ip_forward 如何影响IPVS转发流程

已于 2022-05-20 10:34:02 修改
阅读量908 收藏 1
点赞数 1
分类专栏: Liunx内核 网络协议 文章标签: 网络
于 2022-05-19 14:18:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrpre/article/details/124862287
版权

先理清几个概念

/proc/sys/net/ipv4/ip_forward 等价于下面的 /proc/sys/net/conf/all/forwarding
/proc/sys/net/ipv4/conf/xx/forwarding 针对指定的dev xx进行设置
/proc/sys/net/ipv4/conf/all/forwarding 需要对当前所有device进行设置,当然不同的属性,all 的逻辑不一样,需要one by one的的看
/proc/sys/net/ipv4/conf/default/forwarding 新创建的dev(例如重启),会根据default下的配置初始化,对除了forwarding 也是相同的作用

配置下发

static struct ctl_table ctl_forward_entry[] = {
	{
		.procname	= "ip_forward",
		.data		= &ipv4_devconf.data[
					IPV4_DEVCONF_FORWARDING - 1],
		.maxlen		= sizeof(int),
		.mode		= 0644,
		.proc_handler	= devinet_sysctl_forward,
		.extra1		= &ipv4_devconf,
		.extra2		= &init_net,
	},
	{ },
};

static int devinet_sysctl_forward(struct ctl_table *ctl, int write,
				  void __user *buffer,
				  size_t *lenp, loff_t *ppos)
{
	int *valp = ctl->data;
	int val = *valp;
	loff_t pos = *ppos;
	int ret = proc_dointvec(ctl, write, buffer, lenp, ppos);

	//值有变动, 0->1 or 1->0
	if (write && *valp != val) {
		struct net *net = ctl->extra2;

		// != default, 那么就是all或者/proc/sys/net/ipv4/ip_forward了,需要对当前所有device进行设置
		if (valp != &IPV4_DEVCONF_DFLT(net, FORWARDING)) {

			//重试,不关心
			if (!rtnl_trylock()) {
				/* Restore the original values before restarting */
				*valp = val;
				*ppos = pos;
				return restart_syscall();
			}

			// == ALL,那么循环遍历当前所有设备进行设置,实际调用inet_forward_change完成
			if (valp == &IPV4_DEVCONF_ALL(net, FORWARDING)) {
				inet_forward_change(net);
			} else {
			    // /proc/sys/net/ipv4/conf/xx/forwarding,针对指定dev进行处理
			    //  extra1 都是 设备 自身初始化是,调用 devinet_sysctl_register 传入的
				struct ipv4_devconf *cnf = ctl->extra1;
				struct in_device *idev =
					container_of(cnf, struct in_device, cnf);
				if (*valp)
					dev_disable_lro(idev->dev);
				inet_netconf_notify_devconf(net, RTM_NEWNETCONF,
							    NETCONFA_FORWARDING,
							    idev->dev->ifindex,
							    cnf);
			}
			rtnl_unlock();
			rt_cache_flush(net);
		} else//这里是 default 的处理
			inet_netconf_notify_devconf(net, RTM_NEWNETCONF,
						    NETCONFA_FORWARDING,
						    NETCONFA_IFINDEX_DEFAULT,
						    net->ipv4.devconf_dflt);
	}

	return ret;
}

/proc/sys/net/ipv4/ip_forward 等于 /proc/sys/net/ipv4/conf/all/forwarding 的原因是 tbl 的 extra1指向了 all

static __net_init int devinet_init_net(struct net *net)
{
	int err;
	struct ipv4_devconf *all, *dflt;
	struct ctl_table *tbl = ctl_forward_entry;
	struct ctl_table_header *forw_hdr;

	err = -ENOMEM;
	all = &ipv4_devconf;
	dflt = &ipv4_devconf_dflt;

	tbl = kmemdup(tbl, sizeof(ctl_forward_entry), GFP_KERNEL);
	if (!tbl)
		goto err_alloc_ctl;

    ...
	tbl[0].data = &all->data[IPV4_DEVCONF_FORWARDING - 1];
	tbl[0].extra1 = all;
	tbl[0].extra2 = net;
    ...

	err = -ENOMEM;
	forw_hdr = register_net_sysctl(net, "net/ipv4", tbl);
	if (!forw_hdr)
		goto err_reg_ctl;
	net->ipv4.forw_hdr = forw_hdr;


	net->ipv4.devconf_all = all;
	net->ipv4.devconf_dflt = dflt;
	return 0;
    ...
}

转发流程

至此,配置下发完了,来看看如何影响转发流程的

static int ip_route_input_slow(struct sk_buff *skb, __be32 daddr, __be32 saddr,
			       u8 tos, struct net_device *dev,
			       struct fib_result *res)
{
	err = fib_lookup(net, &fl4, res, 0);
	...

	if (res->type == RTN_BROADCAST) {
		if (IN_DEV_BFORWARD(in_dev))
			goto make_route;
		goto brd_input;
	}

    //命中本地路由,是上送本机的请求,goto出去
	if (res->type == RTN_LOCAL) {
		err = fib_validate_source(skb, saddr, daddr, tos,
					  0, dev, in_dev, &itag);
		if (err < 0)
			goto martian_source;
		goto local_input;
	}

    // 到这里说明不是本地路由,判断是否开启了forwarding
	if (!IN_DEV_FORWARD(in_dev)) {
		err = -EHOSTUNREACH;
		goto no_route;
	}

相应的错误计数,在/proc/net/stat/rt_cache 中可以获得
再来看看IN_DEV_FORWARD 宏是怎么做的

#define IN_DEV_FORWARD(in_dev)		IN_DEV_CONF_GET((in_dev), FORWARDING)
#define IN_DEV_CONF_GET(in_dev, attr) \
	ipv4_devconf_get((in_dev), IPV4_DEVCONF_ ## attr)
static inline int ipv4_devconf_get(struct in_device *in_dev, int index)
{
	index--;
	return in_dev->cnf.data[index];
}

实际就是 配置下发时的值。

以 IPVS举例,IPVS的请求,必然是需要走IPVS所在机器的LOCAL_IN的,所以无需ip_forward参数开启,在DR或者tunnel模式下,响应包是不需要返回到IPVS所在机器,自然也不需要ip_forward参数。
针对NAT模式,如果没做SNAT,响应包总是以src:RS_IP -> dst: CLI_lP 到达 IPVS所在机器,CLI_lP 由于不是 IPVS所在机器 所在机器的IP,就会走ip_forward,IPVS在ip_forward中挂了钩子处理把RS_IP替换为VIP,所以在NAT模式中,开启ip_forward是必要的。

