Iptables之nf_conntrack模块

更新时间:2023-05-31 15:15:45 阅读: 评论:0

Iptables之nf_conntrack模块
nf_conntrack(在⽼版本的 Linux 内核中叫 ip_conntrack)是⼀个内核模块,⽤于跟踪⼀个连接的状态的。连接状态跟踪可以供其他模块使⽤,最常见的两个使⽤场景是 iptables 的 nat
的 state 模块。 iptables 的 nat 通过规则来修改⽬的/源地址,但光修改地址不⾏,我们还需要能让回来的包能路由到最初的来源主机。这就需要借助 nf_conntrack 来找到原来那个连
接的记录才⾏。⽽ state 模块则是直接使⽤ nf_conntrack ⾥记录的连接的状态来匹配⽤户定义的相关规则。例如下⾯这条 INPUT 规则⽤于放⾏ 80 端⼝上的状态为 NEW 的连接
上的包。
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT。
iptables中的状态检测功能是由state选项来实现iptable的。对这个选项,在iptables的⼿册页中有以下描述:
state
这个模块能够跟踪分组的连接状态(即状态检测)。
格式:--state XXXXX
这⾥,state是⼀个⽤逗号分割的列表,表⽰要匹配的连接状态。
在iptables中有四种状态:NEW,ESTABLISHED,RELATED,INVALID。
NEW,表⽰这个分组需要发起⼀个连接,或者说,分组对应的连接在两个⽅向上都没有进⾏过分组传输。NEW说明这个包是我们看到的第⼀个包。意思就是,这是conntrack模
块看到的某个连接第⼀个包,它即将被匹配了。⽐如,我们看到⼀个SYN包,是我们所留意的连接的第⼀个包,就要匹配它。第⼀个包也可能不是SYN包,但它仍会被认为是
NEW状态。⽐如⼀个特意发出的探测包,可能只有RST位,但仍然是 NEW。
ESTABLISHED,表⽰分组对应的连接已经进⾏了双向的分组传输,也就是说连接已经建⽴,⽽且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是⾮常容易理解
的。只要发送并接到应答,连接就是ESTABLISHED的了。⼀个连接要从NEW变为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防⽕墙的,还是要由防⽕墙转
发的。ICMP的错误和重定向等信息包也被看作是 ESTABLISHED,只要它们是我们所发出的信息的应答。
RELATED,表⽰分组要发起⼀个新的连接,但是这个连接和⼀个现有的连接有关,例如:FTP的数据传输连接和控制连接之间就是RELATED关系。RELATED是个⽐较⿇烦的
状态。当⼀个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。换句话说,⼀个连接要想是RELATED的,⾸先要有⼀个ESTABLISHED的
连接。这个ESTABLISHED连接再产⽣⼀个主连接之外的连接,这个新的连接就是RELATED的了,当然前提是conntrack模块要能理解RELATED。ftp是个很好的例⼦,FTP-
data连接就是和FTP-control有RELATED的。还有其他的例⼦,
INVAILD,表⽰分组对应的连接是未知的,说明数据包不能被识别属于哪个连接或没有任何状态。有⼏个原因可以产⽣这种情况,⽐如,内存溢出,收到不知属于哪个连接的
ICMP错误信息。⼀般地,我们DROP这个状态的任何东西。
nf_conntrack模块常⽤命令
查看nf_conntrack表当前连接数
cat /proc/sys/net/netfilter/nf_conntrack_count
查看nf_conntrack表最⼤连接数
cat /proc/sys/net/netfilter/nf_conntrack_max
内聚力通过dmesg可以查看nf_conntrack的状况:
dmesg |grep nf_conntrack
查看存储conntrack条⽬的哈希表⼤⼩,此为只读⽂件
cat /proc/sys/net/netfilter/nf_conntrack_buckets
查看nf_conntrack的TCP连接记录时间
cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
通过内核参数查看命令,查看所有参数配置
sysctl -a | grep nf_conntrack
通过conntrack命令⾏⼯具查看conntrack的内容
yum install -y conntrack
conntrack -L
加载对应跟踪模块
[root@plop ~]# modprobe /proc/net/nf_conntrack_ipv4
[root@plop ~]# lsmod | grep nf_conntrack
nf_conntrack_ipv4      9506  0
nf_defrag_ipv4          1483  1 nf_conntrack_ipv4
nf_conntrack_ipv6      8748  2
nf_defrag_ipv6        11182  1 nf_conntrack_ipv6
