IPVS使用的Netfilter Hook点

最新推荐文章于 2024-03-27 16:18:31 发布
最新推荐文章于 2024-03-27 16:18:31 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: 负载均衡 文章标签: ipvs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/101271253
版权

IPVS的实现利用了Netfilter的三个Hook点,分别是:NF_INET_LOCAL_IN、NF_INET_LOCAL_OUT和NF_INET_FORWARD。在每个Hook点,IPVS注册了两个钩子函数。如下所示:

static const struct nf_hook_ops ip_vs_ops[] = {
    /* After packet filtering, change source only for VS/NAT */
    {
        .hook       = ip_vs_reply4,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority   = NF_IP_PRI_NAT_SRC - 2,
    },
    /* After packet filtering, forward packet through VS/DR, VS/TUN,
     * or VS/NAT(change destination), so that filtering rules can be applied to IPVS. */
    {
        .hook       = ip_vs_remote_request4,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_IN,
        .priority   = NF_IP_PRI_NAT_SRC - 1,
    },
    /* Before ip_vs_in, change source only for VS/NAT */
    {
        .hook       = ip_vs_local_reply4,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_OUT,
        .priority   = NF_IP_PRI_NAT_DST + 1,
    },
    /* After mangle, schedule and forward local requests */
    {
        .hook       = ip_vs_local_request4,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_LOCAL_OUT,
        .priority   = NF_IP_PRI_NAT_DST + 2,
    },
    /* After packet filtering (but before ip_vs_out_icmp), catch icmp destined for 0.0.0.0/0, which is for incoming IPVS connections */
    {
        .hook       = ip_vs_forward_icmp,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_FORWARD,
        .priority   = 99,
    },
    /* After packet filtering, change source only for VS/NAT */
    {
        .hook       = ip_vs_reply4,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_FORWARD,
        .priority   = 100,
    },
}

如下表所示,IPVS中对于Request和Reply的定义,是按照由外部客户端到IPVS内部的报文为Request;而由IPVS内部回复到外部客户端的报文为Reply。所以,Hook函数的命名中带有request的都对应IPVS核心函数ip_vs_in;而Hook函数命名中带有reply的函数都对应IPVS的核心函数ip_vs_out。

HOOK函数核心函数Priority
NF_INET_LOCAL_INip_vs_reply4ip_vs_outNF_IP_PRI_NAT_SRC - 2
NF_INET_LOCAL_INip_vs_remote_request4ip_vs_inNF_IP_PRI_NAT_SRC - 1
NF_INET_LOCAL_OUTip_vs_local_reply4ip_vs_outNF_IP_PRI_NAT_DST + 1
NF_INET_LOCAL_OUTip_vs_local_request4ip_vs_inNF_IP_PRI_NAT_DST + 2
NF_INET_FORWARDip_vs_forward_icmpip_vs_in_icmp99
NF_INET_FORWARDip_vs_reply4ip_vs_out100

Hook点LOCAL_IN

在Hook点NF_INET_LOCAL_IN上,IPVS挂载了两个函数ip_vs_reply4和ip_vs_remote_request4,其中前者优先级高于后者。前者ip_vs_reply4主要用于NAT/Masq转发模式,其核心处理函数为ip_vs_out,负责处理IPVS系统回复给外部客户端的报文,包括修改IP地址等。

由于是回复报文,要求系统中已经存在连接,否则处理IPVS系统中真实服务器可能发送的ICMP报文。

static unsigned int ip_vs_out(struct netns_ipvs *ipvs, unsigned int hooknum, struct sk_buff *skb, int af)
{
    /* Check if the packet belongs to an existing entry
     */
    cp = pp->conn_out_get(ipvs, af, skb, &iph);
    if (likely(cp)) {
        if (IP_VS_FWD_METHOD(cp) != IP_VS_CONN_F_MASQ)
            goto ignore_cp;
        return handle_response(af, skb, pd, cp, &iph, hooknum);
    }

    if (sysctl_nat_icmp_send(ipvs) &&
        (pp->protocol == IPPROTO_TCP ||
         pp->protocol == IPPROTO_UDP ||
         pp->protocol == IPPROTO_SCTP)) {

另外一个Hook函数ip_vs_remote_request4,其核心函数为ip_vs_in,负责处理由外部客户端进入IPVS系统的报文,如果没有可用的连接,将使用调度函数进行调度处理,创建连接结构。

static unsigned int ip_vs_in(struct netns_ipvs *ipvs, unsigned int hooknum, struct sk_buff *skb, int af)
{
    if (unlikely(!cp)) {
        int v;
        if (!ip_vs_try_to_schedule(ipvs, af, skb, pd, &v, &cp, &iph))
            return v;
    }
    ip_vs_in_stats(cp, skb);
    ip_vs_set_state(cp, IP_VS_DIR_INPUT, skb, pd);
    if (cp->packet_xmit)
        ret = cp->packet_xmit(skb, cp, pp, &iph);
}

