2. 程式人生 > >netfilter連線跟蹤初始化

netfilter連線跟蹤初始化

阿新 發佈:2018-12-16

連線跟蹤的初始化主要有三個地方

(1)連線跟蹤本身初始化。

(3)在對應的Hook上註冊連線跟蹤的處理函式。

(4)初始化連線跟蹤和三層協議、四層協議相關的函式。

1、連線跟蹤本身初始化

連線跟蹤本身初始化函式是nf_conntrack_net_init主要做兩件事情:為連線跟蹤分配slab緩衝、初始化後proc檔案系統

1.1、nf_conntrack_net_init

nf_conntrack_net_init是連線跟蹤初始化的入口函式,主要呼叫nf_conntrack_init函式分配slab緩衝,呼叫nf_conntrack_standalone_init_proc初始化proc檔案系統。

static int nf_conntrack_net_init(struct net *net)
{
	int ret;

	/*初始化*/
	ret = nf_conntrack_init(net);
	if (ret < 0)
		goto out_init;
	/*proc檔案系統初始化*/
	ret = nf_conntrack_standalone_init_proc(net);
	if (ret < 0)
		goto out_proc;
	net->ct.sysctl_checksum = 1;
	net->ct.sysctl_log_invalid = 0;
	ret = nf_conntrack_standalone_init_sysctl(net);
	if (ret < 0)
		goto out_sysctl;
	return 0;

out_sysctl:
	nf_conntrack_standalone_fini_proc(net);
out_proc:
	nf_conntrack_cleanup(net);
out_init:
	return ret;
}

1.2、nf_conntrack_init

nf_conntrack_init主要呼叫nf_conntrack_init_init_ net

int nf_conntrack_init(struct net *net)
{
	int ret;

	if (net_eq(net, &init_net)) {
		ret = nf_conntrack_init_init_net();
		if (ret < 0)
			goto out_init_net;
	}
	ret = nf_conntrack_init_net(net);
	if (ret < 0)
		goto out_net;

	if (net_eq(net, &init_net)) {
		/* For use by REJECT target */
		rcu_assign_pointer(ip_ct_attach, nf_conntrack_attach);
		rcu_assign_pointer(nf_ct_destroy, destroy_conntrack);

		/* Howto get NAT offsets */
		rcu_assign_pointer(nf_ct_nat_offset, NULL);
	}
	return 0;

out_net:
	if (net_eq(net, &init_net))
		nf_conntrack_cleanup_init_net();
out_init_net:
	return ret;
}

1.3、nf_conntrack_init_init_net

static int nf_conntrack_init_init_net(void)
{
	int max_factor = 8;
	int ret;

	/* Idea from tcp.c: use 1/16384 of memory.  On i386: 32MB
	 * machine has 512 buckets. >= 1GB machines have 16384 buckets. */
	if (!nf_conntrack_htable_size) {
		/*取記憶體的16384分之一*/
		nf_conntrack_htable_size
			= (((totalram_pages << PAGE_SHIFT) / 16384)
			   / sizeof(struct hlist_head));
		/*記憶體大於1G則取16384*/
		if (totalram_pages > (1024 * 1024 * 1024 / PAGE_SIZE))
			nf_conntrack_htable_size = 16384;
		if (nf_conntrack_htable_size < 32)
			nf_conntrack_htable_size = 32;

		/* Use a max. factor of four by default to get the same max as
		 * with the old struct list_heads. When a table size is given
		 * we use the old value of 8 to avoid reducing the max.
		 * entries. */
		max_factor = 4;
	}
	nf_conntrack_max = max_factor * nf_conntrack_htable_size;

	printk(KERN_INFO "nf_conntrack version %s (%u buckets, %d max)\n",
	       NF_CONNTRACK_VERSION, nf_conntrack_htable_size,
	       nf_conntrack_max);

	/*初始化三層協議陣列nf_ct_l3protos*/
	ret = nf_conntrack_proto_init();
	if (ret < 0)
		goto err_proto;

	ret = nf_conntrack_helper_init();
	if (ret < 0)
		goto err_helper;