nf_conntrack          79758  3 nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state
ipv6                  317340  28 sctp,ip6t_REJECT,nf_conntrack_ipv6,nf_defrag_ipv6
移除 nf_conntrack 模块
$ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
$ sudo modprobe -r nf_conntrack
查看当前的连接数:
grep nf_conntrack /proc/slabinfo
查出⽬前 nf_conntrack 的排名:
cat /proc/net/nf_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
nf_conntrack会话表的内容解释
会话表样例
通过conntrack -L与/proc/net/nf_conntrack是完全⼀样的,除了少了前⾯的两列。
下⾯以cat /proc/net/nf_conntrack为例进⾏说明:
ipv4  2  tcp  6  25  SYN_SENT    src=182.168.77.7  dst=42.236.9.57    sport=57430  dport=443  [UNREPLIED]      src=42.236.9.57    dst=182.168.77.7  sport=443    dport=57430  mark=0  cctx=system_u:object_r:unlabeled_t:s0  zone=0  u ipv4  2  tcp  6  299  ESTABLISHED  src=172.18.15.56  dst=172.18.15.96    sport=40248  dport=22  src=172.18.15.96  dst=172.18.15.56    sport=22          dport=40248  [ASSURED]    mark=0  cctx=system_u:object_r:unlabeled_t:s0  zone=0 ipv4  2  tcp  6  5    SYN_SENT    src=182.168.77.7  dst=221.181.72.250  sport=57428  dport=443  [UNREPLIED]      src=221.181.72.250  dst=182.168.77.7  sport=443    dport=57428  mark=0  cctx=system_u:object_r:unlabeled_t:s0  zone=0 ipv4  2  tcp  6  1    SYN_SENT    src=182.168.77.7  dst=221.181.72.250  sport=57427  dport=80  [UNREPLIED]      src=221.181.72.250  dst=182.168.77.7  sport=80    dport=57427  mark=0  cctx=system_u:object_r:unlabeled_t:s0  zone=0 每⼀列表达的意思
第⼀列:⽹络层协议名字。
第⼆列:⽹络层协议号。
第三列:传输层协议名字。
第四列:传输层协议号。
第五列:⽆后续包进⼊时⽆效的秒数,即⽼化时间。
第六列:不是所有协议都有,连接状态。
其它的列都是通过名字的⽅式(key与value对)表述,或和呈现标识([UNREPLIED], [ASSURED], …)。⼀⾏的不同列可能包含相同的名字(例如src和dst),第⼀个表⽰
请求⽅,第⼆个表⽰应答⽅。
呈现标识含义
[ASSURED]: 在两个⽅⾯(即请求和响应)⽅向都看到了流量。
[UNREPLIED]: 尚未在响应⽅向上看到流量。如果连接跟踪缓存溢出,则⾸先删除这些连接。
请注意,某些列名仅出现在特定协议中(例如,TCP和UDP的sport和dport,ICMP的type和code)。仅当内核使⽤特定选项构建时,才会显⽰其他列名称(例如mark)。
举例说明
ipv4 2 tcp 6 300 ESTABLISHED src=1.1.1.2 dst=2.2.2.2 sport=2000 dport=80 src=2.2.2.2 dst=1.1.1.1 sport=80 dport=12000 [ASSURED] mark=0 u=2
属于从主机1.1.1.2,端⼝2000到主机2.2.2.2,端⼝80的已建⽴的TCP连接,从中将响应发送到主机1.1.1.2,端⼝2000,在五分钟内超时。对于此连接,已在两个⽅向上看到数据包。
ipv4 2 icmp 1 3 src=1.1.1.2 dst=1.1.1.1 type=8 code=0 id=32354 src=1.1.1.1 dst=1.1.1.2 type=0 code=0 id=32354 mark=0 u=2
属于从主机1.1.1.2到主机1.1.1.1的ICMP回应请求数据包,具有从主机1.1.1.1到主机1.1.1.2的预期回应应答数据包,在三秒内超时。响应⽬标主机不⼀定与请求源主机相同,因为请求源地址可能已被响应⽬标主机伪装。
主要标识
请注意,以下信息可能不是最新信息!
