连接跟踪子系统之初始化

最新推荐文章于 2023-11-24 12:02:31 发布
最新推荐文章于 2023-11-24 12:02:31 发布
阅读量536 收藏 1
点赞数 1
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter 连接跟踪 nf_conntrack_init
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu_750516366/article/details/89062898
版权

这篇笔记记录了连接跟踪子系统的初始化过程,从初始化过程中可以了解到连接跟踪子系统由哪些子模块组成。初始化涉及的核心代码文件有:

代码路径说明
net/netfilter/nf_conntrack_standalone.c连接跟踪子系统的初始化入口
net/netfilter/nf_conntrack_core.c连接跟踪子系统框架的核心部分

1. 初始化入口:nf_conntrack_standalone_init()

static int __init nf_conntrack_standalone_init(void)
{
#ifdef CONFIG_PROC_FS
	struct proc_dir_entry *proc;
#endif
	int ret = 0;
	//连接跟踪子系统的核心初始化过程
	ret = nf_conntrack_init();
	if (ret < 0)
		return ret;
#ifdef CONFIG_PROC_FS
	//创建/proc/net/nf_conntrack文件,该文件只读,
	//读取该文件可以获取当前内核中跟踪的所有连接的信息
	proc = proc_net_fops_create(&init_net, "nf_conntrack", 0440, &ct_file_ops);
	if (!proc)
		goto cleanup_init;
	//创建/proc/net/stat/nf_conntrack文件,获取连接跟踪子系统的统计信息
	if (!proc_create("nf_conntrack", S_IRUGO, init_net.proc_net_stat, &ct_cpu_seq_fops))
		goto cleanup_proc;
#endif
#ifdef CONFIG_SYSCTL
	//在/proc/sys/net/netfilter子目录,暴露一部分内核变量给用户态
	nf_ct_sysctl_header = register_sysctl_paths(nf_ct_path, nf_ct_netfilter_table);
	if (nf_ct_sysctl_header == NULL) {
		printk("nf_conntrack: can't register to sysctl.\n");
		ret = -ENOMEM;
		goto cleanup_proc_stat;
	}
#endif
	return ret;
...
}

可以看出,nf_conntrack_standalone_init()除了在/proc文件系统下面创建一些节点外,核心的初始化过程都是调用nf_conntrack_init()完成的。

2. 核心初始化:nf_conntrack_init()

int __init nf_conntrack_init(void)
{
	int max_factor = 8;
	int ret;
	//根据系统内存大小确定连接跟踪哈希桶的大小
	if (!nf_conntrack_htable_size) {
		nf_conntrack_htable_size = (((num_physpages << PAGE_SHIFT) / 16384)
			   / sizeof(struct hlist_head));
		if (num_physpages > (1024 * 1024 * 1024 / PAGE_SIZE))
			nf_conntrack_htable_size = 16384;
		if (nf_conntrack_htable_size < 32)
			nf_conntrack_htable_size = 32;
		/* Use a max. factor of four by default to get the same max as
		 * with the old struct list_heads. When a table size is given
		 * we use the old value of 8 to avoid reducing the max.
		 * entries. */
		max_factor = 4;
	}
	//为nf_conntrack_hash分配空间,桶的个数就是nf_conntrack_htable_size
	nf_conntrack_hash = nf_ct_alloc_hashtable(&nf_conntrack_htable_size,
						  &nf_conntrack_vmalloc);
	if (!nf_conntrack_hash)
		goto err_out;
	//最大能够跟踪的连接数是哈希桶的整数倍(8倍或4倍),这种限制是为了
	//防止冲突过多影响了数据包的处理效率
	nf_conntrack_max = max_factor * nf_conntrack_htable_size;
	//为连接跟踪信息块struct nf_conn创建高速缓存
	nf_conntrack_cachep =
		kmem_cache_create("nf_conntrack", sizeof(struct nf_conn), 0, 0, NULL);
	if (!nf_conntrack_cachep) 
		goto err_free_hash;
	//初始化协议管理子模块
	ret = nf_conntrack_proto_init();
	if (ret < 0)
		goto err_free_conntrack_slab;
	//初始化期望连接子模块
	ret = nf_conntrack_expect_init();
	if (ret < 0)
		goto out_fini_proto;
	//初始化helper子模块
	ret = nf_conntrack_helper_init();
	if (ret < 0)
		goto out_fini_expect;
	/* For use by REJECT target */
	rcu_assign_pointer(ip_ct_attach, nf_conntrack_attach);
	//destroy_conntrack()函数将会在连接跟踪信息块被销毁时调用
	rcu_assign_pointer(nf_ct_destroy, destroy_conntrack);
	//构造一个假的连接,该假连接不会出现在全局的哈希表中
	atomic_set(&nf_conntrack_untracked.ct_general.use, 1);
	set_bit(IPS_CONFIRMED_BIT, &nf_conntrack_untracked.status);
	return ret;
...
}