#ifdef CONFIG_NF_CONNTRACK_ZONES
	ret = nf_ct_extend_register(&nf_ct_zone_extend);
	if (ret < 0)
		goto err_extend;
#endif
	/* Set up fake conntrack: to never be deleted, not in any hashes */
#ifdef CONFIG_NET_NS
	nf_conntrack_untracked.ct_net = &init_net;
#endif
	atomic_set(&nf_conntrack_untracked.ct_general.use, 1);
	/*  - and look it like as a confirmed connection */
	set_bit(IPS_CONFIRMED_BIT, &nf_conntrack_untracked.status);

	return 0;

#ifdef CONFIG_NF_CONNTRACK_ZONES
err_extend:
	nf_conntrack_helper_fini();
#endif
err_helper:
	nf_conntrack_proto_fini();
err_proto:
	return ret;
}

2、註冊連線跟蹤的hook函式

2.1、ipv4_defrag_ops

在PREROUTING和OUT鏈上註冊ipv4_conntrack_defrag,這個函式主要是對資料包進行分片操作,PREROUTING和OUT鏈都是netflter框架的兩個入口,一個是接受外界的資料入口,一個是本機產生資料包的入口。

static struct nf_hook_ops ipv4_defrag_ops[] = {
	{
		/*對資料進行分片*/
		.hook		= ipv4_conntrack_defrag,
		.owner		= THIS_MODULE,
		.pf		= PF_INET,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_DEFRAG,
	},
	{
		.hook           = ipv4_conntrack_defrag,
		.owner          = THIS_MODULE,
		.pf             = PF_INET,
		.hooknum        = NF_INET_LOCAL_OUT,
		.priority       = NF_IP_PRI_CONNTRACK_DEFRAG,
	},
};

2.2、ipv4_conntrack_ops

netfilter框架有兩個入口(PREROUTING鏈、OUT鏈),兩個出口(LOCAL_IN鏈、POSTROUTING鏈),PREROUTING是接受外界資料包進入的第一個鏈,OUT鏈是本機產生資料包進入的第一個鏈。LOCAL_IN是本機接受資料包的最後一個鏈,POSTROUTING是資料包前送最後一個鏈。所以在PREROUTING、OUT鏈上註冊ipvr_conntrack_in函式建立連線跟蹤,在LOCAL_IN和POSTROUTING鏈上註冊ipv4_confirm確認一條連線跟蹤。

static struct nf_hook_ops ipv4_conntrack_ops[] __read_mostly = {
	{
		/*剛進入netfilter框架在第一個PREROUTEING鏈上建立連線跟蹤*/
		.hook		= ipv4_conntrack_in,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		/*本機產生的資料包在OUT鏈上建立連線跟蹤*/
		.hook		= ipv4_conntrack_local,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		/*資料包最後出去在POSTROUTING鏈上連線跟蹤確認*/
		.hook		= ipv4_confirm,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
	{
		/*在LOCAL_IN鏈進入本機的資料連線跟蹤確認*/
		.hook		= ipv4_confirm,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
};

2.3、註冊hook

呼叫nf_register_hooks註冊連線跟蹤的hook函式

static int __init nf_conntrack_l3proto_ipv4_init(void)
{

    ...
      /*註冊連線跟蹤的hook處理函式*/
    ret = nf_register_hooks(ipv4_conntrack_ops,
				ARRAY_SIZE(ipv4_conntrack_ops));
	if (ret < 0) {
		pr_err("nf_conntrack_ipv4: can't register hooks.\n");
		goto cleanup_ipv4;
	}
    ...
}

nf_register_hooks函式

int nf_register_hooks(struct nf_hook_ops *reg, unsigned int n)
{
	unsigned int i;
	int err = 0;

	for (i = 0; i < n; i++) {
		err = nf_register_hook(&reg[i]);
		if (err)
			goto err;
	}
	return err;

err:
	if (i > 0)
		nf_unregister_hooks(reg, i);
	return err;
}

nf_register_hook函式

int nf_register_hook(struct nf_hook_ops *reg)
{
	struct nf_hook_ops *elem;
	int err;

	err = mutex_lock_interruptible(&nf_hook_mutex);
	if (err < 0)
		return err;
	//nf_hooks二維陣列,一維座標是協議號,二維座標是鏈
	list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
		//按優先順序插入
		if (reg->priority < elem->priority)
			break;
	}
	list_add_rcu(&reg->list, elem->list.prev);
	mutex_unlock(&nf_hook_mutex);
	return 0;
}

nf_hooks是一個二維陣列連結串列

extern struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];

3、註冊三層、四層相關的處理函式

ip、icmp、udp協議都一樣這裡就舉例tcp協議

呼叫nf_conntrack_l4proto_register函式註冊nf_conntrack_l4proto_tcp4到全域性陣列nf_ct_protos中

static int __init nf_conntrack_l3proto_ipv4_init(void)
{
...