Fields available for all entries:
bytes (if accounting is enabled, request and respon)
delta-time (if CONFIG_NF_CONNTRACK_TIMESTAMP is enabled)
dst (request and respon)
mark (if CONFIG_NF_CONNTRACK_MARK is enabled)
packets (if accounting is enabled, request and respon)
cctx (if CONFIG_NF_CONNTRACK_SECMARK is enabled)
src (request and respon)
u
zone (if CONFIG_NF_CONNTRACK_ZONES is enabled)
Fields available for dccp, sctp, tcp, udp and udplite transmission layer protocols:
dport (request and respon)
sport (request and respon)
Fields available for icmp transmission layer protocol:
code (request and respon)红发会
id (request and respon)
type (request and respon)
Fields available for gre transmission layer protocol:
dstkey (request and respon)
srckey (request and respon)
stream_timeout
timeout
Allowed values for the sixth field:
dccp transmission layer protocol
CLOSEREQ
CLOSING
IGNORE
INVALID
NONE
OPEN
PARTOPEN
REQUEST
RESPOND
lor什么意思TIME_WAIT
sctp transmission layer protocol
CLOSED
COOKIE_ECHOED
COOKIE_WAIT
职位分析
ESTABLISHED
NONE
SHUTDOWN_ACK_SENT
SHUTDOWN_RECD
SHUTDOWN_SENT
tcp transmission layer protocol
CLOSE
CLOSE_WAIT
ESTABLISHED
FIN_WAIT
LAST_ACK
NONE
SYN_RECV
SYN_SENT
SYN_SENT2
TIME_WAIT
nf_conntrack相关内核参数和解释
参考内核帮助⽂档/usr/share/doc/kernel-doc-3.10.0/Documentation/networking/
/proc/sys/net/netfilter/nf_conntrack_*:
nf_conntrack_acct
值类型:BOOLEAN
0 - disabled (default)
not 0 - enabled
启⽤连接跟踪流记帐。64位字节和数据包每个流量的计数器被添加。
nf_conntrack_buckets
值类型:INTEGER (read-only)
哈希表的⼤⼩。如果在模块加载期间未指定为参数,则通过将总内存除以16384来计算默认⼤⼩以确定存储区的数量,但是哈希表将永远不会少于32并且限制为16384个存储区。对于内存超过4GB的系统,它将是65536个桶。
nf_conntrack_checksum
迈克杰克逊专辑值类型:BOOLEAN
0 - disabled
not 0 - enabled (default)
验证传⼊数据包的校验和。具有错误校验和的数据包处于INVALID状态。如果启⽤此选项,则不会考虑此类数据包进⾏连接跟踪。
nf_conntrack_count
值类型:INTEGER (read-only)
当前分配的流条⽬数。
nf_conntrack_events
值类型:BOOLEAN
0 - disabled
not 0 - enabled (default)
如果启⽤此选项,则连接跟踪代码将通过ctnetlink为⽤户空间提供连接跟踪事件。
nf_conntrack_events_retry_timeout
值类型:INTEGER (conds)
default 15
此选项仅在使⽤“可靠连接跟踪事件”时才相关。通常,ctnetlink是“有损”的,也就是说,当⽤户空间监听器⽆法跟上时,事件通常会被丢弃。
⽤户空间可以请求“可靠的事件模式”。当此模式处于活动状态时,conntrack将仅在事件发布后销毁。如果事件传递失败,则内核会定期重新尝试将事件发送到⽤户空间。这是内核在重新尝试传递destroy事件时应使⽤的最⼤间隔。
数字越⼤意味着交付重试次数越少,处理待办事项的时间就越长。
nf_conntrack_expect_max
值类型:INTEGER
期望表的最⼤⼤⼩。默认值为nf_conntrack_buckets / 256.最⼩值为1。
nf_conntrack_frag6_high_thresh
值类型:INTEGER
⽤于重组IPv6⽚段的最⼤内存。当为达到重组⽬标时分配nf_conntrack_frag6_high_thresh字节的内存时,若超出此值⽚段处理程序将抛出数据包。
nf_conntrack_frag6_timeout
值类型:INTEGER (conds)
default 60
ipv6分⽚在内存中保存的⽼化时间。
nf_conntrack_generic_timeout
值类型:INTEGER (conds)
default 600
通⽤超时的默认值。这指的是第4层未知/不⽀持的协议。
nf_conntrack_helper
值类型:BOOLEAN
0 - disabled
not 0 - enabled (default)
启⽤⾃动conntrack帮助程序分配。
沈阳雅思培训
nf_conntrack_icmp_timeout
值类型:INTEGER (conds)
default 30
ICMP连接状态超时的默认值。
nf_conntrack_icmpv6_timeout
值类型:INTEGER (conds)
default 30
ICMP6连接状态超时的默认值。
nf_conntrack_log_invalid
值类型:INTEGER
0 - disable (default)
1 - log ICMP packets
6 - log TCP packets
17 - log UDP packets
33 - log DCCP packets
41 - log ICMPv6 packets
136 - log UDPLITE packets
255 - log packets of any protocol
根据值类型记录指定类型⽆效数据包。
nf_conntrack_max
值类型:INTEGER
连接跟踪表的⼤⼩。默认值为nf_conntrack_buckets值* 4。
nf_conntrack_tcp_be_liberal
值类型:BOOLEAN
0 - disabled (default)
not 0 - enabled
Be conrvative in what you do, be liberal in what you accept from others.If it’s non-zero, we mark only out of window RST gments as INVALID.
