连接跟踪nf_conntrack_tcp_loose设置

最新推荐文章于 2023-12-03 22:47:52 发布
最新推荐文章于 2023-12-03 22:47:52 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: netfilter防火墙 文章标签: 连接跟踪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/104544049
版权

nf_conntrack_tcp_loose选项如果设置为0,对于未完成三次握手的流,内核连接跟踪模块将不会为其创建conntrack结构。反之,值为0的话,将为任意收到的tcp报文创建conntrack结构。默认值为一,如下可通过proc文件nf_conntrack_tcp_loose,获取其当前值。

$ sudo modprobe nf_conntrack_ipv4                   
$  
$ lsmod | grep conn
nf_conntrack_ipv4      16384  0
nf_conntrack          131072  1 nf_conntrack_ipv4
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
$ 
$ cat /proc/sys/net/netfilter/nf_conntrack_tcp_loose
1

初始化

以下tcp_init_net初始化函数,将tcp_loose初始化为一。

/* If it is set to zero, we disable picking up already established connections. */
static int nf_ct_tcp_loose __read_mostly = 1; 
 
static int tcp_init_net(struct net *net)
{
    struct nf_tcp_net *tn = nf_tcp_pernet(net);
    struct nf_proto_net *pn = &tn->pn;

    if (!pn->users) {
        ...
        tn->tcp_loose = nf_ct_tcp_loose;

conntrack四层数据

在如下的conntrack入口函数nf_conntrack_in,将调用四层协议处理结构,如TCP,初始化conntrack结构中的四层协议数据。如果失败的话,将释放刚刚创建的conntrack结构,并且结束执行。

unsigned int nf_conntrack_in(struct sk_buff *skb, const struct nf_hook_state *state)
{
    const struct nf_conntrack_l4proto *l4proto;
	
    l4proto = __nf_ct_l4proto_find(protonum);

repeat:
    ret = resolve_normal_ct(tmpl, skb, dataoff, protonum, l4proto, state);

    ret = l4proto->packet(ct, skb, dataoff, ctinfo, state);
    if (ret <= 0) {
        pr_debug("nf_conntrack_in: Can't track with proto module\n");
        nf_conntrack_put(&ct->ct_general);
        skb->_nfct = 0;

        ret = -ret;
        goto out;
    }

对于TCP,对应的四层结构为nf_conntrack_l4proto_tcp,注册的处理函数为tcp_packet。

const struct nf_conntrack_l4proto nf_conntrack_l4proto_tcp =
{
    .l4proto        = IPPROTO_TCP,
    .packet         = tcp_packet,

    .init_net       = tcp_init_net,
    .get_net_proto      = tcp_get_net_proto,

如下函数tcp_packet,调用函数tcp_new初始化TCP相关数据。

static int tcp_packet(struct nf_conn *ct, struct sk_buff *skb,
              unsigned int dataoff, enum ip_conntrack_info ctinfo, const struct nf_hook_state *state)
{
    ...
    if (!nf_ct_is_confirmed(ct) && !tcp_new(ct, skb, dataoff, th))
        return -NF_ACCEPT;

函数tcp_new,首先判断接收到的是否为TCP的SYN报文,即由tcp_conntracks取得的新状态是否为TCP_CONNTRACK_SYN_SENT,成立的话,说明为SYN报文,进行正常的处理。除此之外,对于tcp_loose等于零的情况,不初始化TCP层的连接跟踪结构,返回false。

static noinline bool tcp_new(struct nf_conn *ct, const struct sk_buff *skb, unsigned int dataoff, const struct tcphdr *th)
{
    struct net *net = nf_ct_net(ct);
    const struct nf_tcp_net *tn = nf_tcp_pernet(net);

    new_state = tcp_conntracks[0][get_conntrack_index(th)][TCP_CONNTRACK_NONE];

    if (new_state == TCP_CONNTRACK_SYN_SENT) {
        memset(&ct->proto.tcp, 0, sizeof(ct->proto.tcp));
        /* SYN packet */
        ...
    } else if (tn->tcp_loose == 0) {
        /* Don't try to pick up connections. */
        return false;
    }