	/*註冊tcp協議和連線相關處理函式到nf_ct_protos*/
	ret = nf_conntrack_l4proto_register(&nf_conntrack_l4proto_tcp4);
	if (ret < 0) {
		pr_err("nf_conntrack_ipv4: can't register tcp.\n");
		goto cleanup_sockopt;
	}
	/*註冊udp協議和連線相關處理函式到nf_ct_protos*/
	ret = nf_conntrack_l4proto_register(&nf_conntrack_l4proto_udp4);
	if (ret < 0) {
		pr_err("nf_conntrack_ipv4: can't register udp.\n");
		goto cleanup_tcp;
	}
	/*註冊icmp協議和連線相關處理函式到nf_ct_protos*/
	ret = nf_conntrack_l4proto_register(&nf_conntrack_l4proto_icmp);
	if (ret < 0) {
		pr_err("nf_conntrack_ipv4: can't register icmp.\n");
		goto cleanup_udp;
	}
	/*註冊ip協議和連線相關處理函式到nf_ct_protos*/
	ret = nf_conntrack_l3proto_register(&nf_conntrack_l3proto_ipv4);
	if (ret < 0) {
		pr_err("nf_conntrack_ipv4: can't register ipv4\n");
		goto cleanup_icmp;
	}
...

}

nf_conntrack_l4proto_register

int nf_conntrack_l4proto_register(struct nf_conntrack_l4proto *l4proto)
{
...
    /*註冊到全域性資料nf_ct_protos陣列*/
	rcu_assign_pointer(nf_ct_protos[l4proto->l3proto][l4proto->l4proto],
			   l4proto);

out_unlock:
	mutex_unlock(&nf_ct_proto_mutex);
	return ret;
}

nf_conntrack_l4proto_tcp4

struct nf_conntrack_l4proto nf_conntrack_l4proto_tcp4 __read_mostly =
{
	.l3proto		= PF_INET,
	.l4proto 		= IPPROTO_TCP,
	.name 			= "tcp",
	/*從tcp協議skb中獲取一個tuple的源埠、目的埠*/
	.pkt_to_tuple 		= tcp_pkt_to_tuple,
	/*tcp協議把orig方向的源埠、目的埠賦值給reply方向的目的埠、源埠*/
	.invert_tuple 		= tcp_invert_tuple,
	/*列印輸出tuple的源埠、目的埠*/
	.print_tuple 		= tcp_print_tuple,
	.print_conntrack 	= tcp_print_conntrack,
	.packet 		= tcp_packet,
	.new 			= tcp_new,
	.error			= tcp_error,
#if defined(CONFIG_NF_CT_NETLINK) || defined(CONFIG_NF_CT_NETLINK_MODULE)
	/*tuple中的源埠、目的埠轉換為nfnetlink格式填充*/
	.to_nlattr		= tcp_to_nlattr,
	.nlattr_size		= tcp_nlattr_size,
	/*nfnetlink格式的源埠、目的埠轉換為tuple*/
	.from_nlattr		= nlattr_to_tcp,
	.tuple_to_nlattr	= nf_ct_port_tuple_to_nlattr,
	.nlattr_to_tuple	= nf_ct_port_nlattr_to_tuple,
	.nlattr_tuple_size	= tcp_nlattr_tuple_size,
	.nla_policy		= nf_ct_port_nla_policy,
#endif
#ifdef CONFIG_SYSCTL
	.ctl_table_users	= &tcp_sysctl_table_users,
	.ctl_table_header	= &tcp_sysctl_header,
	.ctl_table		= tcp_sysctl_table,
#ifdef CONFIG_NF_CONNTRACK_PROC_COMPAT
	.ctl_compat_table	= tcp_compat_sysctl_table,
#endif
#endif
};

tcp_pkt_to_tuple從資料包skb中獲取源埠、目的埠

static bool tcp_pkt_to_tuple(const struct sk_buff *skb, unsigned int dataoff,
			     struct nf_conntrack_tuple *tuple)
{
	const struct tcphdr *hp;
	struct tcphdr _hdr;