Hook点LOCAL_OUT

与前一节的NF_INET_LOCAL_IN Hook点不同,此处的NF_INET_LOCAL_OUT的Hook点用于处理IPVS本机发送的报文。而前者用于处理外部客户端进入IPVS系统的报文。

在Hook点NF_INET_LOCAL_OUT上,IPVS挂载了两个函数ip_vs_local_reply4和ip_vs_local_request4,其中前者优先级高于后者。前者ip_vs_local_reply4的核心函数为ip_vs_out,主要用于NAT/Masq转发模式,负责NAT地址的修改。

函数ip_vs_local_request4的核心函数为ip_vs_in,其负责处理由本机应用层进入IPVS系统的报文的调度和发送。

Hook点FORWARD

在Hook点NF_INET_FORWARD上,IPVS挂载了两个函数ip_vs_forward_icmp和ip_vs_reply4,其中前者优先级高于后者。前者ip_vs_forward_icmp的核心处理函数为ip_vs_in_icmp,用于处理外部进入IPVS系统的ICMP报文,将其调度到对应的真实服务器上。

static int ip_vs_in_icmp(struct netns_ipvs *ipvs, struct sk_buff *skb, int *related, unsigned int hooknum)
{
    cp = pp->conn_in_get(ipvs, AF_INET, skb, &ciph);

    if (!cp) {
        int v;

        if (!sysctl_schedule_icmp(ipvs))
            return NF_ACCEPT;

        if (!ip_vs_try_to_schedule(ipvs, AF_INET, skb, pd, &v, &cp, &ciph))
            return v;
        new_cp = true;
    }
		verdict = ip_vs_icmp_xmit(skb, cp, pp, offset, hooknum, &ciph);

函数ip_vs_reply4,核心函数为ip_vs_out,主要用于NAT/Masq转发模式,负责NAT地址的修改。对于真实服务器回复的报文,其目的地址为外部客户端的地址,非IPVS系统的虚拟地址,所以其将进入此转发Hook点,此时进行SNAT转换,将源地址转换为IPVS的虚拟地址。