nf_conntrack_tcp_loo
值类型:BOOLEAN
0 - disabled
not 0 - enabled (default)
如果它设置为零,我们将禁⽤拾取已建⽴的连接。
它的意思是,是否仅仅允许为经过TCP三次握⼿的流创建nf_conntrack表项还是说为任意收到的TCP数据包(有可能是⼀个构造出来的攻击包)查询未果后均创建新的
nf_conntrack表项。
nf_conntrack_tcp_max_retrans
值类型:INTEGER
default 3
在未收到来⾃⽬标的(可接受)ACK的情况下可以重新传输的最⼤数据包数。如果达到此数字,将启动更短的计时器。
nf_conntrack_tcp_timeout_clo
值类型:INTEGER (conds)
default 10
nf_conntrack_tcp_timeout_clo_wait
值类型:INTEGER (conds)
default 60
nf_conntrack_tcp_timeout_established
值类型:INTEGER (conds)
default 432000 (5 days)
默认是432000=3600245即5天的超时时间,超时后清空对应的那条记录。
nf_conntrack_tcp_timeout_fin_wait
值类型:INTEGER (conds)
default 120
nf_conntrack_tcp_timeout_last_ack
值类型:INTEGER (conds)
default 30
nf_conntrack_tcp_timeout_max_retrans
值类型:INTEGER (conds)
default 300
nf_conntrack_tcp_timeout_syn_recv
值类型:INTEGER (conds)
default 60
nf_conntrack_tcp_timeout_syn_nt
值类型:INTEGER (conds)
default 120
nf_conntrack_tcp_timeout_time_wait
值类型:INTEGER (conds)
default 120
nf_conntrack_tcp_timeout_unacknowledged
值类型:INTEGER (conds)
default 300
nf_conntrack_timestamp
值类型:BOOLEAN
0 - disabled (default)
not 0 - enabled
启⽤连接跟踪流时间戳。
nf_conntrack_udp_timeout
值类型:INTEGER (conds)
default 30
nf_conntrack_udp_timeout_stream2
值类型:INTEGER (conds)
default 180
如果检测到UDP流,将使⽤此扩展超时。
scr还有多少秒这条会话信息会从跟踪表清除,取决于超时参数的配置,以及是否有包传输,有包传输时,这个时间会重置为超时时间。
如何判断会话表是否满
当会话表中的记录⼤于内核设置nf_conntrack_max的值时,会导致会话表满。
nf_conntrack_max - INTEGER
Size of connection tracking table.  Default value is
nf_conntrack_buckets value * 4.
错误例⼦: less /var/log/messages
Nov  3 23:30:27 digoal_host kernel: : [63500383.870591] nf_conntrack: table full, dropping packet.
Nov  3 23:30:27 digoal_host kernel: : [63500383.962423] nf_conntrack: table full, dropping packet.
Nov  3 23:30:27 digoal_host kernel: : [63500384.060399] nf_conntrack: table full, dropping packet.
