linux设置连接跟踪老化时间,Linux 连线跟踪流程整理(linux-2.6.31)

最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布
阅读量890 收藏
点赞数
文章标签: linux设置连接跟踪老化时间
本文详细介绍了Linux内核2.6.31中的连线跟踪流程,包括主要的数据结构如net、nf_conntrack_tuple等,并展示了从初始化到ipv4_conntrack_in和ipv4_confirm的处理过程。通过这些流程,解释了如何创建、确认新的网络连接并进行追踪。
摘要由CSDN通过智能技术生成

author: jonathan

本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。

Linux 连线跟踪流程整理(linux-2.6.31)

0 主要数据结构

0.1

/

*linux内核中抽象出一个net结构,代表了网络协议.其内部是协议族相关的数据结构.对于PF_INET来说,这里重点就是连线跟踪表

*/

struct net {

atomic_t

count;

...

#ifdef CONFIG_NETFILTER

struct netns_xt

xt; #if defined(CONFIG_NF_CONNTRACK) ||

defined(CONFIG_NF_CONNTRACK_MODULE)

struct netns_ct   ct;

#endif

#endif

#ifdef CONFIG_XFRM

struct netns_xfrm xfrm;

#endif

struct net_generic *gen;

};

struct netns_ct {

atomic_t   count;

unsigned int

expect_count;

struct hlist_nulls_head *hash;

struct hlist_head *expect_hash;

struct hlist_nulls_head unconfirmed;

struct hlist_nulls_head dying;

struct ip_conntrack_stat *stat;

....

int

hash_vmalloc;

int

expect_vmalloc;

};

struct hlist_nulls_node {

struct hlist_nulls_node *next, **pprev;

};

#define INIT_HLIST_NULLS_HEAD(ptr, nulls) \

((ptr)->first = (struct hlist_nulls_node *) (1UL |

(((long)nulls) << 1)))

static struct pernet_operations nf_conntrack_net_ops = {

.init = nf_conntrack_net_init,

.exit = nf_conntrack_net_exit,

};

static int __init nf_conntrack_standalone_init(void)

{

return

register_pernet_subsys(&nf_conntrack_net_ops);

}

0.2

struct nf_conntrack_tuple

{

struct nf_conntrack_man src;

struct {

union nf_inet_addr u3;

u_int8_t protonum;

u_int8_t dir;

} dst;

};

struct nf_conntrack_tuple {

struct nf_conntrack_man src;

struct {

union nf_inet_addr u3;

union {

__be16 all;

struct {

__be16 port;

} tcp;

struct {

__be16 port;

} udp;

struct {

u_int8_t type, code;

} icmp;

struct {

__be16 port;

} dccp;

struct {

__be16 port;

} sctp;

struct {

__be16 key;

} gre;

} u;

u_int8_t protonum;