由以上的nf_conntrack_in函数可见,四层协议的处理函数tcp_packet(子函数tcp_new)返回负值的话,将不会为此流创建conntrack结构。

conntrack状态INVALID

如下的state匹配处理函数state_mt,对于报文skb中连接跟踪结构为空,并且未设置notrack标志的连接(注意这里并没有创建连接结构),连接状态为无效状态XT_STATE_INVALID。即以上的流将处于此状态。

static bool state_mt(const struct sk_buff *skb, struct xt_action_param *par)
{
    const struct xt_state_info *sinfo = par->matchinfo;
    enum ip_conntrack_info ctinfo;
    struct nf_conn *ct = nf_ct_get(skb, &ctinfo);

    if (ct)
        statebit = XT_STATE_BIT(ctinfo);
    else if (ctinfo == IP_CT_UNTRACKED)
        statebit = XT_STATE_UNTRACKED;
    else
        statebit = XT_STATE_INVALID;

    return (sinfo->statemask & statebit);
}

static struct xt_match state_mt_reg __read_mostly = {
    .name       = "state",
    .family     = NFPROTO_UNSPEC,
    .checkentry = state_mt_check,
    .match      = state_mt,

可通过以下的iptables命令,丢弃此类报文。

iptables -A INPUT -i eth0 -p tcp -m state --state INVALID -j DROP

内核版本 5.0

redwingz
关注
专栏目录
52.第十三章 Linux防火墙 -- iptables(二)
Raymond的博客
01-24 132
3.3 iptables 基本匹配条件 基本匹配条件:无需加载模块,由iptables/netfilter自行提供 [!] -s, --source address[/mask][,...]:源IP地址或者不连续的IP地址 [!] -d, --destination address[/mask][,...]:目标IP地址或者不连续的IP地址 [!] -p, --protocol protocol:指定协议,可使用数字如0(all) protocol: tcp, udp, icmp, icmpv6, udp
linux-内核参数优化参考指标
dlm520947的博客
07-30 2502
民间最全的Linux系统内核参数调优说   相信做运维的同仁,进行运维环境初建时,必须要考虑到操作系统内核参数的优化问题,本人经历数次的运维环境重建后,决定要自行收集一份比较完善的系统内核参数优化说明文件出来,于是就有了下文,本文当前值是官方默认参数,建议参数直接添加于sysctl -a输出的结果每一行的后面,希望对运维的同仁做系统内核参数调优时有所帮助。废话不多讲,直接上干货! ...
连接跟踪TCP协议连接超时
redwingz的博客
01-08 4003
全局数组tcp_timeouts定义了默认的各个状态下TCP连接的超时时长。其中连接建立状态下的空闲超时时长最长,为5天。 static const unsigned int tcp_timeouts[TCP_CONNTRACK_TIMEOUT_MAX] = { [TCP_CONNTRACK_SYN_SENT] = 2 MINS, [TCP_CONNTRACK_SYN_RECV] = 60 SECS, [TCP_CONNTRACK_ESTABLISHED] = 5 DAY
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
无状态TCP的ip_conntrack
互联网
07-13 483
Linux的ip_conntrack实现得过于沉重和精细。而实际上有时候,根本不需要在conntrack中对TCP的状态进行跟踪,只把它当UDP好了,我们的需求就是让系统可以将一个数据包和一个五元组标示的流相关联,因为很多的基于流的策略都设置conntrack结构中,所以当关联好之后,就可以直接取出策略来作用于数据包了,不再需要为每一个数据包都来一次策略匹配。 TCP的状态本就不应该在途中被...
Netfilter中的连接跟踪系统
weixin_30387339的博客
09-30 228
呵呵,第一次翻译技术文章,还挺大家见谅。原作连接:netfilter tracking system 基于单一的报文头信息的过滤策略已经过时了。如今有状态防火墙提供了一种高级机制,让系统管理员和安全专家可以定义更智能的策略。本文介绍了Netfilter项目包含的连接跟踪系统的实现细节,还介绍了一些需要的理解的背景知识。在最近的linux内核中,本文对于理解有状态防火墙子系统很有帮...
连接跟踪(connection tracking,conntrack,CT)
Ghost_199503的博客
11-29 1031
连接跟踪
Linux网络之连接跟踪 conntrack
wzj_110的博客
12-03 925
Linux网络之连接跟踪 conntrackconntrack 命令。conntrack中的。
