linux ip conntrack,如何扩展Linux的ip_conntrack

Linux中有一个基于Netfilter的连接跟踪机制，即ip_conntrack，每一个conntrack表示的就是一个流，该流里面保存了大量的信息字段，这些字段本地有效，指导着数据包的转发策略，但是我觉得这些字段信息还不够详细，试想，一个nfmark字段好像就可以做到一切了，但是我如果想为一个数据流绑定一个字符串怎么办呢？也许你会说使用iptables+ipset+nfmark可以完成一切，这也是UNIX/Linux哲学的风格，一种后现代主义的风格，但是最近我上了不归路，非要在ip_conntrack里面扩充一个字段，为我们产品加入一个基于用户名字符串的访问控制和审计功能，于是我有了以下看似可以的方案，顺便鄙视一下纸上谈兵的人：

1.完全学ipmark的样子，在sk_buff和nf_conn里面均加一个mark字段，分别代表数据包的mark和数据流的mark

作罢的原因：需要重新编译内核，而我不希望为了一个小小的功能重新编译内核，背后的思想是我比较崇尚热插拔。

2.不动sk_buff，只在nf_conn里面加一个字段，skb仅仅作为一个中转，在iptables的target通过skb找到nf_conn，设置nf_conn的info字段

作罢的原因：Linux严格控制内核模块的版本，模块依赖的头文件一点都不能动，如果我改变了net/netfilter/nf_conntrack.h，那么新编译的所有的依赖nf_conntrack.ko的模块中的符号CRC码都会变化从而无法通过内核的验证，我不得不学Netfilter的一个项目xtables-addons中compat-xtables的样子，把所有的会改变CRC码的导出函数全部再重新实现一遍，然而，天啊，我起初的想法太天真了，没完美了的循环依赖，以至于我想骂两句：

第一：

ip_conntrack为何不让人扩展？虽然它有一个extend机制，但是MD简直就是自说自话，全部都是预定义好的，就下面的枚举里面的几类：enum nf_ct_ext_id

{

NF_CT_EXT_HELPER,

NF_CT_EXT_NAT,

NF_CT_EXT_ACCT,

NF_CT_EXT_ECACHE,

NF_CT_EXT_NUM,

};

你加一个新的类型，就会改变内核头文件，既然不让扩展，为何还叫extend呢？你干脆直接放进nf_conn就可以了，搞成extend感觉上好像多么的模块化，多么的可插拔，实际上你能扩展的东西只能是逻辑，而不能是数据结构！

第二：

Linux为何把extend写的那么死呢？当我突然感到这是合理的时候，我就三缄其口了，后面我会说到，数据结构需要可以自解释，即自己解释自己。虽然人可以看到一个结构体马上说出它的含义，但是程序却很难将一堆数据对应到一个结构体！自解释，如果不知道自解释，那就说明你根本就TM就不懂计算机！虽然你可能很精通编程...

思路既然不能扩展nf_conn的extend，也不能在nf_conn本身加新的字段，那么只能重新编译内核了，在重新编译内核的时候，加入且仅仅加入一个extend类型，作为一个中间层，在这个extend中实现一个可插拔的注册机制，以后再想加入新的扩展就可以直接在这个extend的机制上进行了。然而，我还是不想编译内核，这是一个思想！我希望做最小的改动。万事都难不倒偏执的人，我采用了一个常规却不常用的方法，那就是默默地扩展结构体的大小，这也正是在《JAVA编程思想》里面学到的一个思想。

思想这其实是一种OO的思想，找到一个基类，然后扩展它，在扩展继承的过程中实现你自己的逻辑，我扩展的是内核的nf_conn_counter结构体：

struct nf_conn_counter {

u_int64_t packets;

u_int64_t bytes;

};我希望它成为下面的样子：

struct nf_conn_counter {

u_int64_t packets;

u_int64_t bytes;

unsigned char *info;

};但是我又不能改变结构体的定义，所以我采用下面等价的办法：

struct conn_info_extends_nf_conn_counter {

struct nf_conn_counter base;

char *info;

}info是最关键的。我需要做的仅仅就是在为nf_conn_counter分配空间的时候为其多加一个指针的空间即可，至于这个指针指向什么，自有调用者解释。在我的需求中，它可能就是一个字符串，存在info信息。acct_extend原始定义为(之所以选择对acct开刀，是因为它足够简单，在字面上里面，其表示统计信息，加入一个info也无可厚非)：

static struct nf_ct_ext_type acct_extend __read_mostly = {

.len = sizeof(struct nf_conn_counter[IP_CT_DIR_MAX]),

.align = __alignof__(struct nf_conn_counter[IP_CT_DIR_MAX]),

.id = NF_CT_EXT_ACCT,

};

将其修改为：

struct info_compat {

struct nf_conn_counter nc[IP_CT_DIR_MAX];

unsigned char * info;

};

static struct nf_ct_ext_type acct_extend __read_mostly = {

.len = sizeof(struct info_compat),

.align = __alignof__(struct info_compat),

.id = NF_CT_EXT_ACCT,

};

