic-ng补丁中几乎每天都会有更新,都会有更好玩的东西。然而基本上做过测试的都知道,在大量规则存在的情况下,Netfilter会导致网络性能下降,这非常不适合做压力测试。Netfilter的网站上以及内核开发社区或者说各大论坛上的大牛们几乎都在关注功...
Linux内核netfilter子系统ulogd项目性能调优记录
InsZVA的专栏
05-10 892
使用ULOGD打SYSLOG到SYSLOG-NG,当NFLOG拿到的数据包在6K左右时,CPU有两个核心占了15%左右 使用修改过的ULOGD直接打TCP,CPU只有一个核心占15%左右(修改版在https://github.com/InsZVA/ulogd-with-syslog-tcp) 使用perf top查看, 8.89% libc-2.12.so [.
iptables学习笔记--Netfilter的报文转发流程
小懿大侠的专栏
09-19 1172
转自:http://www.verycheck.net/blog/?p=10
ja-netfilter
02-09
ja-netfilter
Netfilter源代码分析详解
06-22
Netfilter 的通用框架不依赖于具体的协议,而是为每种网络协议定义一套 HOOK 函数。这些 HOOK 函数在数据报经过协议栈的几个关键点时被调用,在这几个点中,协议栈将数据报及 HOOK 函数标号作为参数,传递给 ...
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
ja-netfilter-2022.2.0.zip
06-03
5. **事件驱动模型**:ja-netfilter采用事件驱动的编程模型,当网络事件发生时,框架会触发相应的事件处理器,使得程序能够实时响应网络变化,提高性能和效率。 6. **多线程与并发**:考虑到网络通信的并发性,ja-...
[netfilter]-ip_rcv包转发流程
n1wer的专栏
03-16 351
1,ip_rcv收到包之后,调用NF_HOOK,NF_HOOK首先调用nf_hook遍历NFPROTO_IPV4, NF_INET_PRE_ROUTING的钩子点上的hook,然后执行ip_rcv_finish 2,ip_rcv_finish调用首先调用查找路由获取rtable,得到input方法,对于RTN_LOCAL,input=ip_local_ip_local_deliver,非RTN_LOCAL,input=ip_forward;之后调用dst_input; 3,如果是RTN_LOCA...
netfilter
nongfuchui的博客
08-28 978
#firewalld&netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7中称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
netfilter conntrack性能调整
所作所为
10-30 1348
Netfilter conntrack performance tweaking, v0.7 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Herv� Eychenne This document explains some of the things you need to kno
一个Netfilter nf_conntrack流表查找的优化-为conntrack添加一个per cpu cache
weixin_33672109的博客
07-24 220
独悲须要忍受。快乐须要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法对其割舍,我想自己实现一个高速流表。可是我不得不抛弃依赖于conntrack的诸多功能。比方state match。Linux NAT等,诚然。我尽管对NAT也是抱怨太多,但无论如何。不是还有非常多人在用它吗。       以前,我针对conntrack查找做...
LWN:利用硬件offload来加速netfilter——第一部分
Linux News搬运工
02-14 1961
关注了就能看到更多这么棒的文章哦~Accelerating netfilter with hardware offload, part 1January 14, 2020 This ar...
云计算底层技术-netfilter框架研究
flynetcn的专栏
04-15 1085
Posted on March 24, 2018 by opengers in openstack netfilter框架 connection tracking 连接跟踪表 如何设置最大连接跟踪数 如何计算连接跟踪所占内存 conntrack条目 iptables状态匹配 iptables状态匹配模块 数据包在内核中的状态 如何管理连接跟踪表 Bridge与netfilter conntrack与LVS netfilter框架 netfilter是linux内.
优化你的 netfilter/iptables 网关
jason的专栏
10-10 1172
netfilter/iptables 是Linux内核集成的 IP 数据包过滤系统,它由 netfilter 和 iptables 两个组件组成。其中 netfilter 是工作在内核空间,由许多Hook函数组成,根据“规则”控制数据包并做相应的处理,而 iptables 则是用户空间的一个工具,用于操作规则的(操作netfilter的Hook函数),但很多时候我们直接简称为iptables了。
Linux中netfilter火墙访问控制策略优化详解(上)—iptables
weixin_44310047的博客
06-04 571
Linux中的火墙策略优化 1、火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2、火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --
netfilter实现路由转发
最新发布
04-26
对于netfilter实现路由转发的问题,我了解一些基础知识。netfilter是Linux内核中的一个框架,它允许内核在数据包进出网络接口时实施限制、修改、重定向、拒绝或转发操作。要在netfilter中实现路由转发,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值