Linux协议栈-netfilter(2)-conntrack

最新推荐文章于 2024-04-28 15:52:47 发布
最新推荐文章于 2024-04-28 15:52:47 发布
阅读量1.9w 收藏 49
点赞数 4
分类专栏: Linux内核源码 文章标签: linux协议栈 conntrack 连接跟踪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonchen_gbd/article/details/44874321
版权

连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。

本文基于Linux内核2.6.31实现的conntrack进行源码分析。

1. conntrack模块初始化

1.1 conntrack模块入口

conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:


上面这些函数只是简单的调用关系,下面来看具体实现。

nf_conntrack_init_init_net()函数:

1. 根据内存的大小给全局变量nf_conntrack_htable_size和nf_conntrack_max赋值,他们分别指定了存放连接跟踪条目的hash表的大小以及系统可以创建的连接跟踪条目的数量。

2. 为nf_conn结构申请slab cache:

nf_conntrack_cachep= kmem_cache_create("nf_conntrack",

                             sizeof(struct nf_conn), 0, SLAB_DESTROY_BY_RCU, NULL);

这个缓存用于新建struct nf_conn结构,每个连接的状态都由这样一个结构体实例来描述,每个连接都分为original和reply两个方向,每个方向都用一个元组(tuple)表示,tuple中包含了这个方向上数据包的信息,如源IP、目的IP、源port、目的port等。

3. 给全局的nf_ct_l3protos[]赋上默认值:

nf_ct_l3protos[]数组中的每个元素都赋值为nf_conntrack_l3proto_generic,即不区分L3协议的处理函数,后续的初始化会为不同的L3协议赋上相应的值(例如1.2节初始化特定于IPv4协议的conntrack的时候)。由下面的定义可知这是一组操作函数。

该全局数据的定义为:

struct nf_conntrack_l3proto * nf_ct_l3protos[AF_MAX]__read_mostly; 

struct nf_conntrack_l3proto nf_conntrack_l3proto_generic __read_mostly = {
	.l3proto	 = PF_UNSPEC,
	.name		 = "unknown",
	.pkt_to_tuple	 = generic_pkt_to_tuple,
	.invert_tuple	 = generic_invert_tuple,
	.print_tuple	 = generic_print_tuple,
	.get_l4proto	 = generic_get_l4proto,
};

4. 给全局的hash表nf_ct_helper_hash分配一个页大小的空间,通过nf_ct_alloc_hashtable()分配。

static struct hlist_head *nf_ct_helper_hash__read_mostly;

这个hash表用于存放helper类型的conntrack extension(见2.3节)。

这里要注意两个地方:

1) sizeof(struct hlist_nulls_head)和 sizeof(struct hlist_head)大小必须相等。

2) roundup(x, y)宏定义,这个宏保证了分配整个页的空间。

#defineroundup(x, y) ((((x) + ((y) - 1)) / (y)) * (y))

意思是要把x调整为y的整数倍的值,如x=46,y=32,则返回64。

5. 把helper_extend注册进全局数组nf_ct_ext_types[]中,并调整helper_extend.alloc_size。

struct nf_ct_ext_type *nf_ct_ext_types[NF_CT_EXT_NUM]; 
static struct nf_ct_ext_type helper_extend __read_mostly = {
	.len	= sizeof(struct nf_conn_help),
	.align	= __alignof__(struct nf_conn_help),
	.id	= NF_CT_EXT_HELPER,
};

conntrack extentions共有4种类型,即全局数组nf_ct_ext_types[]的元素个数,每个元素的含义如下定义:

enum nf_ct_ext_id
{
	NF_CT_EXT_HELPER,
	NF_CT_EXT_NAT,
	NF_CT_EXT_ACCT,
	NF_CT_EXT_ECACHE,
	NF_CT_EXT_NUM,
};

struct nf_ct_ext_type结构定义如下:

struct nf_ct_ext_type
{
	/* Destroys relationships (can be NULL). */
	void (*destroy)(struct nf_conn *ct);
	/* Called when realloacted (can be NULL).
	   Contents has already been moved. */
	void (*move)(void *new, void *old);

	enum nf_ct_ext_id id;

	unsigned int flags;

	/* Length and min alignment. */
	u8 len;
	u8 align;
	/* initial size of nf_ct_ext. */
	u8 alloc_size;
};

nf_conntrack_init_net()函数:

