中山建设厅网站首页,个人做企业网站,换ip对网站有影响吗,阿里云建设网站教学一 Linux网络之连接跟踪 conntrack
k8s 有关conntrack的分析
① 什么是连接跟踪
netfilter连接跟踪 conntrack 详述 思考#xff1a;连接跟踪模块会对哪些协议进行跟踪?TCP、UDP、ICMP、DCCP、SCTP、GRE
② 为什么需要连接跟踪
没有连接跟踪有很多问题是不好解决的连接跟踪模块会对哪些协议进行跟踪?TCP、UDP、ICMP、DCCP、SCTP、GRE
② 为什么需要连接跟踪
没有连接跟踪有很多问题是不好解决的1、conntrack是属于netfilter的一部分2、netfilter主要功能就是对数据包的过滤及更改,没有连接跟踪只能对单个数据包进行过滤3、比如之前的无状态防火墙,有了连接跟踪后,则可以把报文的生命周期延长了4、从第一个包到最后一个包都可以关联到一起,就从对点的防护做到了对线防护,有状态防火墙5、有些协议如ftp、sip、tftp等有控制连接和数据连接,两个连接是有从属关系的备注 如果需要对此类流量进行过滤,没有连接跟踪是不好搞的6、最主要的就是NAT方案,可以解决ipv4地址不够,内网外网连接问题7、如果要实现NAT,就需要让内核跟踪会话8、设置了CONFIG_NF_CONNTRACK_IPV4就可以构建ipv4 NAT9、连接跟踪的应用场景NAT、状态防火墙、四层负载均衡 ③ 连接跟踪的实现原理
连接跟踪 有记忆的记录flow流 ④ conntrack中的连接 连接跟踪
⑤ NAT网络地址转换 百度百科 NAT 阿里云 NAT 华为云 NAT
NAT也可以替换源端口 -- WAF涉及NAT还可以进一步分类SNAT 源地址转换 -- 出公网 -- 家庭上网DNAT 目的地址转换 -- 进内网Full NAT 原地址和目的地址都转换 -- LVS ⑥ 思考
思考iptables规则会影响tcpdump抓包吗?1、答案是不会2、tcpdump抓包是libpcap实现的,libpcap是用bpf实现的3、bpf位于netfilter前,所以不会影响抓包
⑦ conntrack 命令 yum install -y conntrack conntrack-tool工具
需求1 查看连接跟踪表之中 snat转换 的连接conntrack -L -n 注意连接信息之中会记载未经转换的ip信息需求2 查看绝对开始日期需要先执行 echo 1 /proc/sys/net/netfilter/nf_conntrack_timestamp启用该功能然后 conntrack -L -o ktimestamp需求3 如何查看一个连接的信息conntrack -L -s 来源ip地址根据来源ip来进行搜索显示连接的信息 conntrack -L 每行的输出含义解读1、第一列tcp表示协议名2、第二列6表示TCP的协议号3、第三列91表示这条连接的TTL 秒4、第四列TIME_WAIT表示TCP的状态,这一列是扩展信息,并不是每种协议都会有5、然后是src192.168.0.101 dst10.10.102.155 sport58554 dport8000它表示该连接的请求包的四元组6、然后是src10.10.102.155 dst192.168.0.101 sport8000它表示该连接的回复包的四元组7、[ASSURED]表示该连接的状态,说明回复方向的包已经收到过了
连接标记说明UNREPLIED 表示这个连接还没有收到任何回应ASSURED 连接上已经有多个数据包传输,会被标记为 ASSURED连接跟踪详解
⑧ 内核参数
1、nc 表的容量/proc/sys/net/netfilter/nf_conntrack_max2、查看当前的连接表 nc之中连接的数量/proc/sys/net/netfilter/nf_conntrack_count3、查看nf_conntrack的TCP连接记录时间 -- 86400 -- 24h/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established iptables -A INPUT -m conntrack --ctstate RELATED -j ACCEPT
