【转帖LINUX】netfilter中的conntrack内核阅读笔记(4)

最新推荐文章于 2022-05-19 10:15:08 发布
最新推荐文章于 2022-05-19 10:15:08 发布
阅读量1.6k 收藏
点赞数
分类专栏: Linux技术相关 文章标签: linux filter tcp null cache list
2008-07-07 22:09

3,init_conntrack:

init_conntrack用于创建一个新的ip_conntrack,并对其进行初始化。

/*1,每一个连接包含两个tuple,original和reply,ip_ct_invert_tuple 根据传入的original tuple获取其reply tuple,其最终将调用所属协议的invert_tuple 完成处理*/

   if (!ip_ct_invert_tuple(&repl_tuple, tuple, protocol)) {

     DEBUGP("Can't invert tuple./n");

     return NULL;

}

/*2,从cache中为conntrack分配内存,并进行通用的初始化,如初始化tuplehash、timeout和ct_general;如果当前连接数已达上限,则调用early_drop释放tuple所在hash链上的未应答项*/

   conntrack = ip_conntrack_alloc(tuple, &repl_tuple);

/*3,调用所属协议的new函数,根据报文数据,初始化conntrack,和协议相关的私有处理,将放到对具体协议tcp分析时讨论*/

   if (!protocol->new(conntrack, skb)) {

     ip_conntrack_free(conntrack);

     return NULL;

}

/*4,expect和helper均和动态协议相关,将在分析ftp协议时做重点介绍*/

   exp = find_expectation(tuple);

if (exp) {

     …

} else {

     conntrack->helper = __ip_conntrack_helper_find(&repl_tuple);

     CONNTRACK_STAT_INC(new);

}

write_unlock_bh(&ip_conntrack_lock);

if (exp) {

     …

}

/*5,将original tuple放到unconfirmed链上??*/   list_add(&conntrack->tuplehash[IP_CT_DIR_ORIGINAL].list, &unconfirmed);

 

4,tuplehash_to_ctrack:

tuplehash_to_ctrack这个函数主要用来将全局连接表中获取的hashtuple转换成相应的ip_conntrack结构。它使用了container_of这个宏来完成处理的。container_of通过结构中某个成员的指针,来获取结构的指针。它的实现非常有趣:

/*1,将结构体强制在0地址展开,从而获取其member的偏移量*/

   #define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER)

/*2,根据member的指针ptr,减去其相对偏移量,即获得了其宿主结构conntrack的指针*/

   #define container_of(ptr, type, member) ({            /

        const typeof( ((type *)0)->member ) *__mptr = (ptr); /

        (type *)( (char *)__mptr - offsetof(type,member) );})

5,TCP

Ip层可以承载多种协议,不同的协议,在建立相应连接的状态表时,所需的信息和对信息的处理也是不同的,以下我们将以tcp协议为例阐述具体协议的处理过程。

首先,在ip_conntrack_in的步骤3中,当我们确定了具体承载的协议后,需要调用相关的error函数,对报文的有效性进行验证,该函数为ip_conntrack_protocol_tcp.c中的tcp_error函数,该函数主要检查了tcp报文头的完整性,校验和的正确性以及flag的有效性。

在ip_conntrack_in步骤4的处理过程中,首先通过ip_ct_get_tuple(resolve_normal_ct step1)函数调用tcp_pkt_to_tuple将报文中的相关信息转化成一个tcp连接所需的tuple。之后根据这个tuple查找全局连接表,获取相应的状态表(resolve_normal_ct step2);对于新建连接则调用tcp_new建立并初始化状态表(init_conntrack)。Filter为Tcp的连接建立状态表的过程分为两类;一种filter知道连接的建立过程,它从连接的第一个syn报文开始,就记录连接的状态;另一种是filter不知道连接何时建立的,filter开始记录连接的状态时,连接早已建立成功,filter不知道连接的过去,例如filter发生重启,丢失了所有原有的连接状态信息。针对后一种情况,系统通过全局变量ip_ct_tcp_loose来确定是否支持,对此种情况后续章节会有专门的介绍。tcp_new针对此两种情况分别进行了设置。

在ip_conntrack_in步骤5,最终调用tcp_packet对报文进行处理,并更新相应的连接状态。在这里最为重要的是通过tcp_in_window来判别报文的有效性。在介绍该函数之前,先来了解一些tcp filter的知识。