该函数用来初始化net->ct成员。net是本地CPU的网络命名空间,在单CPU系统中就是全局变量init_net。它的ct成员的定义如下:

struct netns_ct {
	atomic_t		count;
	unsigned int		expect_count;
	struct hlist_nulls_head	*hash;
	struct hlist_head	*expect_hash;
	struct hlist_nulls_head	unconfirmed;
	struct hlist_nulls_head	dying;
	struct ip_conntrack_stat *stat;
	int			sysctl_events;
	unsigned int		sysctl_events_retry_timeout;
	int			sysctl_acct;
	int			sysctl_checksum;
	unsigned int		sysctl_log_invalid; /* Log invalid packets */
#ifdef CONFIG_SYSCTL
	struct ctl_table_header	*sysctl_header;
	struct ctl_table_header	*acct_sysctl_header;
	struct ctl_table_header	*event_sysctl_header;
#endif
	int			hash_vmalloc;
	int			expect_vmalloc;
};

函数分析:

static int nf_conntrack_init_net(struct net *net)
{
	int ret;

	atomic_set(&net->ct.count, 0); /* 设置计数器为0 */

	/* 初始化unconfirmed链表 */
	INIT_HLIST_NULLS_HEAD(&net->ct.unconfirmed, UNCONFIRMED_NULLS_VAL);

	/* 初始化dying链表 */
	INIT_HLIST_NULLS_HEAD(&net->ct.dying, DYING_NULLS_VAL); 

	/* 给net->ct.stat分配空间并清0。统计数据 */
	net->ct.stat = alloc_percpu(struct ip_conntrack_stat); 
	if (!net->ct.stat) {
		ret = -ENOMEM;
		goto err_stat;
	}
	/* 初始化conntrack hash table,表的大小上面已初始化过了。同样的,这里会调整nf_conntrack_htable_size为页大小的整数倍。 */
	net->ct.hash = nf_ct_alloc_hashtable(&nf_conntrack_htable_size, 
					     &net->ct.hash_vmalloc, 1);
	if (!net->ct.hash) {
		ret = -ENOMEM;
		printk(KERN_ERR "Unable to create nf_conntrack_hash\n");
		goto err_hash;
	}

	/* 初始化net->ct.expect_hash及缓存,并在/proc中创建相应文件,下面会单独说明该函数。 */
	ret = nf_conntrack_expect_init(net);
	if (ret < 0)
		goto err_expect;

	/* 将acct_extend注册进全局数组nf_ct_ext_types[NF_CT_EXT_ACCT]中。 */
	ret = nf_conntrack_acct_init(net);
	if (ret < 0)
		goto err_acct;
	ret = nf_conntrack_ecache_init(net); /* event cache of netfilter */
	if (ret < 0)
		goto err_ecache;

	/* 单独的fake conntrack */
	/* Set up fake conntrack:
	    - to never be deleted, not in any hashes */
	atomic_set(&nf_conntrack_untracked.ct_general.use, 1);
	/*  - and look it like as a confirmed connection */
	set_bit(IPS_CONFIRMED_BIT, &nf_conntrack_untracked.status);

	return 0;
}

nf_conntrack_expect_init()函数,

int nf_conntrack_expect_init(struct net *net)
{
	int err = -ENOMEM;

	if (net_eq(net, &init_net)) {
		if (!nf_ct_expect_hsize) {
			/* 期望连接hash table的size */
			nf_ct_expect_hsize = nf_conntrack_htable_size / 256; 
			if (!nf_ct_expect_hsize)
				nf_ct_expect_hsize = 1;
		}
		/* 期望连接的最大连接数 */
		nf_ct_expect_max = nf_ct_expect_hsize * 4; 
	}

	/* 分配期望连接hash table。 */
	net->ct.expect_count = 0;
	net->ct.expect_hash = nf_ct_alloc_hashtable(&nf_ct_expect_hsize,
						  &net->ct.expect_vmalloc, 0);
	if (net->ct.expect_hash == NULL)
		goto err1;

	if (net_eq(net, &init_net)) {
		/* 期望连接的slab cache。 */
		nf_ct_expect_cachep = kmem_cache_create("nf_conntrack_expect",
					sizeof(struct nf_conntrack_expect),
					0, 0, NULL);
		if (!nf_ct_expect_cachep)
			goto err2;
	}

	/* /proc/net/nf_conntrack_expect文件操作。 */
	err = exp_proc_init(net);
	if (err < 0)
		goto err3;

	return 0;
}

需要先说一下struct hlist_nulls_head结构以及INIT_HLIST_NULLS_HEAD宏:

/*
 * Special version of lists, where end of list is not a NULL pointer,
 * but a 'nulls' marker, which can have many different values.
 * (up to 2^31 different values guaranteed on all platforms)
 *
 * In the standard hlist, termination of a list is the NULL pointer.
 * In this special 'nulls' variant, we use the fact that objects stored in
 * a list are aligned on a word (4 or 8 bytes alignment).
 * We therefore use the last significant bit of 'ptr' :
 * Set to 1 : This is a 'nulls' end-of-list marker (ptr >> 1)
 * Set to 0 : This is a pointer to some object (ptr)
 */

struct hlist_nulls_head {
	struct hlist_nulls_node *first;
};

struct hlist_nulls_node {
	struct hlist_nulls_node *next, **pprev;
};

