如何扩展Linux的ip_conntrack
Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这也是UNIX/Linux哲学的风格,一种后现代主义的风格,但是最近我上了不归路,非要在ip_conntrack里面扩充一个字段,为我们产品加入一个基于用户名字符串的访问控制和审计功能,于是我有了以下看似可以的方案,顺便鄙视一下纸上谈兵的人:
1.完全学ipmark的样子,在sk_buff和nf_conn里面均加一个mark字段,分别代表数据包的mark和数据流的mark
作罢的原因:需要重新编译内核,而我不希望为了一个小小的功能重新编译内核,背后的思想是我比较崇尚热插拔。
2.不动sk_buff,只在nf_conn里面加一个字段,skb仅仅作为一个中转,在iptables的target通过skb找到nf_conn,设置nf_conn的info字段
作罢的原因:Linux严格控制内核模块的版本,模块依赖的头文件一点都不能动,如果我改变了net/netfilter/nf_conntrack.h,那么新编译的所有的依赖nf_conntrack.ko的模块中的符号CRC码都会变化从而无法通过内核的验证,我不得不学Netfilter的一个项目xtables-addons中compat-xtables的样子,把所有的会改变CRC码的导出函数全部再重新实现一遍,然而,天啊,我起初的想法太天真了,没完美了的循环依赖,以至于我想骂两句:
第一:
ip_conntrack为何不让人扩展?虽然它有一个extend机制,但是MD简直就是自说自话,全部都是预定义好的,就下面的枚举里面的几类:
enum nf_ct_ext_id
{NF_CT_EXT_HELPER,NF_CT_EXT_NAT,NF_CT_EXT_ACCT,NF_CT_EXT_ECACHE,NF_CT_EXT_NUM,
};
你加一个新的类型,就会改变内核头文件,既然不让扩展,为何还叫extend呢?你干脆直接放进nf_conn就可以了,搞成extend感觉上好像多么的模块化,多么的可插拔,实际上你能扩展的东西只能是逻辑,而不能是数据结构!
第二:
Linux为何把extend写的那么死呢?当我突然感到这是合理的时候,我就三缄其口了,后面我会说到,数据结构需要可以自解释,即自己解释自己。虽然人可以看到一个结构体马上说出它的含义,但是程序却很难将一堆数据对应到一个结构体!自解释,如果不知道自解释,那就说明你根本就TM就不懂计算机!虽然你可能很精通编程...
思路
既然不能扩展nf_conn的extend,也不能在nf_conn本身加新的字段,那么只能重新编译内核了,在重新编译内核的时候,加入且仅仅加入一个extend类型,作为一个中间层,在这个extend中实现一个可插拔的注册机制,以后再想加入新的扩展就可以直接在这个extend的机制上进行了。然而,我还是不想编译内核,这是一个思想!我希望做最小的改动。万事都难不倒偏执的人,我采用了一个常规却不常用的方法,那就是默默地扩展结构体的大小,这也正是在《JAVA编程思想》里面学到的一个思想。
思想
这其实是一种OO的思想,找到一个基类,然后扩展它,在扩展继承的过程中实现你自己的逻辑,我扩展的是内核的nf_conn_counter结构体:
struct nf_conn_counter {u_int64_t packets;u_int64_t bytes;
};
我希望它成为下面的样子:
struct nf_conn_counter {u_int64_t packets;u_int64_t bytes;unsigned char *info;
};
但是我又不能改变结构体的定义,所以我采用下面等价的办法:
struct conn_info_extends_nf_conn_counter {struct nf_conn_counter base;char *info;
}
info是最关键的。我需要做的仅仅就是在为nf_conn_counter分配空间的时候为其多加一个指针的空间即可,至于这个指针指向什么,自有调用者解释。在我的需求中,它可能就是一个字符串,存在info信息。acct_extend原始定义为(之所以选择对acct开刀,是因为它足够简单,在字面上里面,其表示统计信息,加入一个info也无可厚非):
static struct nf_ct_ext_type acct_extend __read_mostly = {.len = sizeof(struct nf_conn_counter[IP_CT_DIR_MAX]),.align = __alignof__(struct nf_conn_counter[IP_CT_DIR_MAX]),.id = NF_CT_EXT_ACCT,
};
将其修改为:
struct info_compat {struct nf_conn_counter nc[IP_CT_DIR_MAX];unsigned char * info;
};static struct nf_ct_ext_type acct_extend __read_mostly = {.len = sizeof(struct info_compat),.align = __alignof__(struct info_compat),.id = NF_CT_EXT_ACCT,
};
到此为止,我没有修改任何内核头文件,接下来我来写一个测试模块来进行测试:
#include <linux/ip.h>
#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/version.h>
#include <net/netfilter/nf_conntrack.h>
#include <net/netfilter/nf_conntrack_acct.h>MODULE_AUTHOR("xtt");
MODULE_DESCRIPTION("gll");
MODULE_LICENSE("GPL");
