netfilter之conntrack连接跟踪

已于 2023-08-16 10:46:46 修改
阅读量1.2k 收藏 3
点赞数
分类专栏: kernel网络技术源码分析 文章标签: 网络 kernel netfilter conntrack
于 2022-07-18 19:44:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengcai_ke/article/details/125858773
版权

连接跟踪conntrack是状态防火墙和NAT的基础,每个经过conntrack处理的数据包的skb->nfctinfo都会设置如下值之一,后续流程中NAT模块根据此值做不同的处理,filter模块可以在扩展匹配中指定state进行不同的处理。

enum ip_conntrack_info {
    /* Part of an established connection (either direction). */
    //收到双向报文,连接已经建立,对original方向报文设置此标志
    IP_CT_ESTABLISHED,

    /* Like NEW, but related to an existing connection, or ICMP error
       (in either direction). */
    IP_CT_RELATED,

    /* Started a new connection to track (only
           IP_CT_DIR_ORIGINAL); may be a retransmission. */
    //收到original方向数据包,连接还未建立
    IP_CT_NEW,

    /* >= this indicates reply direction */
    //收到reply方向数据包,说明连接建立
    IP_CT_IS_REPLY,

    IP_CT_ESTABLISHED_REPLY = IP_CT_ESTABLISHED + IP_CT_IS_REPLY,
    IP_
了解本专栏 订阅专栏 解锁全文 超级会员免费看
分享放大价值
关注
专栏目录
订阅专栏
Linux Netfilter框架之conntrack连接跟踪机制
悦分享
07-21 1728
一般conntrack用来指代“ConnectionTracking”,即连接跟踪,是建立在Netfilter框架之上的重要功能之一。连接跟踪允许内核跟踪所有逻辑网络连接或会话,从而关联可能构成该连接的所有数据包。NAT依赖此信息以相同的方式转换所有相关数据包,而iptables可以使用此信息充当有状态防火墙。连接跟踪(ConnectionTracking)用来跟踪会话连接,这样就可以根据数据包是否属于某个连接来做策略。例如(除有特殊配置,此命令会造成ssh远程连接中断,谨慎执行!...
netfilterconntrack-helper
fengcai_ke的博客
07-18 1896
netfilter conntrack-helper
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
如何理解Netfilter中的连接跟踪机制
瑞风轻拂
12-26 2812
连接跟踪定义很简单:用来记录和跟踪连接的状态。 为什么又需要连接跟踪功能呢?因为它是状态防火墙和NAT的实现基础。 Neftiler为了实现基于数据连接状态侦测的状态防火墙功能和NAT地址转换功能才开发出了连接跟踪这套机制。那就意思是说:如果编译内核时开启了连接跟踪选项,那么Linux系统就会为它收到的每个数据包维持一个连接状态用于记录这条数据连接的状态。接下来我们就来研究一下Netfilte
conntrack:纯Go实现的Conntrack工具指南
最新发布
gitblog_00027的博客
09-16 370
conntrack:纯Go实现的Conntrack工具指南 conntrack Pure-Go Conntrack implementation; for humans. 项目地址: https://gitcode.com/gh_...
linux内核netfilter之ip_conntrack模块的作用--抽象总结
Netfilter
06-25 1万+
<br />nat规则将数据流的地址信息进行转换,转换了之后需要将转换后的地址信息写入ip_conntrack结构体中,经过nat之后目的地址无非两个方向,一个是本机(redirect target),一个是其它机器(网关上的nat一般都这样),于是netfilter需要对这两个方向的转换记录提供支持。<br />      netfilter的ip_conntrack提供了下列两个HOOK,ip_conntrack_out_ops用于nat到其它机器的支持,ip_conntrack_local_in_o
linux内核netfilter之ip_conntrack模块的作用举例--ftp为例
Netfilter
06-24 1万+
<br />很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这种情况下,如果client在nat后面使用私网地址,那么server将无法连接client,因此na
netfilter连接跟踪conntrack)详述
alittlefish1的博客
08-30 1万+
netfilter连接跟踪conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
conntrack_nat_extended.rar_netfilter_netfilter 连接 跟踪
09-24
netfilter中对多连接协议跟踪和NAT实现
linux conntrack 原理,十五、Netfilterconntrack的建立过程
weixin_33467061的博客
05-14 895
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
【LINUX协议栈】netfilter连接跟踪机制
不会游泳的程序猿
08-23 1007
连接跟踪,顾名思义,就是跟踪(并记录)连接的状态。一般conntrack用来指代“Connection Tracking”,即连接跟踪,是建立在 Netfilter框架之上的重要功能之一。
Linux协议栈-netfilter-conntrack
weixin_30657541的博客
10-24 94
原文连接:https://blog.csdn.net/jasonchen_gbd/article/details/44874321?utm_source=blogxgwz8 转载于:https://www.cnblogs.com/wangliangblog/p/9841828.html
linux内核netfilter之ip_conntrack模块的作用举例--nat和REDIRECT为例
Netfilter
06-24 1万+
<br />修改应用层协议控制包使用了ip_conntrack,iptables的REDIRECT target也使用了ip_conntrack,另外包括iptables的state模块也是如此,使用ip_conntrack,可见ip_conntrack的重要性,ip_conntrack的一个无比重要的作用是实现nat,可以说REDIRECT target和对诸如ftp的修改以实现server回连client最终都落实到了nat上,比如,所谓的REDIRECT就是内置一个nat规则,将符合matchs的包n
对Netfilterconntrack机制的理解
dhRainer的博客
10-26 8579
对Netfilterconntrack机制的理解0x 01 状态防火墙和链接追踪系统0x 02 五种状态0x 03基础结构0x 04 conntrack创建以及查询过程0x 05 碎片处理0x 06 helpers和期望0x 07 参考 0x 01 状态防火墙和链接追踪系统 认识和熟悉过iptables之后,更加感叹netfilter的磅礴和浩瀚。在netfilter体系中,状态跟踪机制(...
linux 连接跟踪nf_conntrack 与 NAT和状态防火墙
whatday的专栏
04-01 9356
本文主要记录对于连接跟踪以及其主要应用的NAT和状态iptables的学习内容 连接跟踪 什么是连接跟踪连接跟踪是Linux内核中引入的nf_conntrack 模块所实现的功能,同时支持IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用。顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包都会记录其状态...
Linux协议栈优化之Netfilter分类conntrack
Netfilter
11-16 1万+
首先,如果你不同意我以下的观点,本文就不必看了:如今内存不值钱,空间换时间很划算,要知道,一万年前的1秒和一万年后1秒是一样的,你要是觉得人们做的事情可能不同,但是请记住,永远都会发生“安迪给你的被比尔拿走”之类的事情,对于你而言,什么都没有改变!       虽然空间可以被拓展,但是要讲技巧。以下是一张截图,测试的是http服务器的常规性能,我依然使用相对值比较,因为我的电脑压不出真实性能,另外
netfilter conntrack性能调整
所作所为
10-30 1369
Netfilter conntrack performance tweaking, v0.7 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Herv� Eychenne This document explains some of the things you need to kno
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

分享放大价值

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值