连接跟踪子系统之L3L4协议管理

最新推荐文章于 2023-06-21 16:09:11 发布
最新推荐文章于 2023-06-21 16:09:11 发布
阅读量1k 收藏
点赞数
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter 连接跟踪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu_750516366/article/details/89046916
版权

这篇笔记记录了连接跟踪子系统对L3和L4协议的管理,核心代码涉及如下文件:

代码路径 说明
net/netfilter/nf_conntrack_l3proto.c 对L3和L4协议的管理
include/net/netfilter/nf_conntrack_l3proto.h L3协议相关数据结构定义
include/net/netfilter/nf_conntrack_l4proto.h L4协议相关数据结构定义

1. L3协议管理

每个支持连接跟踪子系统的L3协议(或者说协议族),都必须先向连接跟踪子系统注册自己,实际上就是提供一个struct nf_conntrack_l3proto对象。

1.1 struct nf_conntrack_l3proto

L3协议在连接跟踪子系统中的定义如下:

struct nf_conntrack_l3proto
{
   
	//L3协议号,就是用协议族表示,如PF_INET
	u_int16_t l3proto;
	//协议的名字,如AF_INET协议族为“ipv4”
	const char *name;
	//根据skb内容计算tuple,tuple可以理解为连接的地址,每一个连接有两个tuple,
	//分别表示数据传输的两个方向。nhoff表示L3首部在skb中的偏移,如果计算成功,
	//返回true,否则返回false(必选回调)
	int (*pkt_to_tuple)(const struct sk_buff *skb, unsigned int nhoff,
			    struct nf_conntrack_tuple *tuple);
	//根据orig方向的tuple,计算其反方向的tuple
	int (*invert_tuple)(struct nf_conntrack_tuple *inverse,
			    const struct nf_conntrack_tuple *orig);
	int (*print_tuple)(struct seq_file *s, const struct nf_conntrack_tuple *);
	//数据包进入连接跟踪子系统后,通过检查后,会调用该回调确定返回给Netfilter框架的值,
	//一般来讲,连接跟踪子系统不应该过滤数据包,所以该函数大多数情况下应该返回NF_ACCEPT
	int (*packet)(struct nf_conn *ct, const struct sk_buff *skb,
		      enum ip_conntrack_info ctinfo);
	//如果输入的数据包属于一个新的连接,那么会调用该回调
	int (*new)(struct nf_conn *ct, const struct sk_buff *skb);
	//分析skb首部,解析出L4协议号保存在protonum中,L4报文开始位置距离skb第一个
	//字节的偏移量保存在dataoff中,处理成功返回大于0(必选回调)
	int (*get_l4proto)(const struct sk_buff *skb, unsigned int nhoff,
			   unsigned int *dataoff, u_int8_t *protonum);
	//下面三个字段和Netlink相关,用于和用户空间通信,先忽略
	int (*tuple_to_nlattr)(struct sk_buff *skb,
			       const struct nf_conntrack_tuple *t);
	int (*nlattr_to_tuple)(struct nlattr *tb[]
最低0.47元/天 解锁文章
fanxiaoyu321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter 之 ip 层 netfilter 的 NAT 原理及模块初始化
11-06 964
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
linuxtcpip协议栈分析.doc
12-01
sk_buff 结构是 Linux 网络代码中最重要的数据结构,它在 `<include/linux/skbuff.h>` 中定义,并包含很多成员变量供网络代码中的各子系统使用。 sk_buff 结构的成员变量可以大致分为四类: 1. 布局(Layout)成员...
连接跟踪超时扩展
redwingz的博客
01-16 2036
连接跟踪超时扩展,允许应用层对连接的超时时长进行修改控制。如下,新增IPv4 TCP协议超时策略(tcp0,最大4个字符),其中指定4个状态的超时时长,其它采用默认值。随后,使用iptables命令将此策略应用到所有的连接跟踪tcp报文。 # nfct timeout add tcp0 inet tcp established 1000 close 10 time_wait 10 last_ack 10 # # nfct timeout list .tcp0 = { .l3proto =
netfilter之conntrack连接跟踪
fengcai_ke的博客
07-18 1091