MODULE_ALIAS("XTT and GLL");struct nf_info {struct nf_conn_counter nc[IP_CT_DIR_MAX];char *info;
};static unsigned int ipv4_conntrack_info (unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
{u32 addr = ip_hdr(skb)->daddr;// 测试我家的路由器的地址192.168.1.1if (addr == 0x0101a8c0) {struct nf_conn *ct;enum ip_conntrack_info ctinfo;struct nf_conn_counter *acct;struct nf_info *info;unsigned char *cn = NULL;ct = nf_ct_get(skb, &ctinfo);if (!ct || ct == &nf_conntrack_untracked)return NF_ACCEPT;acct = nf_conn_acct_find(ct);if (acct) {info = (struct nf_info *)acct;info->info = (unsigned char*) kzalloc(32, GFP_ATOMIC);if (!info->info) {return NF_ACCEPT;} // 测试将1234567890作为字符串设置到conntrackmemcpy(info->info, "1234567890", min(32, strlen("1234567890")));}}return NF_ACCEPT;
}static struct nf_hook_ops ipv4_conn_info __read_mostly = {.hook = ipv4_conntrack_info,.owner = THIS_MODULE,.pf = NFPROTO_IPV4,.hooknum = NF_INET_LOCAL_OUT,.priority = NF_IP_PRI_CONNTRACK + 1,
};static int __init test_info_init(void)
{int err;err = nf_register_hook(&ipv4_conn_info);if (err) {return err;}return err;
}static void __exit test_info_exit(void)
{nf_unregister_hook(&ipv4_conn_info);
}module_init(test_info_init);
module_exit(test_info_exit);
到底成功了没有呢?我需要将这一切展示在/proc/net/nf_conntrack里面,但是由于我使用了acct机制,所以我需要打开内核的acct选项:
sysctl -w net.netfilter.nf_conntrack_acct=1
真正修改的地方在/net/netfilter/nf_conntrack_standalone.c的ct_seq_show函数:
if (seq_printf(s, "use=%u ", atomic_read(&ct->ct_general.use)))goto release;{struct nf_info {struct nf_conn_counter acct[2];char *info;};struct nf_conn_counter *acct;struct nf_info *info;acct = nf_conn_acct_find(ct);if (acct) {info = (struct nf_info *)acct;if (info->info) {if (seq_printf(s, "info=%s\n", info->info)) {goto release;}}}
}
在测试的时候,/proc/net/nf_conntrack中拥有了一个信息:
ipv4 2 tcp 6 431985 ESTABLISHED src=192.168.1.109 dst=192.168.1.1 sport=33591 dport=50 packets=2 bytes=112 src=192.168.1.1dst=192.168.1.109 sport=50 dport=33591 packets=1 bytes=60 [ASSURED] mark=0 zone=0 use=2 info=1234567890
这就说明这种方法是可行的,改动的地方并不多,关键是你要找到一个危险性最少的开刀部位,然后按照OO的思想扩展它,给它它所有没有的行为。曾经,我对nat的extend进行了偷梁换柱,但那是不对的,正确的做法是在原有结构体的地址后面紧跟着进行扩展,类似0长度数组那种。
我需要解释一下程序的自解释了。Linux在实现nf_conntrack的extend的时候,为何将类型数值以及定义的顺序用一个枚举写死呢?换句话说那就是为何不允许用户随意定义extend呢?答案是:那很难!Why?试想,如果我把一个结构体给了一个extend type。请问我把这个type存在哪?除了事先自定义一个type序列,仅存的办法就是把这个type序列存在extend本身了,这就遇到了一个循环定义的问题,我们对此是没有办法的,一个程序很难看到一对数字后,然后就可以把它们看作一个结构体,起码的字段分界就无法解决。虽然可以用OO的思想之外,剩下的解决方案就是寻求一种自解释的数据格式。我能想到的就是ASN.1了。实际上,ASN.1也是一种事先定义的类型格式序列,只不过该序列是经过标准化的而已,一个ASN.1序列是不需要解释的,它可以自己解释自己,需要的仅仅是文档。一个ASN.1序列可以将一段数据解释为一个结构体,或者反过来也可以。OpenSSL里面的d2i/i2d就是做这个的。难道不是吗?