/* 注意右值是first里面的值而不是地址。这个值都是奇数,即二进制的最后一位是1;
在普通链表中一般用NULL来判断链表结束,而linux内核中由于地址都是4或8字节对齐的,所以指针的末两位用不上,因此可以复用一下,最后一位是1表示链表结束,是0则未结束。
这个宏保证了最末位是1,而其他位可以是随意值,所以可以有2^31种可能值。

下面是对HLIST_NULLS_HEAD链表的初始化,所以给first赋值。
*
最低0.47元/天 解锁文章
落尘纷扰
关注
  • 4
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
conntrack删除链表
redwingz的博客
10-09 702
在删除conntrack时,首先设置IPS_DYING_BIT标志位,如果此位已经设置,表明conntrack正在被删除。将会话的原始方向的tuple结构由每处理器结构的dying链表中删除。将conntrack由全局的nf_conntrack_hash链表中删除,之后,添加到dying链表中。最终,在函数destroy_conntrack中,将conntrack由dying链表中删除。要删除的conntrack的原始方向的tuple添加到当前处理器对应的dying链表上。
GENERIC NETLINK 介绍及使用
weixin_39094034的博客
12-01 4022
之前一篇博文讲述了Netlink如何使用,当时我们是自己定义了一种协议NETLINK_TEST进行用户进程和内核的通信,这篇文章就讲一下如何使用内核为我们提供的NETLINK_GENERIC进行通信。 如果把Netlink协议比作IP层,那么NETLINK_GENERIC可以比作UDP这一层。它们的具体关系如图1。 图中NETLINK_GENERIC协议作为Netlink层的payload,当然NETLINK_GENERIC作为一个上层协议,也拥有自己的头部(图中的Family头部)和pa...
Keepalived和conntrackd介绍
最新发布
04-28 789
keepalived和connrackd介绍。使用conntrackd切换连接的时候,client侧的TCP连接会断掉么
2020-04-28
qq_41224661的博客
04-28 124
netlink属性结构 struct nlattr { __u16 nla_len; __u16 nla_type; }; 定义在linux/netlink.h文件中。 关于特定属性的规定 struct nla_policy { uint16_t type; uint16_t minlen; uint16_t maxlen; }; minlen和maxlen是payload的最小长度和最大长度。 ...
Netfilterconntrack的建立过程
xuyuefei1988的专栏
01-17 2259
转自:http://blog.chinaunix.net/uid-26517122-id-4281305.html 我们先来看一下iptables定义的连接状态: INVALID :无效连接,防火墙一般会丢弃该连接 NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的 ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接 RELATED
linux conntrack 原理,十五、Netfilterconntrack的建立过程
weixin_33467061的博客
05-14 848
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
连接跟踪子系统之extend
九天小哥的专栏
04-21 1090
NAT和状态防火墙是基于连接跟踪的,但是在 数据结构 在连接跟踪信息块struct nf_conn的定义中,有一个ct_ext字段,如下: struct nf_conn { ... struct nf_ct_ext *ext; struct rcu_head rcu; }; struct nf_ct_ext 连接跟踪信息块中用该结构来表示扩展信息。 /* Extensions: optio...
单节点高并发Linux服务器影响接入能力的因素有哪些
洒满阳光的午后的博客
06-29 1371
在单台服务器承载数十万并发的情况下,影响服务器接入能力的因素已经不在是CPU、内存、带宽等表层因素,而是内核参数、设备配置、应用优化等多种细节因素。Linux 中所有内容都是以文件的形式保存和管理的, 包括套接字、网络通信等资源,即一切皆文件,因此提升最大打开文件数是提高服务器并发性能的重要一步。Linux的最大打开文件数限制包括系统级(系统可打开的最大文件数)、用户级(单个用户可打开的最大文件数)、进程级(单个进程可打开的最大文件数),可分别通过如下方式修改: 2、nf_conntrack 对开启i
制作linux下netfilter过滤驱动程序
Win32FanEx 的专栏
06-16 938
centos下网包过滤
linux之yum下载rpm包离线安装conntrack-tools
农民工
04-15 6721
如何下载rpm包,进行离线安装 文章目录前言一.yum下载rpm包离线安装方式方法一:使用yum 的 downloadonly 插件下载方法二:使用yumdownloader下载方法三:使用repotrack下载所有依赖二、下载conntrack-tools相关包1.获取依赖关系2.根据组织依赖下载包3.查看下载结果4.离线安装 rpm(未联网的环境也可以执行)5.测试 前言 ​ 通常生产环境由于安全原因都无法访问互联网。此时就需要进行离线安装,主要有两种方式:源码编译、rpm包安装。源码编译耗费时间长