到此为止，我没有修改任何内核头文件，接下来我来写一个测试模块来进行测试：

#include

#include

#include

#include

#include

#include

MODULE_AUTHOR("xtt");

MODULE_DESCRIPTION("gll");

MODULE_LICENSE("GPL");

MODULE_ALIAS("XTT and GLL");

struct nf_info {

struct nf_conn_counter nc[IP_CT_DIR_MAX];

char *info;

};

static unsigned int ipv4_conntrack_info (unsigned int hooknum,

struct sk_buff *skb,

const struct net_device *in,

const struct net_device *out,

int (*okfn)(struct sk_buff *))

{

u32 addr = ip_hdr(skb)->daddr;

// 测试我家的路由器的地址192.168.1.1

if (addr == 0x0101a8c0) {

struct nf_conn *ct;

enum ip_conntrack_info ctinfo;

struct nf_conn_counter *acct;

struct nf_info *info;

unsigned char *cn = NULL;

ct = nf_ct_get(skb, &ctinfo);

if (!ct || ct == &nf_conntrack_untracked)

return NF_ACCEPT;

acct = nf_conn_acct_find(ct);

if (acct) {

info = (struct nf_info *)acct;

info->info = (unsigned char*) kzalloc(32, GFP_ATOMIC);

if (!info->info) {

return NF_ACCEPT;

}

// 测试将1234567890作为字符串设置到conntrack

memcpy(info->info, "1234567890", min(32, strlen("1234567890")));

}

}

return NF_ACCEPT;

}

static struct nf_hook_ops ipv4_conn_info __read_mostly = {

.hook = ipv4_conntrack_info,

.owner = THIS_MODULE,

.pf = NFPROTO_IPV4,

.hooknum = NF_INET_LOCAL_OUT,

.priority = NF_IP_PRI_CONNTRACK + 1,

};

static int __init test_info_init(void)

{

int err;

err = nf_register_hook(&ipv4_conn_info);

if (err) {

return err;

}

return err;

}

static void __exit test_info_exit(void)

{

nf_unregister_hook(&ipv4_conn_info);

}

module_init(test_info_init);

module_exit(test_info_exit);

到底成功了没有呢？我需要将这一切展示在/proc/net/nf_conntrack里面，但是由于我使用了acct机制，所以我需要打开内核的acct选项：

sysctl -w net.netfilter.nf_conntrack_acct=1

真正修改的地方在/net/netfilter/nf_conntrack_standalone.c的ct_seq_show函数：

if (seq_printf(s, "use=%u ", atomic_read(&ct->ct_general.use)))

goto release;

{

struct nf_info {

struct nf_conn_counter acct[2];

char *info;

};

struct nf_conn_counter *acct;

struct nf_info *info;

acct = nf_conn_acct_find(ct);

if (acct) {

info = (struct nf_info *)acct;

if (info->info) {

if (seq_printf(s, "info=%s\n", info->info)) {

goto release;

}

}

}

}

在测试的时候，/proc/net/nf_conntrack中拥有了一个信息：

ipv4     2 tcp      6 431985 ESTABLISHED src=192.168.1.109 dst=192.168.1.1 sport=33591 dport=50 packets=2 bytes=112 src=192.168.1.1dst=192.168.1.109 sport=50 dport=33591 packets=1 bytes=60 [ASSURED] mark=0 zone=0 use=2  info=1234567890

这就说明这种方法是可行的，改动的地方并不多，关键是你要找到一个危险性最少的开刀部位，然后按照OO的思想扩展它，给它它所有没有的行为。曾经，我对nat的extend进行了偷梁换柱，但那是不对的，正确的做法是在原有结构体的地址后面紧跟着进行扩展，类似0长度数组那种。

我需要解释一下程序的自解释了。Linux在实现nf_conntrack的extend的时候，为何将类型数值以及定义的顺序用一个枚举写死呢？换句话说那就是为何不允许用户随意定义extend呢？答案是：那很难！Why？试想，如果我把一个结构体给了一个extend type。请问我把这个type存在哪？除了事先自定义一个type序列，仅存的办法就是把这个type序列存在extend本身了，这就遇到了一个循环定义的问题，我们对此是没有办法的，一个程序很难看到一对数字后，然后就可以把它们看作一个结构体，起码的字段分界就无法解决。虽然可以用OO的思想之外，剩下的解决方案就是寻求一种自解释的数据格式。我能想到的就是ASN.1了。实际上，ASN.1也是一种事先定义的类型格式序列，只不过该序列是经过标准化的而已，一个ASN.1序列是不需要解释的，它可以自己解释自己，需要的仅仅是文档。一个ASN.1序列可以将一段数据解释为一个结构体，或者反过来也可以。OpenSSL里面的d2i/i2d就是做这个的。难道不是吗？

清明时节雨纷纷，就这样在没有雨的一整天过去了，没有从《JAVA编程思想》中看到什么思想，依然没有感悟到JAVA的思想，依然没有。