会话表满的解决办法
nf_conntrack table full的问题,会导致丢包,影响⽹络质量,严重时甚⾄导致⽹络不可⽤。
解决⽅法举例:
1、排查是否DDoS攻击,如果是,从预防攻击层⾯解决问题。
2、清空会话表。
重启iptables,会⾃动清空nf_conntrack table。注意,重启前先保存当前iptables配置(iptables-save > /etc/sysconfig/iptables ; rvice iptables restart)。
罐头的英文3、应⽤程序正常关闭会话
设计应⽤时,正常关闭会话很重要。
4、加⼤表的上限(需要考虑内存的消耗)
例举故障原因
1. 内核参数 net.nf_conntrack_max 系统默认值为”65536”,当nf_conntrack模块被装置且服务器上连接超过这个设定的值时,系统会主动丢掉新连接包,直到连接⼩于此设置
值才会恢复。同时内核参数“filter.nf_conntrack_tcp_timeout_established”系统默认值为”432000”,代表nf_conntrack的TCP连接记录时间默认是5天,致使nf_conntrack的值减不下来,丢包持续时间长。
2. nf_conntrack模块在⾸次装载或重新装载时,内核参数net.nf_conntrack_max会重新设置为默认值“65536”,并且不会调⽤sysctl设置为我们的预设值。
3. 触发nf_conntrack模块⾸次装载⽐较隐蔽,任何调⽤IPtable NAT功能的操作都会触发。当系统没有挂载nf_conntrack模块时,iptables 相关命令(iptables -L -t nat)就成触
发nf_conntrack模块装置,致使net.nf_conntrack_max 重设为65536。
4. 触发nf_conntrack模块重新装载的操作很多,CentOS6 中“rvice iptables restart”,CentOS7中“systemctl restart iptables.rvice”都会触发设置重置,致使
net.nf_conntrack_max 重设为65536。衰微
重要的⼏个配置⽂件
nf_conntrack_max决定连接跟踪表的⼤⼩,当nf_conntrack模块被装置且服务器上连接超过这个设定的值时,系统会主动丢掉新连接包,直到连接⼩于此设置值才会恢复。
nf_conntrack_buckets决定存储conntrack条⽬的哈希表⼤⼩,若是单⽅⾯修改nf_conntrack_max,⽽不修改nf_conntrack_buckets,只是影响查找速度,挂在不了桶上的新跟踪项⽬,会挂在到桶中的链表上(原理为hash表结构)。
nf_conntrack_tcp_timeout_established系统默认值为”432000”,代表nf_conntrack的TCP连接记录时间默认是5天,致使nf_conntrack的值减不下来,丢包持续时间长。
通过修改这两个值即可,但是nf_conntrack_buckets时个只读⽂件,⽆法进⾏修改。
修改参数
或通过sysctl命令进⾏修改:
$ sysctl -filter.nf_conntrack_max=1048576
$ sysctl -filter.nf_conntrack_tcp_timeout_established=3600
$ sysctl -p #使⽣效
或是直接永久性修改永久⽣效
vi /f
对于上述解决⽅案⽆法修改nf_conntrack_buckets的参数,因为此为只读⽂件,通过上述⽂件可知知,可以通过模块加载的时候设置参数。此时可以采⽤下⾯⽅案进⾏修改:
1. 通过系统初始化脚本创建配置⽂件”/etc/modprobe.d/f”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参
数”hashsize”⾃动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
2. 通过⾃动化部署⼯具全⽹推送配置⽂件”/etc/modprobe.d/f”, 内容为“options nf_conntrack hashsize=262144”,保证nf_conntrack模块在⾸
次装载或重新装载时“net.nf_conntrack_max”内核参数设置为我们预期的“2097152”。
3. 更新系统初始化脚本,设置“filter.nf_conntrack_tcp_timeout_established=1800”,减少nf_conntrack的TCP连接记录时间。
4. 如果并不需要nf_conntrack及其相关模块可以在/etc/modprobe.d⽬录新建⽂件f ,⽂件中加⼊:install nf_conntrack /bin/fal 这样做的副作⽤是
⽆法再使⽤Iptables NAT相关功能。
jugglers
计算公式
可以增⼤ conntrack 的条⽬(ssions, connection tracking entries) CONNTRACK_MAX 或者增加存储 conntrack 条⽬哈希表的⼤⼩ HASHSIZE
默认情况下,CONNTRACK_MAX 和 HASHSIZE 会根据系统内存⼤⼩计算出⼀个⽐较合理的值:
对于 CONNTRACK_MAX,其计算公式:
CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)
⽐如⼀个 64 位 48G 的机器可以同时处理 48*1024^3/16384/2 = 1572864 条 netfilter 连接。对于⼤于 1G 内存的系统,默认的 CONNTRACK_MAX 是 65535。
对于 HASHSIZE,默认的有这样的转换关系:
CONNTRACK_MAX = HASHSIZE * 8
这表⽰每个链接列表⾥⾯平均有 8 个 conntrack 条⽬。其真正的计算公式如下:
HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (ARCH / 32)
⽐如⼀个 64 位 48G 的机器可以存储 48*1024^3/131072/2 = 196608 的buckets(连接列表)。对于⼤于 1G 内存的系统,默认的 HASHSIZE 是 8192。
参考链接:

本文发布于:2023-05-31 15:15:45,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/90/129403.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:连接   跟踪   数据包   状态   模块   内核   事件
相关文章
留言与评论(共有 0 条评论)
   
验证码:
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图