利用nf_conntrack机制存储路由,省去每包路由查找

最新推荐文章于 2023-08-11 18:54:55 发布
最新推荐文章于 2023-08-11 18:54:55 发布
阅读量825 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tycoon1988/article/details/45487681
版权
博客详细介绍了IP数据报的路由结构dst_entry,包括其引用计数、设备接口、标志位、时间值等关键字段,以及如何利用nf_conntrack机制避免每次数据包发送时的路由查找,提高效率。
摘要由CSDN通过智能技术生成

最终生成的IP数据报的路由称为目的入口(dst_entry),目的入口反映了相邻的外部主机在本地主机内部的一种“映象”,目的入口在内核中的定义如下

struct dst_entry
{
    struct dst_entry    *next;
    atomic_t            __refcnt;
    int                 __use;
    struct dst_entry    *child;
    struct net_device   *dev;
    short               error;
    short               obsolete;
    int                 flags;
    unsigned long       lastuse;
    unsigned long       expires;
    unsigned short      header_len;
    unsigned short      nfheader_len;
    unsigned short      trailer_len; 
    u32                 metrics[RTAX_MAX];
    struct dst_entry    *path;
    unsigned long       rate_last; 
    unsigned long       rate_tokens;
    struct neighbour    *neighbour;
    struct hh_cache     *hh;
    struct xfrm_state   *xfrm;
    int                 (*input)(struct sk_buff*);
    int                 (*output)(struct sk_buff*);
#ifdef CONFIG_NET_CLS_ROUTE
    __u32               tclassid;
#endif
    struct dst_ops     *ops;
    struct rcu_head     rcu_head;
    char        info[0];
}; 



dst_entry->__refcnt
    "目的入口"的引用计数,创建成功后即设为1

dst_entry->__use
    一个统计数值,该"目的入口"被使用一次(发送一个IP数据报),__use就加1

dst_entry->dev
    该路由的输出网络设备接口

dst_entry->flags
    标志位,其取值可以是DST_HOST, DST_NOXFRM, DST_NOPOLICY, DST_NOHASH, DST_BALANCED(用在路由有多路径的情况下)

dst_entry->lastuse
    一个时间值,每次目的入口被用于发送IP数据报,就将该值设置为当前系统时间值。该值被用于几个地方,路由缓存表 rt_hash_table是一个很大的数组(依据系统的内存大小而定),每一项都是一个struct rtable的链表,当要往缓存表的某一个链表中插入一个新的struct rtable时,如果这个链表的长度已经超出ip_rt_gc_elasticity(

