netfilter nf_ct_get获得连接状态返回为空的问题

最新推荐文章于 2022-07-18 19:44:29 发布
最新推荐文章于 2022-07-18 19:44:29 发布
阅读量3k 收藏 2
点赞数
分类专栏: linux内核 文章标签: nf_ct_get
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yldfree/article/details/79298626
版权

struct nf_conn *ct = NULL;

enum ip_conntrack_info ctinfo;

ct = nf_ct_get(skb,&ctinfo);获得连接状态.

但ct返回去的结果为空,这怎么回事,只能查找内核看看啥原因,

这个首先要看看ct这个东西是什么时候创建的了,经过看内核,发现这个结构体是在ipv4_conntrack_in和ipv4_conntrack_local时候产生的,那么这两个是干什么的呢,跟踪后发现这两个是netfilter的两个钩子ipv4_conntrack_ops[] 这个数组中进行了初始化,

在继续往上跟,ipv4_conntrack_ops这个数组是在nf_conntrack_l3proto_ipv4_init中通过nf_register_hooks进行了注册,那么nf_conntrack_l3proto_ipv4_init这个是什么东东,继续发现,他是个模块的初始化函数(module_init(nf_conntrack_l3proto_ipv4_init)),到这明白,原来nf_ct_get若能正常返回,需要依赖一个模块,而此模块为nf_conntrack_ipv4,通过用modprobe nf_conntrack_ipv4加载模块后,在调用nf_ct_get就能正常获得连接状态

