2. 程式人生 > >netfilter之連結跟蹤做nat

netfilter之連結跟蹤做nat

阿新 發佈:2018-12-16

上一節我們將了NAT是基於連結跟蹤實現的,當一條連結跟蹤建立要改變它的tuple的reply方向才能做nat,這個連結跟蹤的nat是函式nf_nat_setup_info實現

1、nf_nat_setup_info

nf_nat_setup_info對連結跟蹤的做NAT,只會改變連結跟蹤reply方向的ip、埠,不會改變資料包的ip、埠,資料包的DAT在上一節已經介紹了是在PRE_ROUTING、POST_ROUTING鏈的hook點根據連結跟蹤的reply方向對資料包做NAT。

nf_nat_setup_info主要做以下幾件事

(1)獲取連結跟蹤和nat關聯的結構體struct nf_conn_nat ,如果是空就直接返回

(2)呼叫nf_nat_initialized判斷是否已經做了連結跟蹤的NAT

(3)nf_ct_invert_tuplepr獲取reply方向的tuple然後取反賦值給curr_tuple也是是orig tuple

(4)get_unique_tuple這個函式是關鍵,這個就是得到一個新的tuple,new_tuple,這個new_tuple是做了NAT的orig方向。

(5)呼叫nf_ct_tuple_equal比較curr_tuple和new_tuple是否相等如果不相等就要做NAT改變連結跟蹤reply的tuple

(5)呼叫nf_ct_invert_tuplepr對new_reply取反呼叫orig方向的tuple reply

(6)nf_conntrack_alter_reply改變連結跟蹤tuple的reply方向完成連結跟蹤的NAT

(7)做了NAT的連結跟蹤如果沒有在nat_bysource連結串列中就要新增進去

(8)設定已經做NAT的標誌IPS_DST_NAT_DONE_BIT/IPS_SRC_NAT_DONE_BIT

unsigned int
nf_nat_setup_info(struct nf_conn *ct,
		  const struct nf_nat_range *range,
		  enum nf_nat_manip_type maniptype)
{
	struct net *net = nf_ct_net(ct);
	struct nf_conntrack_tuple curr_tuple, new_tuple;
	struct nf_conn_nat *nat;
	int have_to_hash = !(ct->status & IPS_NAT_DONE_MASK);

	/* nat helper or nfctnetlink also setup binding */
	nat = nfct_nat(ct);
	if (!nat) {
		nat = nf_ct_ext_add(ct, NF_CT_EXT_NAT, GFP_ATOMIC);
		if (nat == NULL) {
			pr_debug("failed to add NAT extension\n");
			return NF_ACCEPT;
		}
	}

	NF_CT_ASSERT(maniptype == IP_NAT_MANIP_SRC ||
		     maniptype == IP_NAT_MANIP_DST);
	BUG_ON(nf_nat_initialized(ct, maniptype));

	/* What we've got will look like inverse of reply. Normally
	   this is what is in the conntrack, except for prior
	   manipulations (future optimization: if num_manips == 0,
	   orig_tp =
	   conntrack->tuplehash[IP_CT_DIR_ORIGINAL].tuple) */
	   /*獲取reply方向的tuple做反方向複製給curr_tuple*/
	nf_ct_invert_tuplepr(&curr_tuple,
			     &ct->tuplehash[IP_CT_DIR_REPLY].tuple);

	/*根據原始的tuple獲取新的唯一tuple*/
	get_unique_tuple(&new_tuple, &curr_tuple, range, ct, maniptype);

	/*新的orig方向和原始orig方向不相等就要做連結跟蹤的NAT
	也就是改變tuple的reply方向*/
	if (!nf_ct_tuple_equal(&new_tuple, &curr_tuple)) {
		struct nf_conntrack_tuple reply;

		/* Alter conntrack table so will recognize replies. */
		/*新的tuple取反*/
		nf_ct_invert_tuplepr(&reply, &new_tuple);
		/*將取反後的tuple賦值給reply方向
		也就是連結跟蹤做NAT*/
		nf_conntrack_alter_reply(ct, &reply);

		/* Non-atomic: we own this at the moment. */
		if (maniptype == IP_NAT_MANIP_SRC)
			ct->status |= IPS_SRC_NAT;
		else
			ct->status |= IPS_DST_NAT;
	}

