使用iptables CONNMARK target和conntrack 模块记录数据流的转发状态

最新推荐文章于 2024-08-22 14:43:49 发布
最新推荐文章于 2024-08-22 14:43:49 发布
阅读量4.8k 收藏 4
点赞数
分类专栏: Netfilter/Iptables/Ebtables 文章标签: iptables linux内核 Netfilter CONNMARK CONNTRACK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxygww/article/details/44225377
版权

1、每个数据流在linux 内核中由一个struct sk_buff结构来表示,这个sk_buff结构有一个32位无符号整型的mark成员,用来保存该skb的mark标记值,在netfilter框架中可以动态修改该mark值。

2、每条在linux内核中成功转发的数据流都会在netfilter中的conntrack模块中保存一条状态跟踪连接记录,这是个struct nf_conn结构,该结构中有一个32位无符号整型的mark成员,用来保存该记录的标记值。

注:未被成功转发的数据流(如被防火墙拦截了),不会在系统中记录其conntrack信息。


默认情况下,在一条数据流被linux成功转发时,struct sk_buff中的mark值不会保存到struct nf_conn结构中的mark成员中,struct nf_conn结构中的mark值始终为0。


使用iptables ... -j CONNMARK --bit-save-mark --nfmask 0xffff0000 --ctmask 0xffffffff 可以将当前匹配的数据流skb的mark值保存在conntrack的mark值中。

使用iptables ...-j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffff  可以对当前匹配的数据流进行mark值的恢复操作,将该数据流在conntrack模块中对应的记录struct nf_conn中的mark值提取出来保存在当前数据流sk_buff的mark值中。

注:支持mark值的位存储和恢复。


应用:

1、在系统中存在大量的iptables/ebtables规则时,一条数据流被转发需要消耗大量的CPU时间,会严重影响设备的throughput。

方案:使用CONNMARK 的save-mark/retore-mark机制可以用来保存skb的最终状态,使得netfilter可以提前预判该数据包的最终状态(ACCEPT/DROP和其MARK值),实现对该数据流快速转发,且最终状态完成符合整个netfilter框架的完整处理结果。

详细设计:

a. 在Mangle 的PREROUTING最开始,对特定的数据流进行匹配执行CONNMARK --restore-mark的操作,然后根据其skb的mark值中的特定Bit来判断其状态是被ACCEPT还是DROP,如果是ACCEPT则提供ACCEPT该skb,然后在每个tables的主chain中执行判断是否提前ACCEPT的操作。

b. 在Mangle的POSTROUTING中,对满足条件的数据流打上ACCEPTed的标记(skb->mark),然后执行CONNMARK save-mark的操作将skb的mark值保存到conntrack对应的记录中。

c. 当netfilter的规则发生任何变化时,需要调用conntrack -U -m 0 shell命令,将当前conntrack模块中的所有状态跟踪记录的mark值设置为0。保证所有数据包的状态不受旧的规则的影响,在新的netfilter规则框架下,conntrack记录中的每个数据流都能够得到正确的逻辑处理和状态结果。