	/* Actually only need first 8 bytes. */
	hp = skb_header_pointer(skb, dataoff, 8, &_hdr);
	if (hp == NULL)
		return false;
	/*獲取源埠*/
	tuple->src.u.tcp.port = hp->source;
	/*獲取目的埠*/
	tuple->dst.u.tcp.port = hp->dest;

	return true;
}

tcp_invert_tuple將orig方向的端賦值給reply方向

static bool tcp_invert_tuple(struct nf_conntrack_tuple *tuple,
			     const struct nf_conntrack_tuple *orig)
{
	/*將orig方向的埠賦值給reply方向*/
	tuple->src.u.tcp.port = orig->dst.u.tcp.port;
	tuple->dst.u.tcp.port = orig->src.u.tcp.port;
	return true;
}

 

相關推薦

netfilter連線跟蹤初始

連線跟蹤的初始化主要有三個地方 (1)連線跟蹤本身初始化。 (3)在對應的Hook上註冊連線跟蹤的處理函式。 (4)初始化連線跟蹤和三層協議、四層協議相關的函式。 1、連線跟蹤本身初始化 連線跟蹤本身初始化函式是nf_conntrack_net_init主要做兩件事情:為連線跟蹤

linux核心netfilter連線跟蹤的hash演算法

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

JAVA類的載入、連線初始

JAVA類的載入、連線與初始化 類的宣告週期總共分為5個步驟1、載入2、連線3、初始化4、使用5、解除安裝 當java程式需要某個類的時候,java虛擬機器會確保這個類已經被載入、連線和初始化,而連線這個類的過程分為3個步驟 1、 載入:查詢並載入這個類的二進位制資料 類的

Java學習——類的載入、連線初始

JVM和類   當呼叫java命令執行某個java程式時,該命令將會啟動一個java虛擬機器程序,同一個JVM裡的所有執行緒、所有變數都處於同一個程序裡,他們都使用該JVM程序的記憶體區。       當系統出現以下幾種情況時,JVM程序將被終止。    ->程式執行到最後正

netfilter之nat初始

nat功能是我們使用非常廣泛,包括SNAT、DNAT,很多功能是基於NAT實現。 (1)SNAT SNAT簡稱源地址轉換,比如一個公司只有一個共有IP,公司下面有許多私有裝置,私有裝置都分配了私有地址,私有地址不能在網際網路中傳遞,那麼就要做源地址轉換,私有裝置要訪問網際網路就會把源地址轉換

【JVM】類載入、連線初始過程

程式執行時,載入類主要經過3個階段分別是類的載入,連線和初始化。分別介紹一下這三個過程。 一、載入 類的載入指的是將類的.class檔案中二進位制資料讀入到記憶體中,將其放在執行時資料區的方法區內,然後在堆區建立一個 java.lang.Class物件

JVM初探(一)——類的載入、連線初始

一、載入類的載入就是查詢並載入類的二進位制資料。最常見的情況就是將一個已經存在在磁碟的 .class 檔案載入到記憶體中。類的載入指的是將類的 .class 檔案中的二進位制資料讀入到記憶體中,將其放在執行時資料區的方法區內,然後在記憶體中建立一個java.lang.Clas

類載入器 - 類的載入、連線初始

類的載入、連線與初始化 概述 在Java程式碼中,型別的載入、連線與初始化過程都是在程式執行期間完成的 型別:可以理解為一個class 載入:查詢並載入類的二進位制資料,最常見的情況是將已經編譯完成的類的class檔案從磁碟載入到記憶體中 連線:確定型別與型別之間的關係,對於位元組碼的相關處理 驗證:確保

深入理解Java虛擬機器-類載入連線初始解析

不管學習什麼,我一直追求的是知其然,還要知其所以然,對真理的追求可以體現在方方面面。人生短短數十載,匆匆一世似煙雲,我認為,既然來了,就應該留下一些有意義的東西。本系列文章是結合張龍老師的《深入理解JVM》視訊做的一個筆記,其中將自己在學習過程中的實踐記錄、思考理解整合在了一起。希望在鞏固自己的知識時讓更多的