2.1 协议管理子模块初始化:nf_conntrack_proto_init()

协议管理子模块的分析见笔记连接跟踪子系统之L3L4协议管理

2.2 期望连接子模块初始化:nf_conntrack_expect_init()

helper子模块的分析见笔记连接跟踪子系统之期望连接

2.3 helper子模块初始化:nf_conntrack_helper_init()

helper子模块的分析见笔记连接跟踪子系统之helper

3. 内核变量(未完待补充)

通过/proc/sys/net/netfilter目录,用户态可以操作一部分内核变量,进而改变内核的配置,在一定程度上提供了配置的灵活性。在连接跟踪子系统初始化过程中,涉及如下内核变量:

  • nf_conntrack_max:路径为/proc/sys/net/netfilter/nf_conntrack_max。表示内核同时能够跟踪的最大连接个数;
  • nf_conntrack_count:路径为/proc/sys/net/netfilter/nf_conntrack_count。表示内核中当前跟踪了多少条连接;
  • nf_conntrack_buckets:路径为/proc/sys/net/netfilter/nf_conntrack_buckets。
  • nf_conntrack_checksum
  • nf_conntrack_log_invalid
  • nf_conntrack_expect_max
fanxiaoyu321
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nf_conntrack: table full, dropping packet 问题排查和解决
weixin_30454481的博客
04-25 608
nf_conntrack模块在kernel 2.6.15(2006-01-03发布) 被引入,支持ipv4和ipv6,取代只支持ipv4的ip_connktrack,用于跟踪连接的状态,供其他模块使用。 最常见的使用场景是 iptables 的nat和state模块: nat根据转发规则修改IP包的源/目标地址,靠nf_conntrack的记录才能让返回的包能路...
chmod: changing permissions of ‘xxx‘: Operation not permitted
a13568hki的博客
08-25 3597
可能的原因: 此文件正在被锁定,不允许操作或更改.chmod命令底层的实现是chattr命令,使用此命令后,可以使此文件被锁定,无法进行添加/删除/写入等操作,就算root用户也无法例外,熟悉chattr及lsattr命令即可解决此问题.授权某文件时,提示 chmod: changing permissions of ‘log’: Operation not permitted错误.chattr , lsattr 在实际应用中对于服务器安全有重要的意义.1 root用户也干不了的事情。
linux 系统日志报错 kernel: nf_conntrack: falling back to vmalloc 解决方法
贪欢的博客
03-10 2057
系统版本:CentOS Linux release 7.6.1810 (Core) 系统内核:3.10.0-957.el7.x86_64 1、在系统日志中发现有报错信息:kernel: nf_conntrack: falling back to vmalloc. [root@th ~]# grep kernel: /var/log/messages Mar 10 14:09:54 th kernel: nf_conntrack: falling back
nf_conntrack: falling back to vmalloc.
weixin_33834075的博客
06-10 1333
System log message file is reporting "kernel: nf_conntrack: falling back to vmalloc". Memory page availability can be further checked from /proc/buddyinfo as below. # cat /proc/buddyinfo Node 0, zone...
dianci.zip_电感初始化_第八届飞思卡尔
09-23
在电子工程和嵌入式系统领域,电感初始化是一个关键步骤,特别是在设计涉及传感器和控制器的项目中。这里我们关注的是“第八届飞思卡尔”竞赛中的一个项目,该项目可能是一个基于MC9S12XS128微控制器的智能车或...
oa.rar_OA办公自动化系统
09-22
2. **数据库文件**:可能包含SQL脚本,用于创建和初始化OA系统的数据库结构,包括用户信息、部门信息、任务表、流程表等。 3. **源代码**:分为前端和后端,前端代码(HTML、CSS、JavaScript)用于构建用户界面,...
固定资产管理子系统.pptx
09-21