FTP 协议 基于 Netfilter Conntrack 的 动态端口 开放
And_ZJ的博客
10-15 2853
由于 防火墙的默认策略 应该是DROP,对于像 FTP 这种在被动模式下,需要新开端口建立数据通道的协议而言,防火墙不能够主动的开辟相关的端口,也就在默认DROP情况下,FTP的数据端口不能通信,就会出现能登录成功,但获取不到目录的情况。关于 FTP 的介绍,可参考这篇帖子。 在 Linux 中,Netfilter 自带一个 conntrack 模块,于是就先以 ftp 协议为例研究了一下。实现 ...
Centos系统内核优化参数列表
l619872862的博客
10-28 2104
Centos系统优化参数列表前言一、内存参数列表 /proc/sys/vm/*二、内核参数列表 /proc/sys/kernel/*三、网络参数列表 /proc/sys/net/*四、文件系统参数列表 /proc/sys/fs/* 前言 在centos中 sysctl -a 显示当前系统中可用的内核参数 Linux修改内核参数有三种方式: (1)修改 /etc/sysctl.conf 文件,加入配置选项,格式为 key = value ,修改保存后调用 sysctl -p 加载新配置(此种方式在系统重新启
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
传统架构和k8s架构:如何在实际应用中进行选择和搭配?
漠效的博客
04-17 2580
在如今的互联网时代,传统的架构和部署方式可能已经无法满足不断发展和创新的业务需求。为了更好地提高系统的可靠性、灵活性和可维护性,许多企业开始采用k8s这样的容器编排工具来进行应用程序的部署和管理。但是传统架构真的不可取吗?k8s的优势是哪些?在这篇文章中,我们会深入探讨传统架构和 k8s 架构之间的区别以及如何在实际应用中合理选择,帮助您更好的应对具体的需求。选了几个标题名,都很好,不忍舍弃,按照小说简介的写法,因此该文章别名又叫:探讨传统架构和 k8s 架构的优劣与取舍。
【LINUX协议栈】netfilter之连接跟踪机制
不会游泳的程序猿
08-23 960
连接跟踪,顾名思义,就是跟踪(并记录)连接的状态。一般conntrack用来指代“Connection Tracking”,即连接跟踪,是建立在 Netfilter框架之上的重要功能之一。
TCP断开时的状态与Linux nf_conntrack
Netfilter
07-04 7814
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我便气扬了!       很多人觉得我是下三层网络的专家,对于TCP之类的无权问津,但是我对TCP除了辱骂还是辱骂!因为它太复杂了,作为一个低层的
2.6.1*Linux内核中TCP连接跟踪
王以山的专栏
09-13 1374
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn1. 前言在2.6.1*以上的Linux内核中,关于TCP连接跟踪处理有了比较大的修改,增加了TCP可能标志位组合的检查;增加了通过序列号、确认
netfilter连接跟踪conntrack)详述
热门推荐
alittlefish1的博客
08-30 1万+
netfilter连接跟踪conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
连接跟踪conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 5047
连接跟踪conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
连接跟踪实现框架
rondyning的博客
05-28 583
1 概述 ​ 连接跟踪模块用于维护可跟踪协议的连接状态,即连接跟踪针对特定协议的报文进行处理,而不是所有的协议报文。其为每一个经过网络协议栈的数据包,生成一个新的连接记录项 。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是状态防火墙和NAT的实现基础。 2 框架 netfilter各个模块注册在hook点上的hook函数示意图: 从上图可以看出连接跟踪模块注册的钩子函数在netfilter的钩子点以及所处优先级 三种不同方向的报文经过连接跟踪模块的处理过程: 发往本机的
nf_conntrack
最新发布
04-16
nf_conntrack是Linux内核中的一个模块,用于跟踪网络连接的状态。它是Netfilter框架的一部分,用于实现网络连接的状态跟踪连接跟踪表。nf_conntrack模块可以在Linux内核中启用,以便在网络层面上跟踪和管理网络连接nf_conntrack模块的主要功能包括: 1. 跟踪网络连接状态:nf_conntrack可以跟踪TCP、UDP、ICMP等协议的连接状态,包括连接的建立、终止和超时等。 2. 连接跟踪表:nf_conntrack维护一个连接跟踪表,记录所有活动的网络连接信息,包括源IP地址、目标IP地址、源端口、目标端口等。 3. 连接状态检查:nf_conntrack可以根据连接状态进行数据包过滤和处理,例如防火墙可以根据连接状态来决定是否允许或拒绝数据包通过。 4. NAT(Network Address Translation)支持:nf_conntrack可以与NAT功能结合使用,实现IP地址和端口的转换,用于解决IP地址不足的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值