内核版本 4.15

redwingz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPVS代码阅读笔记(二):NAT模式下的TCP数据包处理
王以山的专栏
03-27 2007
NAT模式是IPVS最常用的一种模式。相比于TUN和DR模式,NAT模式更容易部署,仅仅是需要更改真实服务器的默认网关配置。IPVS是基于Netfilter实现的。它注册了4个Netfilter钩子函数,其中与NAT模式相关的是ip_vs_in和ip_vs_out两个钩子函数。前者处理了客户端-〉服务器的数据包,后者则针对服务器-〉客户端的数据包。1、ip_vs_in钩子函数ip_vs
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1656
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvshook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvshook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvshookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Netfilter:源IP是本机的包,不会进入NF_INET_FORWARD
kanguolaikanguolaik的专栏
08-28 1936
:源IP是本机的包,不会进入NF_INET_FORWARD
Netfilter iptables 实现分析
mabin2005的专栏
11-17 1760
1.前言 Netfilter/iptables是Linux的第三代防火墙,在此之前有Ipfwadm和Ip chains两种防火墙。在网络数据包处理过程中,按照数据包的来源和去向,可以分为三类:流入的(IN)、流经的(FORWARD)和流出的(OUT),其中流入和流经的报文需要经过路由才能区分,而流经和流出的报文则需要经过投递,此外,流经的报文还有一个FORWARD的过程。Netfilter/iptables正是通过将一系列调用接口,嵌入到内核IP协议栈的报文处理的路径上来完成对数据包的过滤,修改...
linux 内核协议栈 ip_rcv_finish,Linux内核协议栈学习笔记(二)--netfilter框架
weixin_39604092的博客
05-15 334
Linux netfilter提供了五个hook的注册点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。这五个hook点在Linux协议栈中调用之处如下:NF_INET_PRE_ROUTING --> ip_rcv():点击(此处)折叠或打开retu...
深入理解 netfilter 和 iptables!
云原生实验室
03-09 1064
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
ipvs.modules
12-29
kubernetes需要的ipvs模块
ip_vs_proto_udp.rar_ipvs
09-24
IPVS(IP Virtual Server)是Linux内核中的一个模块,用于实现高性能的负载均衡。它构建在IP层面上,能够将网络流量智能地分发到多个服务器,从而提高服务的可用性和可扩展性。"ip_vs_proto_udp.rar_ipvs"这个标题...
kpng-ipvs-backend:使用IPVS后端的kpng
04-10
这是IPVS后端的PoC,使用cmd.Run而不是netlink 这是早期的在制品,无论如何都不应该在生产中使用 这里的想法是深入研究工作,以及如何将其与多个后端一起使用 要运行此命令: 在其他地方启动具有kubernetes访问...
IPVS数据包处理流程
05-08
总结来说,IPVS通过Netfilter框架和内核模块处理网络数据包,结合各种调度算法进行智能分配,确保服务的高效和可靠。同时,通过`ipvadm`等工具进行配置管理,为用户提供了一套完整的负载均衡解决方案。
lvs源码分析 ipvs源码分析
07-28
理解LVS和IPVS的源码对于深入学习和优化系统至关重要。源码分析可以帮助我们了解内部的工作机制,包括连接管理、协议处理、数据包发送等关键流程,从而更好地定制和调试系统,提高服务的效率和可靠性。 **均衡调度...
Kubernetes -- kube-proxy负载均衡(lvs、ipvs、iptables、userspace)
最新发布
qq_62889924的博客
03-27 1913
本章主要是因为我之前不太理解这几个与负载均衡相关的名词之间的关系和区别,查阅资料后做了解释。
《一篇搞懂》系列之二——IPVS
qiqi_6666的博客
05-07 1050
本篇有关IPVS的文章从IPVS工作原理、IPVS包转发模式、ipvsadm命令使用IPVS均衡算法以及各包转发模式实战演练五个方面比较全面地介绍了IPVS。只能说,很干很全面!
【博客586】ipvshook点位置以及hook点钩子函数剖析
qq_43684922的博客
01-15 802
是按照由外部客户端到IPVS内部的报文为Request;而由IPVS内部回复到外部客户端的报文为Reply。所以,Hook函数的命名中带有request的都对应IPVS核心函数ip_vs_in;而Hook函数命名中带有reply的函数都对应IPVS的核心函数ip_vs_out。
数据包接收系列 — 数据包的接收过程(宏观整体)
不如敲代码的博客
09-22 1992
本文将介绍在Linux系统中,数据包是如何一步一步从网卡传到进程手中的。 如果英文没有问题,强烈建议阅读后面参考里的两篇文章,里面介绍的更详细。 本文只讨论以太网的物理网卡,不涉及虚拟设备,并且以一个UDP包的接收过程作为示例. 本示例里列出的函数调用关系来自于kernel 3.13.0,如果你的内核不是这个版本,函数名称和相关路径可能不一样,但背后的原理应该是一样的(或者有细微差别) 网卡到内存 网卡需要有驱动才能工作,驱动是加载到内核中的模块,负责衔接网卡和内核的网络模块,驱动在加载的时候将自己注册
Linux 网络层收发包流程及 Netfilter 框架浅析
~~ LINUX ~~
03-20 895
1. 前言 本文主要对 Linux 系统内核协议栈中网络层接收,发送以及转发数据包的流程进行简要介绍,同时对 Netfilter 数据包过滤框架的基本原理以及使用方式进行简单阐述。 内容如有理解错误而导致说明错误的地方,还请指正。如存在引用而没有添加说明的,也请及时告知,非常感谢! 2. 基础网络知识 2.1 网络分层模型 OSI 模型中将网络划分为七层,但在目前实际广泛使用的 TCP/IP ...
Linux协议栈-netfilter(1)-框架
热门推荐
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
Netfilter概述及其hook
lw_yang的博客
09-14 1万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptable...
netfilter框架之hook
遇见你是我最美丽的意外
01-05 4460
1. Netfilterhook的所在位置 当网络上有数据包到来时,由驱动程序将数据包从网卡内存区通过DMA转移到设备主存区(内存区), 之后触发中断通知CPU进行异步响应,之后ip_rcv函数会被调用到; ip_rcv函数首先对报文进行检验,最后调用NF_HOOK函数将控制权交给在NF_IP_PRE_ROUTING注册的规则进行处理,之后数据到达ip_rcv_finish函数并进行路...
深入解析IPVS负载均衡技术
在2.2版本中,IPVS是一个独立的模块,而在2.4之后,它利用了netfilter的部分机制,但仍保持着相对独立的特性。尽管与netfilter的功能有所重叠,但IPVS主要专注于负载均衡。 IPVS提供了三种负载均衡模式:NAT、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值