最低0.47元/天 解锁文章
tycoon1988
关注
LINUX服务器防火墙nf_conntrack问题一例
有莘不破的博客
01-06 1250
iptables模块nf_conntrack引发的一则故障案例
UCloud基于Linux内核新特性的Conntrack卸载设计与优化
Ucloud_TShare的博客
04-03 829
近期,Netfilter 和 Mellanox 联合开发了flowtable hardware offload 功能,使flowtable成为一种标准的conntrack卸载方案,并实现了Linux标准的Netfilter 硬件offload接口。作为一个新功能,还存在一些缺陷和不完善的地方。 对此,我们做了大量的硬件卸载开发工作,进行问题修复、功能优化,帮助完善kernel功能并提升性能,后续...
linux nf conntrack,linux nf conntrack作什么用
weixin_34280781的博客
05-25 122
满意答案vmuym2016.09.01采纳率:43%等级:7已帮助:362人我们先来看看怎样阅读/proc/net/ip_conntrack里的conntrack记录。这些记录表示的是当前被跟踪的连接。如果安装了ip_conntrack模块,cat /proc/net/ip_conntrack 的显示类似:tcp 6 117 syn_sent src=192.168.1.6 dst=192...
从iptables 到 nf_conntrack(1)
zyxpaomian的博客
01-19 574
Big Picture1 公司的监控服务器开启ipatbles 以后,经常会报kernel: nf_conntrack: nf_conntrack: table full, dropping packet的内核报错,原因是conntrack 表满了,常规的做法是以下几种: sysctl –w net.netfilter.nf_conntrack_max = 2097152 #状态跟踪表的最大行数的设定 sysctl -w net.netfilter.nf_conntrack_buckets = 104857
Linux路由表的抽象扩展应用于nf_conntrack
Netfilter
04-19 5458
思想标准IP路由查找的过程为我们提供了一个极好的“匹配-动作”的例程。即匹配到一个路由项,然后将数据包发给该路由项指示的下一跳。如果我们把上面对IP路由查找的过程向上抽象一个层次,就会发现,其实它还可以有别的用。抽象后的表述为:以数据包的源地址或者目标地址为键值去查询一张表,查到结果项以后执行结果项指示的一个动作。一个结果项为:struct result_node { uint32
nf_conntrack连接跟踪模块
小豆角的博客
03-25 442
https://blog.csdn.net/u010472499/article/details/78292811 最近在看集群搭建时候内存优化的配置,对一条记录不解,故而查阅。 /lib/modules/`uname -r`/kernel/net/netfilter/nf_conntrack.ko nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个...
linux查看硬件设备信息 与 nf_conntrack
星辰大海
04-12 6158
Linux 查看硬件设备信息、 Ipatables 的 nf_conntrack 模块
nf_conntrack详解
weixin_34262482的博客
07-30 6103
2019独角兽企业重金招聘Python工程师标准>>> ...
linux-conntrack对报文的处理
bigsheng2的博客
02-03 460
Linux 内核中的 ct 系统,本身从不改变/操纵数据包。通常也不会丢弃数据包,只可能在极少数情况下发生这种情况。 ct更多的是为其他内核组件提供决策。如 NAT 子系统以及Iptables和Nftables 的状态包过滤模块。连接跟踪最重要的使用场景就是 NAT,NAT 依赖连接跟踪的结果。 所以,即使存在established 状态的 ct,数据包还是会经过各个hook点,各个内核组件,还是会查找路由表、neighbor表等。 如下,nat流程中,nf_nat_packet 调用 nf_nat_man
linux 内核网络协议栈
wqwqh的博客
01-28 1098
Linux网络协议栈之数据包处理过程 1前言 本来是想翻译《The journey of a packet through the linux 2.4 network stack》这篇文章的。但在查阅相关的资料时,发现需要补充一些技术细节,才使得我这种菜鸟理解更加深刻,所以综合了上面两篇文档,在加上自己的裁减和罗嗦,就有了下面的文字。我不知道这是否侵犯了作者权益。如果有的话,请告知,我会及时删除这篇拼凑起来的文档。 引用作者Harald Welte的话:我毫无疑问不是内核导师级人物,也许...
交叉编译nftables
youxiaojie1979的博客
07-26 1611
折腾nftables的那点事儿 (一)   最近因为一个项目,要折腾一下linux下的iptables。好久没有用这个东西了,感觉也不会有啥问题,所以连想都没想就开始弄。开启内核选项,交叉编译iptables,移植运行后才发现。我靠~不支持了,需要用新的nftables。奶奶的,我老了,被时代所淘汰了。nfatbles是个啥,就是取代iptables的。好吧,那就弄吧,弄起来才知道,麻烦啊,尤其是移植到arm板子上。 主要涉及到以下几个方面: 交叉编译工具 内核netfilter配置 所需的组件
nf_conntrack连接跟踪机制
喝醉酒的小白
08-11 1330
当网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。
iptables的手册也不能尽信啊
系统运维
02-29 183
我很自豪的找到了一种截获数据包的秘籍,那就是使用conntrack的ctdir,第一步当然是看iptables的man手册,发现:--ctdir {ORIGINAL|REPLY} Match packets that are flowing in the specified direction. If this flag is not specified at all, matches packe...
linux路由内核实现分析 四,linux路由内核实现分析(二)---FIB相关数据结构(4)
weixin_32761653的博客
04-30 284
fib_info结构struct fib_info {structhlist_nodefib_hash;structhlist_nodefib_lhash;intfib_treeref;atomic_tfib_clntref;intfib_dead;unsignedfib_flags;intfib_protocol;__be32fib_prefsrc;u32fib_priorit...
RHEL7 模块开机加载
weixin_30278311的博客
08-24 226
一、问题背景 平台上的虚拟机经常遭遇DDOS攻击,由于我们启动了iptables的state模块做安全策略,因此收到攻击时经常导致物理机nf_contract表超过默值,进而影响到整个物理机上的虚拟机丢包,因此要增大该值,我通过/etc/sysctl.conf来实现这个功能。测试发现,修改后服务器(RHEL7.1)重启一直不生效!之前在RHEL6的系统上是好的啊,why ? ...
netfilter之conntrack笔记
weixin_30332241的博客
10-13 275
一、控制结构 sk_buff 和网络报文的存储空间 二、分片的网络报文与scatter/gather IO 网络报文在内存中不一定是连续存储的,同一个网络报文有可能被分成几片存放在内存的不同位置(不要和IP分片混淆,IP分片是将一个网络报文分成多个网络报文,这里是将一个网络报文分成几片存放在不同的内存空间)。 为了记录网络报文的长度,在sk_buff里增加...
Netfilter学习之NAT类型动态配置(四)nf_nat_core.c源码解析
ty的博客
04-06 4261
  在研究了masquerade的用户空间和内核源码之后,我们发现最后进入了nf_nat_setup_info()函数,该函数位于nf_nat_core.c之中,是Netfilter的NAT表核心函数的实现。 1 nf_nat_core.c源码分析   本小节分析了nf_nat_core的源码,重点分析当Iptables指定的钩子函数激活后,在Netfilter中是如何识别和起作用的。这里...
NAT alg 和 ASPF
weixin_33708432的博客
11-29 830
NAT alg 和 ASPF 参考:https://handbye.cn/719.html 来源:https://www.jianshu.com/p/8a8eb36eef7d   NAT的部署已经在企业网中必不可少,当防火墙作为网络的出口或者在网络中充当安全网关时,内网用户访问外网或者外网用户访问内网的服务器都要经过NAT穿越。 由于防火墙的特殊性,出于安全的考虑,需要建立相应的安全策略。当防...
3CDaemon FTP使用教程
热门推荐
※belief※的博客
09-17 2万+
1、打开3CDaemon软件,点击“设置 FTP 服务器”,进行如下图所示进行设置 2、支持ftp协议的系统(如linux),执行 : ftp 10.0.12.203 21 ip为FTP服务器IP地址,21为FTP默认端口,根据提示输入创建的用户名及密码 3、执行ls 即可列FTP出共享文件下的所有目录及文件 4、执行 ‘?’ 直接回车可查看ftp支持的指令 5、使用...
(node_nf_conntrack_entries / node_nf_conntrack_entries_limit) > 0.75
最新发布
10-15
要创建一个监控警报,当`node_nf_conntrack_entries`(节点连接跟踪条目)与`node_nf_conntrack_entries_limit`(节点连接跟踪条目限制)的比例大于0.75时,我们可以使用Prometheus查询语言(PromQL)来实现。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值