注意:使用该方案后,系统中转发的数据流的计数就不能通过netfilter规则的执行次数记录来确定了。



中下游国外我
关注
专栏目录
nlbwmon:基于简单conntrack的流量统计
05-08
nlbwmon-基于简单conntrack netlink的流量统计 描述 可以在Linux路由器上使用nlbwmon监视网络主机使用的带宽。 收集网络统计信息并将其存储在数据库中。 客户端实用程序(nlbw)可以查询守护程序以获取当前统计信息。 默认情况下,nlbwmon从一个月的第一天开始跟踪一个月间隔内使用的带宽。 对于每个间隔,将保留一个数据库,默认情况下最多保留10个数据库,之后将删除最旧的数据库。 nlbwmon按IP版本(ipv4 / ipv6),IP地址,MAC地址和layer7协议(即端口号)跟踪流量。 所有跟踪信息都保存在数据库中。 默认协议文件包含大约45个端口定义。 用户可以根据需要在此文件中添加/删除端口。 与端口定义不匹配的所有流量都归类为“其他”。 注意:如果用户对第7层协议信息不感兴趣,则从协议文件中删除所有protcool会将所有流量分类为“其他”,
iptablesCONNMARKMARK
Wait for 的专栏
01-10 7206
iptablesCONNMARKMARK Posted on January 24, 2012 iptablesCONNMARKMARK是用于给数据连接和数据包打标记的两个target。一直没搞明白二者的区别。直到昨天花了不少时间解决openwrt下多路合并时工行网银登录问题,才大致弄清这两个target的用法。 两者的区别在于,同样是打标记,但CONNMARK
conntrack表如何查看
最新发布
lonelyhiker
08-22 373
conntrack表是管理和监控网络连接状态的关键工具,特别是在使用 NAT 时。通过sysctl和conntrack工具,你可以查看表的当前使用情况、调整表大小,并对特定连接进行深入分析。这些操作有助于预防和排查网络连接问题,提高系统的稳定性和性能。
conntracct:低开销,实时网络流量监控,由eBPF和conntrack提供支持
03-17
连贯性 Conntracct是一种用于从Linux主机,防火墙,网关,容器或虚拟化主机(甚至是中高端嵌入式设备)提取网络流信息的工具。 它不会以任何方式捕获或分析数据包,而是以最小的开销使用eBPF挂接到Conntrack的计费子系统。 概述 Conntracct包含一个度量标准管道,该度量标准管道支持将用于单个网络流的数据包/字节计数器运送到后端,例如InfluxDB和ElasticSearch,可以在其中实时查询和可视化它们。 兼容性 支持以下主要发行版: 德比安 拉紧 克星 的Ubuntu Xenial(带有硬件启用内核) 仿生的 费朵拉 Arch Linux 最低要求的内核版本是4.9。 对于具有滚动版本的发行版,随着内核内部数据结构随着时间的推移而发展,预计会出现破坏。 如果在滚动发行版上运行项目时遇到任何问题,请创建一个问题。 路线图 针对amd64 Linux机器的
iptables深入解析-mangle篇
weixin_34107739的博客
08-08 2312
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
linux查看vxlan命令,介绍Linux系统下的conntrack命令:允许您检查和修改跟踪的连接...
weixin_39959794的博客
04-28 786
以下介绍Linux操作系统下的conntrack命令,conntrack允许您检查和修改跟踪的连接,将检查连接跟踪表和存储在跟踪流中的NAT信息。本文的内容有:Conntrack状态表、Conntrack状态表和NAT、Conntrack扩展、插入和更改条目、删除条目、Conntrack错误计数器。介绍通过iptables或nftables配置的NAT建立在netfilters连接跟踪工具之上。c...
iptablesconntrack表满了导致访问网站很慢.docx
09-26
iptablesconntrack表是Linux内核中用于网络连接跟踪的一个重要机制,它的主要作用是记录和管理通过iptables规则的网络连接状态。当conntrack表填满时,可能会导致访问网站速度变慢,甚至出现丢包和连接失败的问题...
linux平台上用iptables实现数据转发.pdf
09-06
linux平台上用iptables实现数据转发.pdf
ansible_iptables_raw, 用于Ansible的iptables模块,可以保持状态.zip
09-17
ansible_iptables_raw, 用于Ansible的iptables模块,可以保持状态 iptables_raw用于Ansible的MODULE,它可以轻松管理 iptables 并保持状态。文档MODULE 文档插件使用Ansible管理Iptables是一个简单的方法- 博客文章...
ansible_iptables_raw:保持状态的Ansible iptables模块
05-23
Ansible模块,可轻松管理iptables并保持状态。 文献资料 博客文章 安装 要使用iptables_raw模块,只需将文件复制到./library ,再复制到顶层剧本,或者将其复制到ANSIBLE_LIBRARY或--module-path命令行选项指定--...
使用Linux中的iptables完成NAT转发服务
m0_52614540的博客
05-08 1913
如果使用vi /etc/sysconfig/iptables命令查看iptables配置文件,就会发现多了一条nat表的snat转发规则。找到 net.ipv4.ip_forward = 1 这一条,确保后面的值为1就行,如果没有这一条,手动加进去。第二步:设置iptables 的NAT转发规则,在有公网的服务器上(别忘修改为自己对应转发的IP地址)保存退出,然后使用 sysctl -p 命令使上面的修改生效。第三步:重启iptables使规则生效。#查看与编辑iptables文件信息。
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 5138
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
连接跟踪流量统计
redwingz的博客
03-27 1226
连接跟踪的流量统计由扩展acct_extend实现,模块初始化函数nf_conntrack_acct_init注册连接跟踪扩展。 static const struct nf_ct_ext_type acct_extend = { .len = sizeof(struct nf_conn_acct), .align = __alignof__(struct nf_conn_acct), .id = NF_CT_EXT_ACCT, }; int nf_conntrack_acc
对Netfilterconntrack机制的理解
dhRainer的博客
10-26 8582
对Netfilterconntrack机制的理解0x 01 状态防火墙和链接追踪系统0x 02 五种状态0x 03基础结构0x 04 conntrack创建以及查询过程0x 05 碎片处理0x 06 helpers和期望0x 07 参考 0x 01 状态防火墙和链接追踪系统 认识和熟悉过iptables之后,更加感叹netfilter的磅礴和浩瀚。在netfilter体系中,状态跟踪机制(...
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
netfilter连接跟踪(conntrack)详述
alittlefish1的博客
08-30 1万+
netfilter连接跟踪(conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
iptables - MARKCONNMARK使用案例
to_be_better_wen的博客
01-15 1454
iptables MARKCONNMARK使用案例
Linux基于mark的策略路由以及nf_conntrack RELATED
Netfilter
10-21 1万+
谈到什么是意义,话题总显得很大,近日每晚都和老城里的朋友聊老城的文化,老城的老房子,老城的叫卖声,老城的方言…进行了很多的思考,也挺充实。至于技术方面,也有跟朋友以及前同事聊过,这些都是意义。又到了周末,早早起来写一篇技术总结,至于老城的话题,我会在朋友圈零零散散地写。本文关键词:Linux策略路由,nf_conntrack,socket,路由缓存再谈“哪里来的回哪里”当人们部署双线服务器时,比如一
conntrack作用和原理
toyijiu的专栏
05-20 516
ConntrackConnection Tracking)是Linux内核中的一个重要模块,它的主要作用是跟踪和维护网络连接的状态信息。Conntrack模块位于内核协议栈的网络层和传输层之间,对经过系统的所有网络数据包进行跟踪和记录
iptables conntrack模块
05-20
iptables conntrack模块iptables的一个内核模块,它可以跟踪网络连接的状态并在iptables规则中使用。该模块可以用于限制或允许特定类型的网络流量,例如可以设置规则只允许已经建立的连接通过,或者阻止非法的网络连接等。 使用iptables conntrack模块需要先启用内核的连接跟踪功能,通常是通过加载nf_conntrack模块来实现。然后,使用iptables命令来设置规则,规则可以根据连接状态、源地址、目标地址、协议、端口等条件进行匹配和过滤。 例如,以下命令可以限制只允许已经建立的TCP连接通过: ``` iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --syn -j DROP ``` 以上命令中,第一条规则允许已经建立的连接通过,第二条规则阻止所有尝试建立新连接的TCP流量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值