清明时节雨纷纷,就这样在没有雨的一整天过去了,没有从《JAVA编程思想》中看到什么思想,依然没有感悟到JAVA的思想,依然没有。
转载于:https://blog.51cto.com/dog250/1391022
如何扩展Linux的ip_conntrack相关推荐
- linux扩文件系统大小,调整卷大小后扩展 Linux 文件系统 - Amazon Elastic Compute Cloud...
AWS 文档中描述的 AWS 服务或功能可能因区域而异.要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门. 调整卷大小后扩展 Linux 文件系统 在增加 EBS 卷的大小后,您必须使用特定 ...
- VMware 下扩展linux硬盘空间
linux下扩展硬盘有非常多种方式,在扩展之前.尽量看看自己的空间存在的有哪些盘,然后再进行扩展. 假设是扩展的话,磁盘的符号和已经有的符号一样,比方都是sda的设备,知识分区不同.可能是sda3 s ...
- linux ip_conntrack_max,解?Linux NAT ip_conntrack: table full的方法
解?Linux NAT ip_conntrack: table full的方法 发布时间:2007-09-07 00:28:48来源:红联作者:DominSer 原本Linux NAT用得好好的,没想 ...
- linux内核能否扩展,Linux内核用到的GCC扩展
GNC CC是一个功能非常强大的跨平台C编译器,它对C 语言提供了很多扩展,这些扩展对优化.目标代码布局.更安全的检查等方面提供了很强的支持.本文把支持GNU 扩展的C 语言称为GNU C. Linu ...
- linux系统分区扩展,linux系统扩展根分区容量大小
#查看新增加的磁盘 [root@centos002 ~]# fdisk -l Disk /dev/sda: 21.5 GB, 21474836480 bytes 255 heads, 63 secto ...
- linux 64位 php memcached 扩展,LINUX系统安装PHP的memcached扩展
LINUX系统安装PHP的memcached扩展 说明:由于一些开源网址有所变化,以及版本也有所变化,所以,这里给出了本年度最新下载网址,以及最新的版本. 本安装文档所用的操作系统是CentOS. 1 ...
- linux+swap分区规则_扩展Linux swap分区 两种方法
先来查询一下系统的swap [root@localhost ~]# free -m total used free shared buffers cached Mem: 375 369 6 0 7 8 ...
- 如何扩展Linux系统分区大小
作者:IT邦德 中国DBA联盟(ACDU)成员,目前从事DBA及程序编程 (Web\java\Python)工作,主要服务于生产制造 现拥有 Oracle 11g OCP/OCM. Mysql.Oce ...
- hyper扩展linux硬盘,Hyper-V 虚拟机扩展磁盘
在使用虚拟机的时候,会经常遇到虚拟硬盘空间不足的情况.本文对Hyper-V的虚拟机硬盘扩容方法进行整理记录,为大家提供参考.本文的内容基于Win10 Pro系统上的Hyper-V虚拟机进行实例演示.H ...
最新文章
- Pytorch-张量相加的四种方法 / .item()用法
- 垃圾回收③---垃圾回收器
- 热点事件发现、演化及时间线Timeline、故事线Storyline自动生成
- 分类算法之朴素贝叶斯算法
- android解码芯片,全志V316超清4K视频编解码芯片处理器,
- 确认过眼神,你是要来百度AI开发者实战营深圳站的人
- Codeforces 437D The Child and Zoo(贪心+并查集)
- vc 获得桌面文件坐标_为何 Elementary OS 中使用 Pantheon 桌面
- 苹果耳机无线真假测试软件,辨认苹果耳机真假,就这六步。
- 转贴:Objective-C Tutorial
- 使用IP地址连接网络打印机
- IOS回调机制——代理,通知中心以及Block
- PHP 依赖注入 容器,PHP 依赖注入容器 Pimple 笔记
- UNITY NGUI IPHONEX完美适配
- (一)SDN基本架构
- Expert 诊断优化系列------------------内存不够用么?
- 欸,自娱自乐的学习必然是缓慢的
- Codeforces ~ 990A ~ Commentary Boxes (水)
- 15、条件概率、全概率公式、贝叶斯公式、马尔科夫链
- Arcgis Pro 3.0.3 安装图文教程
热门文章
- python修改字典某一项的函数_python – 更改字典作为函数的全局范围
- 如何设置电脑锁屏时间_电脑如何设置多屏显示?多屏显示的设置方法
- 扫地机器人湿地_口碑最好,用户认可度最高,浦桑尼克新款扫地机M7 MAX上手体验...
- NIO详解(三):IO多路复用模型之select、poll、epoll
- 现代操作系统: 第一章 引言
- canopen服务器协议,CANopen
- Mac 下Eclipse无法连接手机
- 【金融】银行有什么分类
- 进程初识和multiprocessing模块之Process
- 数据结构之排序算法(C语言)