netfilter conntrack
tcp协议概述入门
最新发布
记录工作的点滴收获
06-21 190
tcp协议概述与汇总
skb_buf结构分析-(dm9000-2)
阳光梦的专栏
02-25 1275
转载:http://blog.csdn.net/qq405180763/article/details/8797236         实际上skb_buf结构只是一块已经申请好的套接字缓冲区的指针和属性数据的描述集合,netdev_alloc_skb函数申请到一块套接字缓冲区后,返回记录这块缓冲区信息的skb_buf结构,在各个网络层传输的只是skb_buf结构,换句话说,仅仅是该套接
安全制度-企业内部数据管理制度.docx
03-15
L3L4 级别的数据传输,必须通过安全性传输方式,以保证传输过程中不被泄露。 9. 附则:本制度有公司总部综合管理部附则解释和修订,并不定期核查实行效果。 10. 实施和修订:本制度自发布之日起开始执行。每...
基础电子中的有线电视的TV和FM的介绍
11-23
有线电视系统是现代家庭娱乐的重要组成部分,它通过电缆向用户提供多频道的电视节目。在基础电子领域,了解有线电视的工作原理对于理解和维护家庭电视系统至关重要。本文将重点介绍有线电视终端盒上的TV和FM插孔及其...
微软活动目录管理管理简明手册
12-08
它使物理网络拓朴和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方,或物理上它是如何连接到网络上的。% t! G+ S" E# e9 q 2 \% m) N4 I- I* v4 f. t(2)集中式管理: * [. Y& e' Q6 @,...
电子设计大赛论文
04-26
本系统是基于自动控制原理,针对多通道多样化传感器综合控制; 附录二:软件程序代码 /******循迹程序********/ #include #include "DC_EM.h" //直流电机 #include "SteeringEngine.h" //舵机 #include "tracking....
Volume 3 :Chapter 13. FPGA 管理器2
08-04
- **配置从接口**:接收配置映像,通常是通过L3互联从MPU子系统或其他主器件传输过来,然后传递给数据接口。 - **寄存器从接口**:与L4主外设总线相连,提供对控制和状态寄存器(CSR)的访问,用于读写控制参数。 ...
综合办信息和知识管理.pdf
06-15
此外,还开发了30多个管理信息子系统,包括人力资源、生产营销等多个领域,便于员工、顾客、供应商等获取所需信息。 b) 硬件、技术和制度的结合 公司重视硬件基础设施,配置高性能服务器和交换机,确保网络的稳定性...
汽车电子中的汽车直流日光灯常见故障原因及快除
11-03
8. **T (变压器)**:核心组件,包含L1、L2、L3L4四个绕组,分别承担不同角色,如集电极负载、反馈、灯丝预热等。 9. **L1 (VTl的集电极负载绕组)**:提供VTl工作所需的磁场能量。 10. **L2 (反馈绕组/灯丝预热线圈...
信号与系统:梅森公式例子.ppt
09-17
梅森公式的基本思想是将系统分解成多个子系统,然后计算每个子系统的传递函数,最终将这些传递函数组合起来得到整个系统的传递函数。 在梅森公式中,系统的传递函数可以表示为: G(s) = P1 + P2 + … + Pn 其中,...
ContolLogix系统选型及RSLogix5000软件介绍.pptx
11-29
CompactLogix 1768-L4x系列则面向中型系统,具备集成运动伺服功能,并支持EtherNet/IP和ControlNet等多种网络,用户内存范围为2到3Mbyte。1769-L3x系列为小型到中型系统设计,模块化平台便于扩展,支持 EtherNet/IP ...
Linux L3协议栈 - IPv4 receive
gao139642的博客
04-23 464
ip_rcv 在L2处理结束后,skb将会被传递给L3处理,对skb->protocol等于ipv4的情形,ip_rcv将会被netif_receive_skb或者handle_bridge调用。 在ip_rcv函数中,将不会出现任何路由决策或选项处理的逻辑,该部分将会在函数末尾的ip_rcv_finish中被调用。在此之前,需要经过netfilter中,注册过的ipv4&pre_r...
Linux网络协议之套接字及分层模型
m0_74282605的博客
02-27 290
简单的说,不管我们应用层使用什么协议,都要通过系统调用接口来建立一个SOCKET,这个SOCKET其实是一个巨大的sock结构,它和下面一层的网络协议层联系起来,屏蔽了不同的网络协议的不同,只吧数据部分呈献给应用层(通过系统调用接口来呈献)。在内核分析(收到)网络分组时,底层协议的数据将传递到更高的层。,这一层的目的主要是为了统一不同的接口卡的驱动程序与网络协议层的接口,它将各种不同的驱动程序的功能统一抽象为几个特殊的动作,如open,close,init等,这一层可以屏蔽底层不同的驱动程序。
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
第二十四章:L4协议和Raw IP的处理
weixin_42525458的博客
09-20 1069
笔记
自动驾驶安全探索:白皮书揭示L3L4级别风险平衡
本白皮书聚焦于SAE(美国汽车工程师学会)定义的L3级(有条件自动化)和L4级(高度自动化)自动驾驶系统,探讨如何通过精心设计、验证和确认来确保这些系统的安全性。 一、自动驾驶系统的设计 1. 安全导向设计:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值