	/* Place in source hash if this is the first time. */
	if (have_to_hash) {
		unsigned int srchash;

		srchash = hash_by_src(net, nf_ct_zone(ct),
				      &ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
		spin_lock_bh(&nf_nat_lock);
		/* nf_conntrack_alter_reply might re-allocate exntension aera */
		nat = nfct_nat(ct);
		nat->ct = ct;
		hlist_add_head_rcu(&nat->bysource,
				   &net->ipv4.nat_bysource[srchash]);
		spin_unlock_bh(&nf_nat_lock);
	}

	/* It's done. */
	/*設定已經做了SNAT/DNAT標誌*/
	if (maniptype == IP_NAT_MANIP_DST)
		set_bit(IPS_DST_NAT_DONE_BIT, &ct->status);
	else
		set_bit(IPS_SRC_NAT_DONE_BIT, &ct->status);

	return NF_ACCEPT;
}

2、nf_ct_invert_tuplepr

呼叫__nf_ct_l3proto_find獲取三層連結跟蹤的操作函式結構體struct nf_conntrack_l3proto例項,呼叫__nf_ct_l4proto_find獲取四層連結跟蹤的操作函式結構體struct nf_conntrack_l4proto例項,然後呼叫nf_ct_invert_tuple根據orig方向取反方向的tuple。

bool nf_ct_invert_tuplepr(struct nf_conntrack_tuple *inverse,
			  const struct nf_conntrack_tuple *orig)
{
	bool ret;

	rcu_read_lock();
	ret = nf_ct_invert_tuple(inverse, orig,
				 __nf_ct_l3proto_find(orig->src.l3num),
				 __nf_ct_l4proto_find(orig->src.l3num,
						      orig->dst.protonum));
	rcu_read_unlock();
	return ret;
}

nf_ct_invert_tuple呼叫三層、四層的invert_tuple根據orig的nf_conntrack_tuple獲取反方向的nf_conntrack_tuple。

bool
nf_ct_invert_tuple(struct nf_conntrack_tuple *inverse,
		   const struct nf_conntrack_tuple *orig,
		   const struct nf_conntrack_l3proto *l3proto,
		   const struct nf_conntrack_l4proto *l4proto)
{
	memset(inverse, 0, sizeof(*inverse));

	inverse->src.l3num = orig->src.l3num;
	/*三層根據orig的nf_conntrack_tuple獲取反方向的nf_conntrack_tuple*/
	if (l3proto->invert_tuple(inverse, orig) == 0)
		return false;

	inverse->dst.dir = !orig->dst.dir;

	inverse->dst.protonum = orig->dst.protonum;
	/*四層根據orig的nf_conntrack_tuple獲取反方向的nf_conntrack_tuple*/
	return l4proto->invert_tuple(inverse, orig);
}

3、get_unique_tuple

這個函式主要是獲取唯一的做了nat的tuple。

(1)首先如果是SNAT就呼叫find_appropriate_src在nat_bysource連結串列中查詢已經做了NAT的tuple如果找到了而且沒有被其他使用就返回

(2)find_best_ips_proto做ip地址的nat

(3)四層協議做NAT,如果是IP_NAT_RANGE_PROTO_RANDOM標誌也就是隨機的,就呼叫四層協議的unique_tuple獲取唯一沒有被使用的埠做NAT,如果是IP_NAT_RANGE_PROTO_SPECIFIED也就是指定埠,就要呼叫in_range判斷此埠是否在合理返回內。

static void
get_unique_tuple(struct nf_conntrack_tuple *tuple,
		 const struct nf_conntrack_tuple *orig_tuple,
		 const struct nf_nat_range *range,
		 struct nf_conn *ct,
		 enum nf_nat_manip_type maniptype)
{
	struct net *net = nf_ct_net(ct);
	const struct nf_nat_protocol *proto;
	u16 zone = nf_ct_zone(ct);

	/* 1) If this srcip/proto/src-proto-part is currently mapped,
	   and that same mapping gives a unique tuple within the given
	   range, use that.