teleinfor
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核连接跟踪框架概述
redwingz的博客
10-23 2420
连接跟踪的入口函数nf_ct_netns_get如下。其根据Netfilter定义的协议类型分为两个分支,如果协议类型为NFPROTO_INET,同时初始化两种NF协议NFPROTO_IPV4和NFPROTO_IPV6;反之,如果协议类型不等于NFPROTO_INET,按照指定的协议类型nfproto进行初始化。 int nf_ct_netns_get(struct net *net, u8 nf...
oracle (+)是什么意思?
Java技术备忘录
10-15 4596
原文内容:oracle的(+)是一种特殊的用法,(+)表示外连接,并且总是放在非主表的一方。 例如: 左外连接:select A.a,B.a from A LEFT JOIN BONA.b=B.b; 等价于select A.a,B.a from A,B where A.b = B.b(+); 再举个例子,这次是右外连接:select A.a,B.a from A RIGHT JOIN BONA.b=B.b; 等价于select A.a,B.a from A,B where A.b (+)...
连接跟踪FTP协议helper
redwingz的博客
01-12 706
系统环境: # cat /etc/issue Ubuntu 20.04.3 LTS \n \l 首先配置接口IP地址,开启转发。内网使用50.1.1.0/24网段。 # ip addr add 50.1.1.1/24 dev enp13s0 # ip addr add 192.168.1.124/24 dev enp6s0 # # echo 1 > /proc/sys/net/ipv4/ip_forward 配置SNAT规则,地址50.1.1.5为内网客户端地址。 # iptables -t n
连接跟踪(conntrack)原理、应用以及Linux内核实现
Golden_Chen的专栏
05-11 8628
发现一篇好文章,立即转载了来,原地址:http://arthurchiao.art/blog/conntrack-design-and-implementation-zh/ 摘要 本文介绍连接跟踪(connection tracking,conntrack,CT)的原理,应用,及其在 Linux 内核的实现。 代码分析基于内核4.19。为使行文简洁,所贴代码只保留了核心逻辑,但都给出了代码 所在的源文件,如有需要请查阅。 水平有限,文不免有错误之处,欢迎指正交流。 1 引言 连接跟踪是许多.
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 4927
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
haxi.zip_linux kernel hash_linux netfilter_linux 内核 抓包_netfilter
最新发布
09-14
linux内核使用哈希的例子,利用netfilter抓包然后做成哈希链表
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
Linux防火墙内核Netfilter和Iptables的分析.pdf
09-07
Linux防火墙内核Netfilter和Iptables的分析.pdf
Linux-netfilter-conntrack机制初步分析
04-27
Linux-netfilter-conntrack机制初步分析,谈论了conntrack的实现机制。
Linux内核防火墙netfilter的原理和应用.pdf
09-07
Linux内核防火墙netfilter的原理和应用.pdf
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2699
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter比较重要的两个模
linux内核netfilter之ip_conntrack模块的作用举例--ftp为例
Netfilter
06-24 1万+
<br />很多协议的控制信息在应用层数据被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包建议的ip和端口,在这种情况下,如果client在nat后面使用私网地址,那么server将无法连接client,因此na
netfilterconntrack笔记
weixin_30332241的博客
10-13 254
一、控制结构 sk_buff 和网络报文的存储空间 二、分片的网络报文与scatter/gather IO 网络报文在内存不一定是连续存储的,同一个网络报文有可能被分成几片存放在内存的不同位置(不要和IP分片混淆,IP分片是将一个网络报文分成多个网络报文,这里是将一个网络报文分成几片存放在不同的内存空间)。 为了记录网络报文的长度,在sk_buff里增加...
linux nf conntrack,Linux基于mark的策略路由以及nf_conntrack RELATED
weixin_42395776的博客
05-25 774
谈到什么是意义,话题总显得很大,近日每晚都和老城里的朋友聊老城的文化,老城的老房子,老城的叫卖声,老城的方言…进行了很多的思考,也挺充实。至于技术方面,也有跟朋友以及前同事聊过,这些都是意义。又到了周末,早早起来写一篇技术总结,至于老城的话题,我会在朋友圈零零散散地写。本文关键词:Linux策略路由,nf_conntrack,socket,路由缓存再谈“哪里来的回哪里”当人们部署双线服务器时,比如...
一个复杂的nf_conntrack实例全景解析
~~ LINUX ~~
02-02 903
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。   因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了细节知识后复查。 拓扑说明 本文全文将围绕Netfilter主题的一片小的领地nf_conntra
linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 1893
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
linux内核协议栈 netfilter 之连接跟踪子系统核心数据结构 struct nf_conn
11-01 1983
1连接跟踪信息块struct nf_conn 连接跟踪子系统的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
linux内核netfilter之ip_conntrack模块的作用举例--nat和REDIRECT为例
热门推荐
Netfilter
06-24 1万+
<br />修改应用层协议控制包使用了ip_conntrack,iptables的REDIRECT target也使用了ip_conntrack,另外包括iptables的state模块也是如此,使用ip_conntrack,可见ip_conntrack的重要性,ip_conntrack的一个无比重要的作用是实现nat,可以说REDIRECT target和对诸如ftp的修改以实现server回连client最终都落实到了nat上,比如,所谓的REDIRECT就是内置一个nat规则,将符合matchs的包n
netfilter链接跟踪实现之nf_conntrack_in函数
City_of_skey的博客
12-10 3087
1、数据包方向 要分析连接链接跟踪的实现我们就要先分析数据包在协议栈的方向,总的来说主要分为三个方向:本机转发的数据包、本机接受的数据包、本机产生的数据包,我们之前分析了连接跟踪只在四个链上注册了钩子函数,分别是PRE_ROUTING链、OUT链、LOCAL_IN链、POST_ROUTING链。PRE_ROUTING链上注册的是ipv4_conntrack_in,OUT链上注册的是ipv4_c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值