固定资产管理子系统是企业信息化管理中的重要组成部分,主要用于管理和跟踪企业的固定资产,确保资产的安全和有效利用。本系统具有显著的特点,如数据量大且长期存储、处理频率低、查询统计需求强以及需要灵活的凭证...
基于stm32f103频率测量_STM32频率_实时频率跟踪系统_
10-03
首先,我们需要初始化相关定时器,设置其工作模式为输入捕获,并选择合适的通道(例如,CH1或CH2)连接到输入信号。接着,要启用中断,当捕获事件发生时,中断服务程序会自动执行,更新周期值。中断服务程序中,应...
数据结构:图子系统.doc
12-09
数据结构中的图子系统是处理图相关操作的重要组成部分。在这个示例中,我们看到一个用C语言实现的简单图形系统,它支持邻接矩阵表示的图,并提供了深度优先遍历(DFS)和广度优先遍历(BFS)的功能。 首先,让我们...
linux 报错 kernel: nf_conntrack: falling back to vmalloc 解决方法
whatday的专栏
07-24 4276
CentOS Linux release 7.6.1810 (Core) Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 解决报错:kernel: nf_conntrack: falling back to vmalloc 1、重启防火墙中,发现/var/log/messages有如下消息: Dec 30 18:5.
linux3.10 proc文件系统初始化
oqqYuJi12345678的博客
10-13 694
start_kernel ------------>proc_root_init static struct file_system_type proc_fs_type = { .name = "proc", .mount = proc_mount, .kill_sb = proc_kill_sb, .fs_flags = FS_USERNS_MOUNT, }...
nf_conntrack内核模块常见问题
最新发布
识途老码
11-24 1680
nf_conntrack内核模块常见问题 内核报错 falling back to vmalloc
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2697
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
解决报错:kernel: nf_conntrack: falling back to vmalloc
TN947的博客
12-30 4564
CentOS Linux release 7.6.1810 (Core)  Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 解决报错:kernel: nf_conntrack: falling back to v...
sysctl使用方法的变化
weixin_30633949的博客
04-21 239
内核版本:3.6 Author:zhangskd @ csdn blog Change 在v3.4中包含一个patch,提交者Eric W. Biederman描述如下: Rewrite of sysctl for speed and charity. Insert/remove/Lookup in sysctl are now O(NlogN) operatio...
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
linux内核协议栈 netfilter连接跟踪子系统初始化
11-03 553
目录 1 连接跟踪模块概述 2核心初始化入口module_init(nf_conntrack_standalone_init); 2.1创建/proc/net/nf_conntrack只读文件nf_conntrack_standalone_init_proc() 2.2 注册 /proc/sys/ 下相关文件 3 核心初始化nf_conntrack_init() 3.1 hash表大小计算、L3L4协议栈模块、helper模块初始化 3.1.1L3L4协议栈模块初始化 3.1.2...
netfilter连接跟踪初始化
City_of_skey的博客
12-09 484
连接跟踪初始化主要有三个地方 (1)连接跟踪本身初始化。 (3)在对应的Hook上注册连接跟踪的处理函数。 (4)初始化连接跟踪和三层协议、四层协议相关的函数。 1、连接跟踪本身初始化 连接跟踪本身初始化函数是nf_conntrack_net_init主要做两件事情:为连接跟踪分配slab缓冲、初始化后proc文件系统 1.1、nf_conntrack_net_init nf_co...
STC89C52单片机实现电子日历时钟设计
它通过串行接口与单片机通信,能够稳定地跟踪时间,即使在主电源断开的情况下也能依靠内部电池保持时间。 LCD1602液晶显示模块用于可视化显示日历和时钟的信息。该模块包含16x2字符的显示屏,即可以同时显示两行,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值