	   This is only required for source (ie. NAT/masq) mappings.
	   So far, we don't do local source mappings, so multiple
	   manips not an issue.  */
	if (maniptype == IP_NAT_MANIP_SRC &&
	    !(range->flags & IP_NAT_RANGE_PROTO_RANDOM)) {
		if (find_appropriate_src(net, zone, orig_tuple, tuple, range)) {
			pr_debug("get_unique_tuple: Found current src map\n");
			/*沒有被其他的使用就直接返回*/
			if (!nf_nat_used_tuple(tuple, ct))
				return;
		}
	}

	/* 2) Select the least-used IP/proto combination in the given
	   range. */
	*tuple = *orig_tuple;
    /*IP地址做NAT*/
	find_best_ips_proto(zone, tuple, range, ct, maniptype);

	/* 3) The per-protocol part of the manip is made to map into
	   the range to make a unique tuple. */

	rcu_read_lock();
	/*查詢四層協議nat例項結構體struct nf_nat_protocol*/
	proto = __nf_nat_proto_find(orig_tuple->dst.protonum);

	/* Change protocol info to have some randomization */
	/*支援IP_NAT_RANGE_PROTO_RANDOM就呼叫四層協議函式unique_tuple
	隨機獲取一個唯一的四層tuple*/
	if (range->flags & IP_NAT_RANGE_PROTO_RANDOM) {
		proto->unique_tuple(tuple, range, maniptype, ct);
		goto out;
	}

	/* Only bother mapping if it's not already in range and unique */
	/*IP_NAT_RANGE_PROTO_SPECIFIED這個是使用者指定的四層埠要呼叫
	ip_range判斷是否在合理範圍內,而且要判斷是否已經被其他使用*/
	if ((!(range->flags & IP_NAT_RANGE_PROTO_SPECIFIED) ||
	     proto->in_range(tuple, maniptype, &range->min, &range->max)) &&
	    !nf_nat_used_tuple(tuple, ct))
		goto out;

	/* Last change: get protocol to try to obtain unique tuple. */
	/*呼叫unique_tuple後去選擇一個唯一的沒有被使用的四層埠完成nat*/
	proto->unique_tuple(tuple, range, maniptype, ct);
out:
	rcu_read_unlock();
}

3.1 find_appropriate_src

對應SNAT就會呼叫這個函式在已經做了NAT的表nat_bysource中查詢已經存在的tuple,如果找到了而且沒有被使用就對這個reply方向的tuple取反得到目標tuple。然後呼叫in_range判斷目標tuple是否在合理範圍內,

/* Only called for SRC manip */
static int
find_appropriate_src(struct net *net, u16 zone,
		     const struct nf_conntrack_tuple *tuple,
		     struct nf_conntrack_tuple *result,
		     const struct nf_nat_range *range)
{
	unsigned int h = hash_by_src(net, zone, tuple);
	const struct nf_conn_nat *nat;
	const struct nf_conn *ct;
	const struct hlist_node *n;

	rcu_read_lock();
	/*遍歷bysource連結串列*/
	hlist_for_each_entry_rcu(nat, n, &net->ipv4.nat_bysource[h], bysource) {
		ct = nat->ct;
		/*找到了而且等於自己*/
		if (same_src(ct, tuple) && nf_ct_zone(ct) == zone) {
			/* Copy source part from reply tuple. */
			/*對reply方向的tuple取反得到目的tuple*/
			nf_ct_invert_tuplepr(result,
				       &ct->tuplehash[IP_CT_DIR_REPLY].tuple);
			result->dst = tuple->dst;
			/*呼叫四層協議的in_range判斷是否在合理範圍內*/
			if (in_range(result, range)) {
				rcu_read_unlock();
				return 1;
			}
		}
	}
	rcu_read_unlock();
	return 0;
}

3.2 find_best_ips_proto

這個函式是根據range選擇一個合理範圍的Ip地址做NAT

static void
find_best_ips_proto(u16 zone, struct nf_conntrack_tuple *tuple,
		    const struct nf_nat_range *range,
		    const struct nf_conn *ct,
		    enum nf_nat_manip_type maniptype)
{
	__be32 *var_ipp;
	/* Host order */
	u_int32_t minip, maxip, j;

	/* No IP mapping?  Do nothing. */
	if (!(range->flags & IP_NAT_RANGE_MAP_IPS))
		return;

	if (maniptype == IP_NAT_MANIP_SRC)
		var_ipp = &tuple->src.u3.ip;
	else
		var_ipp = &tuple->dst.u3.ip;

