Linux nf_conntrack(三)-本地外出报文

已于 2024-03-14 10:59:28 修改
阅读量402 收藏 4
点赞数 6
文章标签: linux 运维 服务器
于 2023-12-10 17:26:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrtyxr/article/details/134843013
版权
本文详细解析了内核中关于本地报文(NF_INET_LOCAL_OUT)的连接跟踪处理,指出ipv4_conntrack_local函数的核心是调用nf_conntrack_in进行连接建立,与外来报文处理类似但位置不同。
摘要由CSDN通过智能技术生成

背景       

        最近在学习了解内核中关于连接跟踪的相关处理,众所周知,内核中连接跟踪处理依附于Netfilter内核架构,通过在内核协议栈报文处理过程中不同的HOOK点(钩子)设置HOOK处理函数,实现连接跟踪相关处理,相关定义如下:

static const struct nf_hook_ops ipv4_conntrack_ops[] = {
	{
		.hook		= ipv4_conntrack_in,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_conntrack_local,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= nf_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
	{
		.hook		= nf_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
};

        之前基于接收报文简单介绍了连接建立(ipv4_conntrack_in)与连接确认(nf_confirm)的处理过程,关于本机外出报文连接相关处理还不清楚,这里进一步学习完善。

本机外出报文

          从上述hook操作的相关定义可知,本机外出报文的连接处理对应HOOK点NF_INET_LOCAL_OUT,处理函数为ipv4_conntrack_local();

        首先确认下调用位置,__ip_local_out()函数是本机外出报文(L3报文)的必经之路,在函数__ip_local_out()内部存在如下代码:

return nf_hook(NFPROTO_IPV4, NF_INET_LOCAL_OUT,
		       net, sk, skb, NULL, skb_dst(skb)->dev, dst_output);

        接下来我们重点分析下 ipv4_conntrack_local()函数处理逻辑  。

 ipv4_conntrack_local函数 

        函数具体处理逻辑如下:

static unsigned int ipv4_conntrack_local(void *priv,
					 struct sk_buff *skb,
					 const struct nf_hook_state *state)
{
    /* 分片报文处理,从这里看如果分片报文走到这里要么已建立连接,要么不建连接直接返回 */
	if (ip_is_fragment(ip_hdr(skb))) { /* IP_NODEFRAG setsockopt set */
		enum ip_conntrack_info ctinfo;
		struct nf_conn *tmpl;

		tmpl = nf_ct_get(skb, &ctinfo);
		if (tmpl && nf_ct_is_template(tmpl)) {
			/* when skipping ct, clear templates to avoid fooling
			 * later targets/matches
			 */
			skb->_nfct = 0;
			nf_ct_put(tmpl);
		}
		return NF_ACCEPT;
	}
    
    /* 建立连接的核心处理函数 */
	return nf_conntrack_in(skb, state);
}

           从上述代码可以看出ipv4_conntrack_local函数的核心处理为调用nf_conntrack_in()函数,和外来报文建立连接的后续处理逻辑一致,具体可参考之前的博客:nf_conntrack(一)-连接建立

        由此可见,本机外出报文、外来报文建立连接的处理过程是相似的,只是报文处理的位置有所不同。

进化中的码农
关注
Linux4.1.12源码分析】IP层报文发送之ip_local_out
one_clouder的专栏
09-25 3434
IP层本地报文发送有两个函数ip_local_out和ip_local_out_sk,实际实现两者是等同的,因为本地发送的报文,skb必然关联着一个sock对象。 1、ip_local_out函数 static inline int ip_local_out(struct sk_buff *skb) { return ip_local_out_sk(skb->sk, skb); //本地报文
linux-内核参数优化参考指标
dlm520947的博客
07-30 2541
民间最全的Linux系统内核参数调优说   相信做运维的同仁,进行运维环境初建时,必须要考虑到操作系统内核参数的优化问题,本人经历数次的运维环境重建后,决定要自行收集一份比较完善的系统内核参数优化说明文件出来,于是就有了下文,本文当前值是官方默认参数,建议参数直接添加于sysctl -a输出的结果每一行的后面,希望对运维的同仁做系统内核参数调优时有所帮助。废话不多讲,直接上干货! ...
nf_conntrack
weixin_34236497的博客
04-11 807
服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3209
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
Iptables之nf_conntrack模块
u011029104的专栏
02-18 1063
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
Linux系统nf_conntrack连接跟踪机制简介
qq_36382062的博客
05-11 8770
1、前言 前段时间接手的一个连接跟踪表满导致网络不通的问题,因此对linux系统的连接跟踪模块进行了学习。本文梳理一下目前对nf_conntrack模块的一些个人理解。 2、连接跟踪机制 背景知识:netfilter Netfilter是一个内核架构,是集成到linux内核协议栈的一套防火墙系统,可通过用户空间(iptables等)的工具来把相关配置下发给Netfilt...
高并发场景 LVS 安装及高可用实现(收藏)
m0_68850571的博客
04-21 1018
1.1负载均衡介绍 1.1.1负载均衡的妙用 负载均衡(Load Balance)集群提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的负载、带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。 单台计算机无法承受大规模的并发访问或数据流量了,此时需要搭建负载均衡集群把流量分摊到多台节点设备上分别处理,即减少用户等待响应的时间又提升了用户体验; 7*24小时的服务保证,任意一个或多个有限后端节点设备宕机,不能影响整个业务的运行。 1.1.2为什么要用lvs 工作在网络模型的7
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2325
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
Centos系统内核优化参数列表
l619872862的博客
10-28 2140
Centos系统优化参数列表前言一、内存参数列表 /proc/sys/vm/*二、内核参数列表 /proc/sys/kernel/*、网络参数列表 /proc/sys/net/*四、文件系统参数列表 /proc/sys/fs/* 前言 在centos中 sysctl -a 显示当前系统中可用的内核参数 Linux修改内核参数有种方式: (1)修改 /etc/sysctl.conf 文件,加入配置选项,格式为 key = value ,修改保存后调用 sysctl -p 加载新配置(此种方式在系统重新启
linux 连接跟踪nf_conntrack 与 NAT和状态防火墙
whatday的专栏
04-01 9356
本文主要记录对于连接跟踪以及其主要应用的NAT和状态iptables的学习内容 连接跟踪 什么是连接跟踪? 连接跟踪是Linux内核中引入的nf_conntrack 模块所实现的功能,同时支持IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用。顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包都会记录其状态...
nf_conntrack连接跟踪机制
喝醉酒的小白
08-11 1300
当网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。
ip_vs 原理解析 (五)hook 后的开始 NF_INET_LOCAL_OUT
mr1jie的博客
09-01 862
Local_OUT hook,即发包前,查询是否有 ipvs 已存在连接,如果有,做 snat 再发,如果没有且在 内核开启 vs_icmp_nat,有对应 rs 时(回包匹配到 rs),回复 ICMP_DEST_UNREACH/ICMP_PORT_UNREACH;其他通过 hook 点。使用场景通常是需要 ipvs 应用将报文发送到真正的后端;在 k8s 中,使用该函数将流量发送到 rs。根据优先级依次是 ip_vs_local_reply4,ip_vs_local_request4。
netlink和NF_INET_LOCAL_OUT
m0_37383085的博客
08-30 504
#include <linux/mm.h> #include <linux/module.h> #include <net/tcp.h> #include <net/dst.h> #include <linux/relay.h> #include <linux/debugfs.h> #include <linux/timer.h> #include <linux/kallsyms.h> #include <
UDP socket流程(14)——ip_local_out及其调用的函数
weixin_33868027的博客
02-01 382
作者:gfree.wind@gmail.com 博客:linuxfocus.blog.chinaunix.net ip_local_out的代码很短 int ip_local_out(struct sk_buff *skb) { int err; /* 调用netfilter的hook检查该包是否可以发送...
网络虚拟化之内核能力NetFilter
技术百宝箱
07-07 873
关键点:1.网络层,也就是IP层2.有5个拦截点3.NAT、IPTable Netfilter框架由著名的Linux开发人员Rusty Russell于1998年开发,旨在改进以前实现ipchains(Linux2.2.x)和ipfwadm(Linux2.0.x)。
IPVS中的ICMP报文处理-由外到内
redwingz的博客
10-08 1299
这里主要明与NAT/Masq转发模式相关的ICMP报文处理,但也会提及由于出错引发的IPVS系统主动发送的ICMP报文。 ICMP由外到内处理流程入口 入口函数ip_vs_in实质上挂载在netfilter的2个hook点上,分别为:NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT。第一个hook点作用于目的地址为本机的报文;后者作用于由本机发送的报文。此函数用于处理IPVS由...
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2748
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
(node_nf_conntrack_entries / node_nf_conntrack_entries_limit) > 0.75
最新发布
10-15
要创建一个监控警报,当`node_nf_conntrack_entries`(节点连接跟踪条目)与`node_nf_conntrack_entries_limit`(节点连接跟踪条目限制)的比例大于0.75时,我们可以使用Prometheus查询语言(PromQL)来实现。这通常用于检查系统的网络连接跟踪资源是否接近极限。 首先,我们需要两个指标的当前值: 1. `node_nf_conntrack_entries`: 使用标签`instance`和`job`筛选特定节点和端口的连接跟踪条目数[^1]。 2. `node_nf_conntrack_entries_limit`: 这个值通常不是直接可用的Prometheus指标,但如果你有存储这个信息的服务或数据源,你可以通过查询获取。 假设我们已经有了这两个值,警报条件可以表示为: ```promql (node_nf_conntrack_entries{instance="$node:$port", job="$job"} / node_nf_conntrack_entries_limit{instance="$node:$port", job="$job"}) * 100 > 75 ``` 这会计算比例并转换为百分比形式,然后判断是否超过75%。如果实际环境中没有`node_nf_conntrack_entries_limit`这个指标,你可能需要根据业务逻辑或其他方式设置一个阈值。 请注意,在Prometheus中,你不能直接设置一个持续警报基于实时数据比例。通常的做法是配置定期检查(如每5分钟一次),并在历史数据上应用上述条件。一旦满足条件,Prometheus会记录一个事件并触发相应的告警通知。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值