linux内核协议栈 netfilter 之连接跟踪模块概述

最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布
阅读量643 收藏 1
点赞数 1
分类专栏: linux内核协议栈 netfilter 文章标签: netfilter 连接跟踪 conntrack
原文链接:https://blog.csdn.net/lickylin/article/details/34581295
版权
连接跟踪(CONNTRACK)模块在Linux内核中负责跟踪和记录TCP、UDP、ICMP等协议的连接状态。它通过nf_conntrack_l3proto和nf_conntrack_l4proto结构处理不同协议的数据包,确保能唯一识别数据流。在netfilter的hook点中,CONNTRACK在入口和出口处理数据包,创建和确认连接跟踪项。数据包路径涉及的函数如ipv4_conntrack_defrag、ipv4_conntrack_in、ipv4_conntrack_help和ipv4_confirm分别用于分段重组、创建连接跟踪项、处理期望连接和添加到跟踪表。此外,CONNTRACK解决如FTP的多通道和SNAT后的应用层协议匹配问题,引入了期望连接和helper函数的概念。
摘要由CSDN通过智能技术生成

连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。

因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntrack_l3proto,nf_conntrack_l4proto。nf_conntrack_l4proto 是四层协议的连接跟踪相关的结构,这个结构定义了四层协议相关的接口函数,使用这些函数我们能从一个skb中,抽取到在协议层上唯一识别一个数据流的信息。而 nf_conntrack_l3proto 为连接跟踪中三层协议相关的结构,这个结构定义了三层协议相关的接口函数,使用这些函数我们能从一个skb中,抽取到在协议层上唯一识别一个数据流的信息。结合三层与四层协议的这些函数,我们就能唯一确定一条流了,这两个协议层相关的结构是实现数据流从个性到共性的归纳依据。

那么连接跟踪模块在netfilter中与哪些hook有关呢,即一个数据包从进入一个接口到从一个接口发出需要经历哪些过程呢?

1、连接跟踪模块的hook回调函数分别注册在

  • NF_IP_PRE_ROUTING
  • NF_IP_LOCAL_OUT
  • NF_IP_POST_ROUTING
  • NF_IP_LOCAL_IN

从netfilter的角 度来说,NF_IP_PRE_ROUTING、NF_IP_LOCAL_OUT为 netfilter 的入口,而 NF_IP_POST_ROUTING、NF_IP_LOCAL_IN 为 netfilter 的出口hook点

那连接跟踪模块就是在netfilter的入口处,最先处理进入的数据包(可以根据hook的注册优先级nf_ip_hook_priorities来识别),根据数据包三层与四层协议的特点抽象出一个连接跟踪项;而在数据包的出口处对一个连接跟踪项进行确认。

2、如果仅考虑连接跟踪模块的hook函数,则对于不同的数据包,其经过netfilter 的路 径大概有三个,下面就按这三个路径进行分析,看不同路径下调用的连接跟踪hook函数是否相同。

A) 发往本机的数据包

ipv4_conntrack_defrag->ipv4_conntrack_in->ipv4_conntrack_help->ipv4_confirm

B)需要本机转发的数据包

ipv4_conntrack_defrag->ipv4_conntrack_in->ipv4_conntrack_help->ipv4_confirm

C) 本机发出的数据包

ipv4_conntrack_local->ipv4_conntrack_help->ipv4_confirm

上面的函数中,ipv4_conntrack_defrag用于对分段数据进行重组的,ipv4_conntrack_in对数据流创建相应的连接跟踪项,而ipv4_conntrack_help函数实现期望连接的创建、协议相关ALG功能的实现等功能,ipv4_confirm则是将新的连接跟踪项添加到连接跟踪表中。

在开始分析连接跟踪前,还有两个问题需要描述一下:

  1. 有些应用层协议的c/s模式的设计中,需要两条通道,以ftp为例,需要建立一条server port 21的命令通道,还需要建立一条server port 20 /(端口号大于1024)的数据通道用于数据传输。这时候如果还按照平常的流程分别为这两条数据通道建立两条连接跟踪项,而且每条连接跟踪项的状态都是从NEW_STATE开始进行转变,反而有些问题,因为先建立的命令通道相关的连接跟踪项已经从NEW_STATE转换为IP_CT_ESTABLISHED了,这时对于新建立的数据通道,其连接跟踪状态也应该可以直接设置成 IP_CT_ESTABLISHED了,而不必从NEW_STATE开始经过一系列的转换了。
  2. 有些应用层协议会存放三层的ip地址,当我们对从lan侧出去的数据包的三层ip地址进行了SNAT映射后,数据包的三层源地址就转变成wan侧地址了,但是应用层协议中携带的源ip地址仍然是lan侧内网的地址,如果不把应用层携带了源ip地址也进行SNAT映射,则在应用层协议之间建立的数据通道的数据可能就无法进入到lan侧。

基于以上问题,连接跟踪模块提出了期望连接与helper函数两个概念。

其中期望连接就是解决第一个问题,当创建一个连接跟踪项时,会根据reply方向的tuple结构查找helpers链表,并与该连接跟踪项进行绑定,接着在调用函数ipv4_conntrack_help时就调用该连接跟踪项的helper函数,注册的helper函数如果有期望连接的概念,就会创建一个期望连接,并添加到期望连接表中。