	/* Fast path: only one choice. */
	if (range->min_ip == range->max_ip) {
		*var_ipp = range->min_ip;
		return;
	}

	/* Hashing source and destination IPs gives a fairly even
	 * spread in practice (if there are a small number of IPs
	 * involved, there usually aren't that many connections
	 * anyway).  The consistency means that servers see the same
	 * client coming from the same IP (some Internet Banking sites
	 * like this), even across reboots. */
	minip = ntohl(range->min_ip);
	maxip = ntohl(range->max_ip);
	j = jhash_2words((__force u32)tuple->src.u3.ip,
			 range->flags & IP_NAT_RANGE_PERSISTENT ?
				0 : (__force u32)tuple->dst.u3.ip ^ zone, 0);
	j = ((u64)j * (maxip - minip + 1)) >> 32;
	*var_ipp = htonl(minip + j);
}

 

相關推薦

netfilter連結跟蹤nat

上一節我們將了NAT是基於連結跟蹤實現的,當一條連結跟蹤建立要改變它的tuple的reply方向才能做nat,這個連結跟蹤的nat是函式nf_nat_setup_info實現 1、nf_nat_setup_info nf_nat_setup_info對連結跟蹤的做NAT,只會改變連結跟蹤re

netfilter連結跟蹤實現ipv4_confirm函式

ipv4_confirm函式註冊在LOCAL_IN鏈、POST_ROUTING鏈,這個是netfiler的兩個出口,從函式名字看得出函式的功能是連結跟蹤確認,下面來分析這個函式。 static struct nf_hook_ops ipv4_conntrack_ops[] __read_most

netfilter連結跟蹤實現nf_conntrack_in函式

1、資料包方向 要分析連線連結跟蹤的實現我們就要先分析資料包在協議棧中的方向,總的來說主要分為三個方向:本機轉發的資料包、本機接受的資料包、本機產生的資料包,我們之前分析了連線跟蹤只在四個鏈上註冊了鉤子函式,分別是PRE_ROUTING鏈、OUT鏈、LOCAL_IN鏈、POST_ROUTING鏈

netfilter 連結跟蹤機制與NAT原理

核心版本:2.6.12 1.連結跟蹤 conntrack 1.1.netfilter框架 5個鏈: NF_IP_PRE_ROUTING:資料包進入路由表之前 NF_IP_LOCAL_IN:通過路由表後目的地為本機 NF_IP_FORWARD

netfilternat程式碼分析

nat主要在PRE_ROUTING、OUTING、LOCAL_IN、POST_ROUTING四個鏈上註冊了hook函式,PRE_ROUTING、OUTING這個兩個鏈上做DNAT,LOCAL_IN和POST_ROUTING鏈上做SNAT。nat表沒有LOCAL_IN鏈,但在LOCAL_IN上註冊了鉤

netfilternat初始化

nat功能是我們使用非常廣泛,包括SNAT、DNAT,很多功能是基於NAT實現。 (1)SNAT SNAT簡稱源地址轉換,比如一個公司只有一個共有IP,公司下面有許多私有裝置,私有裝置都分配了私有地址,私有地址不能在網際網路中傳遞,那麼就要做源地址轉換,私有裝置要訪問網際網路就會把源地址轉換

Linux netfilter 學習筆記 七 ip層netfilter的連線跟蹤模組的概念及相關的資料結構分析

核心版本 2.6.21 連線跟蹤(CONNTRACK)就是跟蹤並且記錄連線狀態。包括 TCP 、UDP、ICMP  等協議型別的連線。其主要是判斷該資料包是什麼狀態。根據資料包的源ip地址、目的ip地址、源埠、目的埠、協議號來確定一條連線。 因為連線跟蹤支援TCP

Linux netfilter 學習筆記 八 ip層netfilter的連線跟蹤模組初始化

基於linux2.6.21 在上一節中分析了連線跟蹤模組相關的資料結構,本節就開始分析連線跟蹤模組相關的初始化,下一節理解連線跟蹤模組的hook機制。 在分析連線跟蹤模組程式碼之前,先說明幾點: 1.連線跟蹤模組的helper結構能夠實現期望連線的建立以及相關協議的ALG

linux內核netfilterip conntrack模塊的作用舉例--nat和REDIRECT為例

nat 轉換 新的 dad flags 參數 段子 state log 修改應用層協議控制包使用了ip_conntrack,iptables的REDIRECT target也使用了ip_conntrack,另外包括iptables的state模塊也是如此,使用ip_con