lvs四层负载均衡
fengcai_ke的博客
07-18 879
lvs源码分析
路由器数据转发原理
qq516409732的博客
11-11 4231
1.知识储备 1.1 TCP/IP四层模型 当前 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展
Linux ip_forward
mlover
07-28 4145
Linux ip_forward 测试 Linux ip_forward linux ip_forward 作用:可以实现路由器的功能,利用 linux 主机的两块网卡(网卡处于不同网段),将数据包在两块网卡之间进行传送,实现两个网络之间的访问 这里使用 3 台虚拟机进行测试,使用 virtual box 创建3个虚拟机,网络管理都添加 host-only (仅主机)网络,与 桥接网络,这样就可以使虚拟机处在两个不同的网段。 也可以在虚拟机设置中,添加两个 host-only 网络,只要使虚拟机都含有两
linux内核ip_forward参数详解
热门推荐
dillanzhou的博客
10-20 1万+
linux服务器经常被用来提供防火墙、路由器、NAT等功能,在这些场景下,linux内核需要将网卡上收到的报文转发给其他网络设备。linux内核提供了ip_forward参数用于开关内核的报文转发功能,只有这个开关被打开时,内核才会执行报文的转发。网上能找到不少文章介绍ip_forward参数的基本用途和配置方式,但没有什么文章具体介绍这个参数配置后具体会对内核的网络行为产生哪些影响,以及在内核中是如何实现的。而这些问题的答案对转发功能的使用方式会产生很大的影响
解决远程主机允许路由转发 【原理扫描】:将/proc/sys/net/ipv4/ip_forward 置为0
最新发布
郝开的博客
03-12 438
解决远程主机允许路由转发 【原理扫描】:将/proc/sys/net/ipv4/ip_forward 置为0。 路由转发即当主机根据数据包的目的 IP 地址将发往本 IP 的包根据路由表继续转发数据包。这通常是路由器所要实现的功能。出于安全考虑,Linux 系统默认是禁止数据包转发
Linux ip forward
weixin_34293141的博客
07-05 3321
Linux 默认带有 ip forward 功能,只不过因为各种原因,默认的配置把该功能关闭了。本文通过 demo 来演示 Linux 的 ip forward 功能,具体场景为:开启 Linux 的 ip forward 功能,让 Linux 称为具有路由能力的主机,从而支持在两个局域网之间转发数据包。演示环境的网络结构如下图所示: 本示例的演示环境为 Vmware Workstation,三...
关于k8s的ipvs转发svc服务访问慢的问题分析(一)
comeyes的专栏
05-15 6091
系统环境描述: 系统环境:macos,vmware下搭建k8s单master/双worker伪集群环境. 软件环境描述: 单Master结点(192.168.182.100)、WORK1(192.168.182.101)、WORK2(192.168.182.102)结点环境,网络环境为flannel+ipvs, 创建了deployment服务nginx,replicas=2,即work1、work2分别有个pod运行,同进生成svc。 备注:此3台机器最开始搭建的是calio+iptables网络
Linux中路由功能及ip_forward转发配置
牧羊人的方向
08-26 3752
操作系统中路由功能有着至关重要的作用,它决定了网络数据包如何在网络中传输,最终到达目的地。本文简要介绍Linux中的路由功能实现以及IP转发的配置,并验证在容器环境下配置net.ipv4.ip_forward的必要性,以加深理解。
IPVS数据包处理流程
05-08
- `NF_IP_FORWARD`:处理不发往本机而需要转发的数据包。 - `NF_IP_POST_ROUTING`:对即将发送到网络的数据包进行目的地址转换等操作。 - `NF_IP_LOCAL_OUT`:对从本机发出的数据包进行过滤。 2. **调度算法**:...
LVS负载均衡(NAT模式,DR模式,防火墙标记)详细步骤实现
weixin_68526810的博客
08-08 1021
LVS:Linux Virtual Server,负载调度器,内核集成,章文嵩,阿里的四层SLB(Server LoadBalance)是基于LVS+keepalived实现相关术语:VS: Virtual Server,负责调度RS:RealServer,负责真正提供服务CIP:Client IP 客户端的IPVIP: Virtual serve IP VS外网的IPDIP: Director IP VS内网的 IPRIP: Real server IP RS内网 IP
kubernetes之kube-proxy ipvs userspace iptables 三种模式源码分析
纵横四海的博客
01-14 5794
kubernetes 版本 # kubectl version Client Version: version.Info{Major:&amp;quot;1&amp;quot;, Minor:&amp;quot;11+&amp;quot;, GitVersion:&amp;quot;v1.11.0-168+f47446a730ca03&amp;quot;, GitCommit:&amp;quot;f47446a730ca037473fb3bf0c5a
IP_forward
weixin_34104341的博客
03-25 260
ip 地址分公有地址和私有地址。 public address是由INIC组织负责,这些IP地址需要向INIC提出申请,并颁发。 private address是属于非注册地址,专门为组织内部使用,private ip address 不可以直接用来跟WAN 通信的,要么使用帧来通信,要么使用路由的NAT功能,将一个私有IP转化为一个公有IP。 *公私IP地址的范围:A类的公...
IP 层收发报文简要剖析6--ip_forward 报文转发
weixin_30920091的博客
05-11 288
//在函数ip_route_input_slow->ip_mkroute_input注册, /* * IP数据包的转发是由ip_forward()处理,该函数在ip_rcv_finish() * 通过输入路由缓存被调用。 */ int ip_forward(struct sk_buff *skb) { u32 mtu; struct iphdr *ip...
Linux ip_forward说明
ly的博客
12-06 2443
一,关于公网ip和内网ipip地址分公有地址和私有地址,public address是由INIC(internet network information center)负责,这些ip地址分配给注册并向INIC提出申请的组织机构。通过它访问internet.private address是属于非注册地址,专门为组织内部使用。 private ip address是不可能直接用来跟WA
net.ipv4.ip_forward=0导致docker容器无法与外部通信
高性价比服务器就选:蓝易云
02-28 1046
设置为0时,表示禁止IP转发。这可能会导致Docker容器无法与外部通信,因为Docker容器通常依赖于宿主机进行IP转发来实现网络通信。是一个内核参数,它控制着系统是否允许进行IP转发IP转发网络数据包在不同网络接口之间的传输,这对于网络通信非常重要。的值设置为1,即开启IP转发。完成以上步骤后,Docker容器应该能够正常与外部通信了。为了解决这个问题,你需要将。在Linux系统中,
Linux下的IP_Forward
IT_CUI123的博客
08-18 1120
介绍怎么使用ip_forward
ip_forward与路由转发
ystyaoshengting的专栏
10-14 1952
简介 IP地址分为公有ip地址和私有ip地址,Public Address是由INIC(internet network information center)负责的,这些IP地址分配给了注册并向INIC提出申请的组织机构。Private Address属于非注册地址,专门为组织内部使用。Private Address是不可能直接用来跟WAN通信的,要么利用帧来通信(FRE帧中继...
Kube-proxy使用IPVS模式转发
weixin_34015860的博客
01-23 550
操作系统: CentOS 7.5 内核版本:3.10 1.安装ipvsadm、conntrackyum -y install ipvsadm conntrack-tools 2.加载ipvs模块vim /etc/sysconfig/modules/ipvs.modules #!/bin/bash ipvs_modules="ip_vs ip_vs_lc ip_vs_wlc ip_vs_rr i...
内核参数 ip_forward 与报文转发
小海银鱼的博客
06-23 1万+
2017-06-23  23:08 -----         通过 echo 1 > /proc/sys/net/ipv4/ip_forward 开启 ip_forward 之后,是否对于目的IP可达的报文都会转发呢?不是!开启 ip_forward 的主机在转发报文前还会检查该报文的源IP是否也可达,这个是通过如下实验得出的。(还需要找个时间把源码找出来验证下)
内核配置CONFIG_NETFILTER_XT_MATCH_IPVS 是什么意思
05-30
内核配置`CONFIG_NETFILTER_XT_MATCH_IPVS`是用于支持IPVSIP Virtual Server)数据包匹配的一个内核选项。 IPVS是Linux内核中的一个模块,可以将来自客户端的数据包转发到后端的多个服务器上,从而实现负载均衡和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值