u_i

最低0.47元/天 解锁文章
weixin_39621044
关注
linux设置超时会话_为PHP会话设置超时。
IT与开发人员的地盘
07-10 644
linux设置超时会话 介绍 在本文中,我旨在解释为什么在一段不活动的时间后PHP会话到期的原因以及这种机制的工作原理。 我将描述两种常用的方法来控制会话的生存期,并在代码中演示如何做到这一点。 问题 PHP的会话机制允许我们在服务器上为客户端存储数据,以使其通过多个请求持久化。 但是,因为数据本身存储在服务器上,并且将客户端连接到服务器上各自会话的唯一方法是简单的cookie,所以这引起...
linux命令台如何设置会话时间,让 sudo 会话时间随心所欲
weixin_30555169的博客
04-29 705
导读sudo命令是权限委派的命令,在生产环境中是非常常用的,默认情况下sudo命令会话时间是在15分钟。本文中,我们将介绍在 Ubuntu Linux 中使 sudo 密码会话(超时)更长或更短。sudo命令是权限委派的命令,在生产环境中是非常常用的,默认情况下sudo命令会话时间是在15分钟。本文中,我们将介绍在 Ubuntu Linux 中使 sudo 密码会话(超时)更长或更短。要设置 su...
Netfilter之连接跟踪实现机制初步分析
Simple‘s Blog
08-17 1002
1.  前言   Netfilter中的连接跟踪模块作为地址转换等的基础,在对Netfilter的实现机制有所了解的基础上再深入理解连接跟踪的实现机制,对于充分应用Netfilter框架的功能和扩展其他的模块有着重大的作用。本文只是简要的分析连接跟踪的整体框架,其中的重要数据结
dpvs 连接会话老化处理逻辑
shaoyunzhe的专栏
10-26 2765
前提知识储备,dpdk 定时器:http://blog.csdn.net/linzhaolover/article/details/9410529 rte_get_timer_hz() 获得CPU主频(1s多少个cycle) dpvs 配置文件为dpvs.conf dpvs 代码分析: 1、核线程配置     dpvs设计沿用了dpdk对每个cpu核线程的操作,每个cpu核线
(八)洞悉linux下的Netfilter&iptables:状态防火墙
01-23 1126
基于连接跟踪机制的状态防火墙的设计与实现 连接跟踪本身并没有实现什么具体功能,它为状态防火墙和NAT提供了基础框架。前面几章节我们也看到:从连接跟踪的职责来看,它只是完成了数据包从“个性”到“共性”抽象的约定,即它的核心工作是如何针对不同协议报文而定义一个通用的“连接”的概念出来,具体的实现由不同协议自身根据其报文特殊性的实际情况来提供。那么连接跟踪的主要工作其实可以总结为:入口处,收到一个数据
linux-2.6.31
05-01
linux 2.6.31源码,官方版本。
linux-2.6.31_2
11-11
linux-2.6.31源代码,想学习linux内核的可以看看。
TX2440A linux-2.6.31
04-30
移植完全的内核源码,基于tx2440开发板!
linux2.6.31 移植及详细教程方案
10-17
本教程“linux2.6.31 移植及详细教程方案”旨在为开发者提供一个详尽的指导,帮助他们将Linux 2.6.31内核移植到基于ARM的TX2440A开发板上。这个过程涵盖了从理解内核源码到配置、编译以及调试的整个流程,对于嵌入式...
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 880
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
连接跟踪TCP协议连接超时
redwingz的博客
01-08 3991
全局数组tcp_timeouts定义了默认的各个状态下TCP连接的超时时长。其中连接建立状态下的空闲超时时长最长,为5天。 static const unsigned int tcp_timeouts[TCP_CONNTRACK_TIMEOUT_MAX] = { [TCP_CONNTRACK_SYN_SENT] = 2 MINS, [TCP_CONNTRACK_SYN_RECV] = 60 SECS, [TCP_CONNTRACK_ESTABLISHED] = 5 DAY
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3150
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
cache老化时间的思考--以nat为例
Netfilter
05-05 5522
局域网越来越大,于是有人提出了vlan,vlan越来越依赖多而快的端口,于是有人做出了三层交换机,实际上三层交换机仅仅对直接下挂的主机性能有较大的提升,对远端的主机效果要么不大,要么根本没有,说白了三层交换机就是在学以太网交换机的样子,本质上就是加了一个cahce功能,使得ip地址直接与端口保持映射,这样就不必再解包,路由,封包了,因此三层交换机是基于流的,并且只要是基于流的都会有老化机制。在ca
Linux中网络配置_NAT
LZ_DG
12-21 480
1、NAT 步骤: (1)首先确认虚拟机网络适配器设置是否是NAT (2)查看虚拟网络编辑器 (3)在网络配置文件中添加修改信息 详细: (1)首先确认虚拟机网络适配器设置是否是NAT (2)查看虚拟网络编辑器 查看子网ip、nat设置中的网关,保证两者一致。 (3)在网络配置文件中添加修改信息 ①删除UUID这一行 ②修改添加信息 ...
解决 Linux NAT ip_conntrack: table full 的方法
duoerbasilu
01-13 189
Web服务器用了一段时间,随意间使用dmesg命令后竟然发现了一些奇怪的内核日志,如下: ip_conntrack: table full, dropping packet. 后来才知道, Linux TCP 的 ip_conntrack 模块会记录 tcp 通讯协议的 established connection 记录, 而且默认 timeout 时间长达五天 (432,000 ...
(六)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?【中】
weixin_30387799的博客
07-24 106
Netfilter连接跟踪的详细流程 上一篇我们了解了连接跟踪的基本框架和大概流程,本篇我们着重分析一下,数据包在连接跟踪系统里的旅程,以达到对连接跟踪运行原理深入理解的目的。 连接跟踪机制在Netfilter框架里所注册的hook函数一共就五个:ip_conntrack_defrag()、ip_conntrack_in()、ip_conntrack_local()...
浅析 /proc/net/nf_conntrack 文件(转)
时间是把杀刀猪
12-03 2732
/proc/net/nf_contrack连接跟踪文件,它里面的内容由 nf_conntrack.ko 模块写入。在 iptables 中使用 -m state 选项时,iptables 不但加载 xt_state.ko 模块,且 nf_conntrack.ko 模块也会被加载进来。一般而言,xt_state.ko 和 nf_conntrack.ko 这两个模块在许多 Linux 发行版里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值