F5 BIG-IP 不用Virtual Servers NAT映射(單向)映射(方法一)

f5 big-ip 不用virtual servers 做nat映射本人主要做為配置備份 背景說明:F5做為網絡負載使用,兩條鏈路,分別為聯通與電信內部服務用NGINX服務做轉發,提供服務,地址為192.168.1.100,使用端口為20000映射外網地址為10.10.10.1(實際地址不為此),端口為200

防火墻USGNAT產生路由環路及解決方法

USG 路由環路 NAT easy-ip 黑洞路由 1、 根據拓撲連接設備,配置pc和服務器地址2、 防火墻基本配置 接口地址interface GigabitEthernet0/0/0alias GE0/MGMTip address 192.168.1.254 255.255.255

LVS負載均衡二:LVS-NAT搭建web群集

ice 其余 連接方式 rest show MF Oz service 高可用 實現LVS的NAT模式 其原理及特點詳細介紹請看LVS負載均衡之一:LVS-NAT、LVS-DR模式的原理詳細介紹 1.實驗環境 IP地址規劃 客戶端訪問服務的請求IP地址:VIP 12.0.0

Springboot使用Scheduled定時任務

結束 gif onf argument ike ise red fig import 定時任務有好多開源框架比如Quartz,@Scheduled是Spring的一個定時任務註解,通過註解配置就能夠輕量級的定時任務,簡單方便。 一、@Scheduled註解介紹 這裏先貼上@

C++學習連結串列

1.1建立與遍歷連結串列 #include<iostream> using namespace std; struct Student { long number; float score; Student*next; }; Student * head;//定義頭結點

效能測試工具LoadRunner31-LR連結mysql

步驟:   1.建好mysql資料庫並啟動   2.下載libmysql.dll,放到儲存指令碼的資料夾下   3.編寫指令碼並執行 1 Action() 2 { 3 int rc; //定義狀態變數,0表示成功,非0表

英語---動名詞定語

一、動名詞的簡介 動名詞既具有動詞的性質,又具有名詞的性質,因此叫動名詞。 1.動名詞的動詞性質表現在,它可以組成動名詞短語,如: My job is arranging the agenda for my boss. 我的工作是為老闆安排日程。 I finished the p

《資料結構與演算法》連結串列—有序連結串列

2、有序連結串列 有序連結串列是在單鏈表的基礎上對單鏈表的表頭節點插入進行修改,從表頭開始根據插入值與連結串列中原先存在的資料節點進行比較判斷,若大於(或小於)該節點就向後移一個節點進行比較,直至不大於(或小於)該節點,最終實現按照從小到大(或從大到小)的順序排列連結串列。 // 插入節點,

《資料結構與演算法》連結串列—雙端連結串列

2、雙端連結串列 雙端連結串列就是在單鏈表的基礎上增加一個尾節點,使連結串列既有頭節點又有尾節點,這樣方便進行連結串列尾的訪問和刪除。其計算複雜度如下:1、在表頭插入一個新的節點,時間複雜度O(1) ;2、在表尾插入一個新的節點,時間複雜度O(1) ;3、刪除表頭的節點,時間複雜度O(1) ;4

《資料結構與演算法》連結串列—單向連結串列

連結串列(LinkedList) 連結串列是一種物理儲存單元上非連續、非順序的儲存結構,資料元素的邏輯順序是通過連結串列中的指標連結次序實現的。連結串列由一系列節點(連結串列中每一個元素稱為節點)組成,節點可以在執行時動態生成。每個節點包括兩個部分:一個是儲存資料元素的資料域,另一個是儲存下一個

資料結構連結串列C語言實現以及使用場景分析

連結串列是資料結構中比較基礎也是比較重要的型別之一,那麼有了陣列,為什麼我們還需要連結串列呢!或者說設計連結串列這種資料結構的初衷在哪裡? 這是因為,在我們使用陣列的時候,需要預先設定目標群體的個數,也即陣列容量的大小,然而實時情況下我們目標的個數我們是不確定的,因此我們總是要把陣列的容量設定的