yldfree
关注
专栏目录
Linux Kernel TCP/IP Stack — L3 Layer — netfilter 框架 — conntrack(CT连接跟踪)
烟云的计算
07-17 4972
目录 文章目录目录CT CT CT(conntrack,connection tracking,连接跟踪),顾名思义,就是跟踪(并记录)连接状态,是许多网络应用的基础。例如:iptables、LVS/IPVS、OvS、Docker Network、Kubernetes Service、ServiceMesh Sidecar 等。 需要注意的是,CT 中的 connection,与 TCP 的 connection 并不完全相同。CT 中,一个 IP 5-tuple 定义的一条 Flow 就表示一条 Con
linux内核协议栈 netfilter连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2024
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
netfilter连接跟踪(conntrack)详述
alittlefish1的博客
08-30 1万+
netfilter连接跟踪(conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
在Linux的连接跟踪(nf_conntrack)中缓存私有数据省去每次查找
weixin_33937778的博客
11-12 144
前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新型的扩展,却不得不重新编译内核; 怎 么办?我曾经很生气地默默指责过当初实现这...
netfilter之conntrack连接跟踪
fengcai_ke的博客
07-18 1220
netfilter conntrack
Netfilter学习之NAT类型动态配置(四)nf_nat_core.c源码解析
ty的博客
04-06 4234
  在研究了masquerade的用户空间和内核源码之后,我们发现最后进入了nf_nat_setup_info()函数,该函数位于nf_nat_core.c之中,是Netfilter的NAT表核心函数的实现。 1 nf_nat_core.c源码分析   本小节分析了nf_nat_core的源码,重点分析当Iptables指定的钩子函数激活后,在Netfilter中是如何识别和起作用的。这里...
Linux内核连接跟踪框架概述
redwingz的博客
10-23 2516
连接跟踪的入口函数nf_ct_netns_get如下。其根据Netfilter定义的协议类型分为两个分支,如果协议类型为NFPROTO_INET,同时初始化两种NF协议NFPROTO_IPV4和NFPROTO_IPV6;反之,如果协议类型不等于NFPROTO_INET,按照指定的协议类型nfproto进行初始化。 int nf_ct_netns_get(struct net *net, u8 nf...
利用nf_conntrack机制存储路由,省去每包路由查找
tycoon的专栏
05-04 811
最终生成的IP数据报的路由称为目的入口(dst_entry),目的入口反映了相邻的外部主机在本地主机内部的一种“映象”,目的入口在内核中的定义如下 struct dst_entry {     struct dst_entry    *next;     atomic_t            __refcnt;     int                 __use;    
linux内核协议栈 netfilter连接跟踪子系统核心数据结构 struct nf_conn
11-01 2064
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
Linux下快速解析nf_conntrack
staticnetwind的专栏
07-08 2033
1. 背景 回顾了项目需求是系统的统计tcp连接数; 于是想到了 nf_conntrack 这个Linux内核提供的记录和跟踪连接状态的功能; 然后写了个程序解析 /proc/net/nf_conntrack这个映射文件,后来悲剧就发生了,当conntrack表记录变增加到1w以上之后,解析速度急速下降,到了10w规模后,解析耗时几十秒都不能完成,,, 终于后来翻到了netfilter的老巢,发现了解决方法:libnml、libnetfilter_conntrack 2. 使用 核心原理是通过netlink
连接跟踪实现框架
rondyning的博客
05-28 586
1 概述 ​ 连接跟踪模块用于维护可跟踪协议的连接状态,即连接跟踪针对特定协议的报文进行处理,而不是所有的协议报文。其为每一个经过网络协议栈的数据包,生成一个新的连接记录项 。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接状态连接跟踪是状态防火墙和NAT的实现基础。 2 框架 netfilter各个模块注册在hook点上的hook函数示意图: 从上图可以看出连接跟踪模块注册的钩子函数在netfilter的钩子点以及所处优先级 三种不同方向的报文经过连接跟踪模块的处理过程: 发往本机的
linux内核协议栈 netfilter连接跟踪子系统初始化
11-03 587
目录 1 连接跟踪模块概述 2核心初始化入口module_init(nf_conntrack_standalone_init); 2.1创建/proc/net/nf_conntrack只读文件nf_conntrack_standalone_init_proc() 2.2 注册 /proc/sys/ 下相关文件 3 核心初始化nf_conntrack_init() 3.1 hash表大小计算、L3L4协议栈模块、helper模块初始化 3.1.1L3L4协议栈模块初始化 3.1.2...
一个复杂的nf_conntrack实例全景解析
Netfilter
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其中最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
netfilter链接跟踪实现之nf_conntrack_in函数
City_of_skey的博客
12-10 3178
1、数据包方向 要分析连接链接跟踪的实现我们就要先分析数据包在协议栈中的方向,总的来说主要分为三个方向:本机转发的数据包、本机接受的数据包、本机产生的数据包,我们之前分析了连接跟踪只在四个链上注册了钩子函数,分别是PRE_ROUTING链、OUT链、LOCAL_IN链、POST_ROUTING链。PRE_ROUTING链上注册的是ipv4_conntrack_in,OUT链上注册的是ipv4_c...
Linux so helper,Linux Kernel Netfilter Helper 分析
weixin_32566055的博客
05-13 78
linux netfilter 与helper相关的hook:点击(此处)折叠或打开{.hook = ipv4_conntrack_in,.owner = THIS_MODULE,.pf = PF_INET,.hooknum = NF_IP_PRE_ROUTING,.priority = NF_IP_PRI_CONNTRACK,}{.hook = ipv4_conntrack_help,.owne...
Linux基于mark的策略路由以及nf_conntrack RELATED
Netfilter
10-21 1万+
谈到什么是意义,话题总显得很大,近日每晚都和老城里的朋友聊老城的文化,老城的老房子,老城的叫卖声,老城的方言…进行了很多的思考,也挺充实。至于技术方面,也有跟朋友以及前同事聊过,这些都是意义。又到了周末,早早起来写一篇技术总结,至于老城的话题,我会在朋友圈零零散散地写。本文关键词:Linux策略路由,nf_conntrack,socket,路由缓存再谈“哪里来的回哪里”当人们部署双线服务器时,比如一
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
linux内核协议栈 netfilter 之 ip 层 netfilter 的 NAT 原理及模块初始化
11-06 1021
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip层的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
linux nf_conntrack 连接跟踪机制 3-hook
weixin_30340617的博客
05-12 416
conntrack hook函数分析 enum nf_ip_hook_priorities { NF_IP_PRI_FIRST = INT_MIN, NF_IP_PRI_CONNTRACK_DEFRAG = -400//优先级最大, 涉及到ip 分片重组 NF_IP_PRI_RAW = -300, NF_IP_PRI_SELINUX_F...
Linux v2.13.6下的nf_tables地址族信息注册
资源摘要信息:"nf_tables_api.rar_V2是一个关于Linux内核中nf_tables API的资源文件,适用于Linux版本2.13.6。本文件中包含了nf_tables地址族信息注册的核心代码。" 知识点一:nf_tables简介 nf_tables是Linux内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值