而helper函数的另一个功能就是用来解决第二个问题的,但是要想完整的解决第二个问题,还需要一个nat转换函数,用于对应用层中携带的ip地址进行NAT转换操作。

老王不让用
关注
专栏目录
订阅专栏
Linux内核网络部分源码分析-唐文
08-28
NetfilterLinux内核中的一个框架,它提供了一个统一的接口来处理各种网络功能,如包过滤、网络地址转换(NAT)、连接跟踪等。通过Netfilter内核能够灵活地插入不同的模块来实现特定的功能,并且这些功能可以在...
netfilterconntrack-helper
fengcai_ke的博客
07-18 1799
netfilter conntrack-helper
Linux netfilter 学习笔记 之七 ip层netfilter连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6230
内核版本 2.6.16   连接跟踪CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
连接跟踪子系统之helper
九天小哥的专栏
04-13 1849
在Netfilter之AF_INET协议族连接跟踪子系统钩子函数 中有看到,在Netfilter子系统的出口,第一个钩子是ipv4_conntrack_help()(以AF_INET协议族为例),之后才是对新连接的确认钩子。并且help钩子的逻辑就是调用连接跟踪信息块中的help()回调函数。这篇笔记就来看看Netfilter子系统对helper模块的管理,相关代码文件为: 代码路径 说明...
连接跟踪之期望连接
rondyning的博客
11-12 3499
1 概述 ​ 。。。 2 helper功能 2.1 概述 ​ helper功能是连接跟踪的扩展功能之一,给不同应用层协议来对连接跟踪模块进行功能上的扩展。比如ftp、tftp等利用helper功能来实现期望连接的建立和关联。 2.2 代码结构 ​ 如图: helper功能主代码文件主要提供API:helper扩展添加,helper实例查找,helper实例注册,helper实例初始化等 期望连接的主代码文件主要提供API:期望连接新建,期望连接初始化、期望连接查找、期望连接插入等 各协议对应的主代码文件主
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 1785
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Linux Kernel Networking Implementation and Theory
10-24
相反,本书着重介绍数据包在Linux内核网络栈中的传输过程、它与各种网络层和子系统的交互方式以及各种网络协议的实现细节。 #### 二、主要内容概览 - **第一章:介绍** 本书概述Linux内核网络子系统的实现,并...
netfilter与iptables表规则建立
热门推荐
王鑫宇的博客
04-02 1万+
内核的net中,iptable_nat.c iptable_filter.c iptable_mangle.c中,分别建立了3张表,供iptables规则使用。 其中filter、mangle表的建立,有自己的优选级 调用 ipt_register_table函数进行注册表; 调用xt_hook_link注册到时hook,此表可以挂到5个点,那就会注册到5个hook点,优先级都是一样...
Linux下使用netfilter进行IP包解析
wenph2008的专栏
07-29 1032
简单的使用netfilter对IP包进行解析,主要是打通netfilter的使用方法。 一个简单的样例:打印出经过钩子函数的包的源目IP地址 sample.c #include <linux/module.h> #include <linux/kernel.h> #include <linux/init.h> #include <linux/typ...
通过iptables实现NAT网络地址转换
camel_in_sand的专栏
08-13 1240
内核配置 # # IP: Netfilter Configuration # CONFIG_NF_DEFRAG_IPV4=m CONFIG_NF_CONNTRACK_IPV4=m CONFIG_NF_CONNTRACK_PROC_COMPAT=y CONFIG_IP_NF_IPTABLES=m CONFIG_IP_NF_MATCH_AH=m CONFIG_IP_NF_MATCH_ECN=m CON...
2.6内核源码netfilter中NF_INET_PRE_ROUTING跟NF_IP_PRE_ROUTING啥关系?
王以山的专栏
09-10 3316
认真看头文件,头文件上面有说明。两者的值是一样的。NF_IP_*和NF_IP6_*都不能用在新的内核内核/内核模块要用NF_INET_*。我记得没错的话,这种转变是从2.6.25的内核开始,当时还没有NF_INET_*,全部都用NF_IP系列的。现在,NF_IP_*只是为了兼容用户程序而保留的,一般应该用NF_INET_*。你可以理解成变量换了个名字。 我知道
linux 内核协议栈 ip_rcv_finish,Linux内核协议栈学习笔记(二)--netfilter框架
weixin_39604092的博客
05-15 352
Linux netfilter提供了五个hook的注册点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。这五个hook点在Linux协议栈中调用之处如下:NF_INET_PRE_ROUTING --> ip_rcv():点击(此处)折叠或打开retu...
Linux下NAT功能的实现
奋起的blog
08-04 5434
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源: http://yfydz.cublog.cn1. 前言在2.4/2.6内核Linux中的防火墙代码netfilter中支持源NAT(SNAT)和目的NAT(DNAT),基本可以满足各种类型的NAT需求,本文介
[Realtek sdk-3.4.14b]升级iptables以支持IPv6 DHCPV6 NAT6的MASQUERADE属性(原厂默认iptables不支持NAT6)
wgl307293845的博客
11-29 971
升级原因 由于原厂自带iptables版本V1.4.4,默认不支持NAT6的MASQUERADE,查看内核默认是可以支持NAT6的MASQUERADE,只需要在内核开启以下配置 CONFIG_NF_NAT_IPV6=y CONFIG_IP6_NF_TARGET_MASQUERADE=y 下载iptables软件包 软件包下载地址 Index of /pub/iptables (netfilter.org)http://ftp.netfilter.org/pub/iptables/...
Linux netfilter 学习笔记 之六 ip层netfilterfilter表的创建及其hook函数分析
lickylin的专栏
06-24 3762
Linux netfilter 学习笔记 之五 ip层netfilterfilter表的创建及hook函数分析       今天主要在前两节的基础上,分析filter表的创建,以及filter表的hook回调函数的分析。 1. Filter模块初始化 在前面分析表的注册时,我们知道要注册一个新的xt_table,需要实例化xt_table与ipt_replace这两个结构体。创建fi
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 915
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值