LINUX协议栈】netfilter连接跟踪机制
不会游泳的程序猿
08-23 848
连接跟踪,顾名思义,就是跟踪(并记录)连接的状态。一般conntrack用来指代“Connection Tracking”,即连接跟踪,是建立在 Netfilter框架之上的重要功能之一。
iptables
cp_dvd的博客
08-20 1385
指定多个源端口[!# 指定多个目标端口[!..#多个源或目标端[!][root@rock1 ~]# iptables -A INPUT -s 10.0.0.151/16 -d 10.0.0.150 -p tcp -m multiport --dports 20:30,80 -j ACCEPT (追加,INPUT,源,目标,指定协议,-m指定命令,指定端口号,接受 )
linux netlink实现机制:注册、创建
02-10 2091
目录 1 netlink 概述 2 Netlink子系统初始化 3 内核Netlink套接字 3.1 内核netlink配置结构:struct netlink_kernel_cfg 3.2 netlink属性头:struct nlattr 3.3 netlink有效性策略:struct nla_policy 3.4 netlink套接字结构:netlink_sock 3.5 创建内核netlink套接字 4 应用层 Netlink 套接字 4.1 套接字地址数据结构 sockaddr_n
linux-内核:netfilter框架
赵凯月的博客
06-23 1601
Netfilter/IPTables 是 Linux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
Linux内核netLink套接字
qq_53111905的博客
08-09 3834
本章介绍了Netlink套接字。它提供了一种在用户空间和内核间进行通信的机制,被广泛用于网络子系统。在此你见到了一些Netlink套接字使用示例。另外,本章还讨论了Netlink消息以及它们是被如何创建和处理的。...
conntrack命令安装分享
乖乖的专栏
01-05 7811
在论坛中看到一个帖子关于ip_conntrack参数相关的,后来打开了个关于man命令conntrack连接。 在此分享,如对你有一点帮主也是一点荣幸 http://linux.die.net/man/8/conntrack    man连接地址 正文:   系统   centos5.6  64位   安装包相关:       yum -y install bison  
Generic Netlink详解
工匠重生
08-23 3560
netlink socket是一种用于用户态进程和内核态进程之间的通信机制。它通过为内核模块提供一组特殊的API,并为用户程序提供了一组标准的socket接口的方式,实现了全双工的通讯连接。 Netlink的特点: 双向传输,异步通信用户空间中使用标准socket API内核空间中使用专门的API支持多播可由内核端发起通信支持32种协议类型 netlink仅支持32种协议类型
用户空间与内核空间数据交换-2-generic netlink
ac_dsf_csdn的博客
02-21 612
转载自 : http://blog.chinaunix.net/uid-28541347-id-5589868.html https://blog.csdn.net/ty3219/article/details/63683698 一、概述 之前一篇博文讲述了Netlink如何使用,当时我们是自己定义了一种协议NETLINK_TEST进行用户进程和内核的通信,这篇文章就讲一下如何使用内核为我们提供的...
Linux网络之连接跟踪 conntrack
wzj_110的博客
12-03 752
Linux网络之连接跟踪 conntrackconntrack 命令。conntrack中的。
ja-netfilter idea 2023
08-08
2023年的"Ja-Netfilter"是一个基于网络过滤技术的创新想法。它旨在提供更高效、更智能的网络过滤解决方案,帮助用户更好地管理和保护他们的网络安全。 "Ja-Netfilter"将利用最新的人工智能和机器学习技术,通过深度学习算法来分析和识别网络流量中的恶意行为和威胁。它将建立起一种自适应的过滤系统,能够根据实时数据和情境自动地调整过滤规则,以应对不断变化的网络攻击和威胁。 与传统的网络过滤技术相比,"Ja-Netfilter"具有明显的优势。首先,它能够从大量的网络数据中快速准确地分析出潜在的威胁,大大提高了网络防御的效率。其次,通过使用机器学习算法,"Ja-Netfilter"能够主动学习和适应新的网络攻击手段,及时更新过滤规则,从而提供更好的保护。此外,"Ja-Netfilter"还支持用户自定义的过滤规则,使用户能够根据自己的需求对网络流量进行精细化的控制。 "Ja-Netfilter"除了为个人用户提供网络安全保护外,也可以应用于企业和组织的网络安全管理中。它可以帮助企业对内部和外部网络流量进行监控和过滤,实时检测和阻止潜在的威胁,从而保护企业机密和客户数据的安全。 总而言之,"Ja-Netfilter"是一项创新的网络过滤技术,将利用人工智能和机器学习技术提供更高效、更智能的网络安全保护。它的出现将有助于提升网络安全防御能力,为用户提供更安全、更稳定的网络环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值