Linux netfilter 學習筆記 之八 ip層netfilter連線跟蹤模組初始

基於linux2.6.21 在上一節中分析了連線跟蹤模組相關的資料結構,本節就開始分析連線跟蹤模組相關的初始化,下一節理解連線跟蹤模組的hook機制。 在分析連線跟蹤模組程式碼之前,先說明幾點: 1.連線跟蹤模組的helper結構能夠實現期望連線的建立以及相關協議的ALG

mysql5.7.24免安裝版配置及密碼初始及mysql-font連線異常

1、解壓檔案,例如:置於E:\Program Files\mysql-5.7.24-winx64,新建my.ini ,內容如下: [mysqld] # 設定為自己MYSQL的安裝目錄 basedir=E:\Program Files\mysql-5.7.24-winx64 # 設定為MYSQL的資

ORB-SLAM2原始碼解讀(2.2):單目初始、勻速運動模型跟蹤跟蹤參考關鍵幀、跟蹤區域性地圖

這裡是Tracking部分的第二部分,詳細講述各分支的程式碼及其實現原理。 單目初始化 MonocularInitialization() 目標:從初始的兩幀單目影象中,對SLAM系統進行初始化(得到初始兩幀的匹配,相機初始位姿,初始MapPoints),以便之後進行跟蹤。 方式

gatewayworker長連線下聊天頁面之聊天記錄初始

gatewayworker長連線下聊天頁面之聊天記錄初始化 針對課程:https://study.163.com/course/courseLearn.htm?courseId=1005015012#/learn/video?lessonId=1051355043&courseId=

k8s環境下由predis初始連線緩慢引起的一次問題排查

背景 最近業務上在做同城雙中心。原本的機房使用的是swarm叢集,新機房使用的是k8s叢集。業務遷移到新機房的主要工作集中在: 庫、redis、es等底層服務的遷移; redis由原來的vip單點模式,切換為redis-cluster,由於phpredis1官方版本暫時

xp連線VPN錯誤提示: vpn連接出錯789:L2TP連線嘗試失敗,因為安全層在初始與遠端計算機的協商時遇到一個處理錯誤。

按照這個方法測試一下~ 1. 單擊“開始”,單擊“執行”,鍵入“regedit”,然後單擊“確定” 2. 找到下面的登錄檔子項,然後單擊它: HKEY_LOCAL_MACHINE\ System

(六)洞悉linux下的Netfilter&iptables:如何理解連線跟蹤機制?(2)

Netfilter連線跟蹤的詳細流程     上一篇我們瞭解了連線跟蹤的基本框架和大概流程,本篇我們著重分析一下,資料包在連線跟蹤系統裡的旅程,以達到對連線跟蹤執行原理深入理解的目的。     連線跟蹤機制在Netfilter框架裡所註冊的hook函式一共就五個:ip_c

解決win10系統 L2TP連線嘗試失敗:ERROR因為安全層在初始與遠端計算機的協商時遇到了一個處理錯誤

錯誤描述:當連線VPN是回傳錯誤為“ L2TP連線嘗試失敗,因為安全層在初始化與遠端計算機的協商時遇到了一個處理錯誤” 作業系統:win10家庭版 VPN設定: 常規選項:配置了需要連線目標server的IP地址。 安全選項:VPN型別如下圖所示

Appium初始設定:手寫程式碼連線手機、appium-desktop連線手機

一、包名獲取的三種方式1)找開發要2)mac使用命令:adb logcat | grep START win使用命令:adb logcat | findstr START  檢視包名和入口如下:   3)通過aapt命令檢視   cmd到你的android-sdk-windows\bu

TeamViewer 遠端連線一直顯示正在初始顯示引數的解決方案

這是因為你使用Windows遠端登入連線遠端伺服器,啟動了遠端桌面,此時Teamviewer會給遠端桌面分配一個ID,TW使用此ID只能登陸此遠端桌面,並且當Windows遠端登入連線時才可以初始化顯示引數,並進行操作。Windows遠端登入斷開連線以後這個遠端桌面就關閉了,TW也不能繼續連線該桌面。

(五)洞悉linux下的Netfilter&iptables:如何理解連線跟蹤機制?(1)

如何理解Netfilter中的連線跟蹤機制?     本篇我打算以一個問句開頭,因為在知識探索的道路上只有多問然後充分調動起思考的機器才能讓自己走得更遠。連線跟蹤定義很簡單:用來記錄和跟蹤連線的狀態。 問:為什麼又需要連線跟蹤功能呢? 答:因為它是狀態防火牆和NAT的實