免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: Godbach

【iptables交流贴】iptables执行的流程分析 [复制链接]

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2008-08-07 17:24 |显示全部楼层
原帖由 sunorr 于 2008-8-7 17:00 发表
和内核通信一共有多少种方式啊?貌似接口很多?


内核和用户空间的通信方式大概有八九种吧

论坛徽章:
0
发表于 2008-08-07 17:24 |显示全部楼层
原帖由 jaycu 于 2008-8-7 17:21 发表


以前实验室的师兄用nf做过一个系统,那个连接追踪巨占资源。。。

具体讲讲哈~

论坛徽章:
0
发表于 2008-08-07 17:25 |显示全部楼层
原帖由 dreamice 于 2008-8-7 17:24 发表


内核和用户空间的通信方式大概有八九种吧

哇哦,这么多啊~能帮列出来吗?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2008-08-07 17:25 |显示全部楼层
原帖由 jaycu 于 2008-8-7 17:19 发表



恩,正在死瞅iptables源码,嘿嘿



呵呵恶,多谢,我臭了半天不知道在哪里。
感觉到就是在append_entry里面,它应该去判断一下是否使用的state扩展。如果这里没有的话,难道是内核在做这样的工作。

要么就是根本上理解错误了。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2008-08-07 17:26 |显示全部楼层
原帖由 jaycu 于 2008-8-7 17:21 发表


以前实验室的师兄用nf做过一个系统,那个连接追踪巨占资源。。。



是啊,连接跟踪记录多的时候可以上百万条。很占资源的。

论坛徽章:
0
发表于 2008-08-07 17:28 |显示全部楼层
原帖由 sunorr 于 2008-8-7 17:24 发表

具体讲讲哈~



NF是贯穿整个TCP/IP协议栈的。推荐你看看九贱大师的《netfilter源码分析》。

至于资源占用,反正是加上nf的连接追踪,加上l7的正则匹配,性能损失50%~60%!!!

论坛徽章:
0
发表于 2008-08-07 17:28 |显示全部楼层
原帖由 Godbach 于 2008-8-7 17:26 发表



是啊,连接跟踪记录多的时候可以上百万条。很占资源的。

我新手,具体讲讲,怎么连接追踪啊?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2008-08-07 17:30 |显示全部楼层
原帖由 sunorr 于 2008-8-7 17:28 发表

我新手,具体讲讲,怎么连接追踪啊?


下周把我总结的连接跟踪建立的流程发出来,大家一起交流一下。
同样,九贱大侠的精华贴 netfilter中也将了连接跟踪,可以看一下:
http://linux.chinaunix.net/bbs/thread-815129-1-1.html

论坛徽章:
0
发表于 2008-08-07 17:31 |显示全部楼层
原帖由 Godbach 于 2008-8-7 17:25 发表



呵呵恶,多谢,我臭了半天不知道在哪里。
感觉到就是在append_entry里面,它应该去判断一下是否使用的state扩展。如果这里没有的话,难道是内核在做这样的工作。

要么就是根本上理解错误了。



恩。我其实也是刚开始看iptables源码,我当初是没iptables源码时就开始看九贱大师的iptables源码了,所以很多没搞清楚。刚下了源码,正好结合你的第一楼的帖子,好好瞅瞅。对state选项还真是了解的太少,好好学习一下。

现在去鸟巢瞅瞅让不让远观,哎,没票就只有远观的份儿了。。。

论坛徽章:
0
发表于 2008-08-07 17:33 |显示全部楼层
原帖由 Godbach 于 2008-8-7 17:30 发表


下周把我总结的连接跟踪建立的流程发出来,大家一起交流一下。
同样,九贱大侠的精华贴 netfilter中也将了连接跟踪,可以看一下:
http://linux.chinaunix.net/bbs/thread-815129-1-1.html



LZ真是好人啊哈哈。的确,九贱的《iptables源码分析》、《netfilter源码分析》,我还找到了一份《conntrack源码分析》(忘记是不是他的了,这一串,最近似乎不见九贱说话了。。。那些帖子都是05,06年的了。。。)
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP