__ip_conntrack_confirm函数问题

cs_student

今天在看连接跟踪表里__ip_conntrack_confirm这个函数的代码时，对它里面的一些流程没有明白，想请各位高手给解释一下，在看到这段代码时：

1. list_for_each_entry(h, &ip_conntrack_hash[hash], list)
   
2.                 if (ip_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple,
   
3.                                       &h->tuple))
   
4.                         goto out;
   
5.         list_for_each_entry(h, &ip_conntrack_hash[repl_hash], list)
   
6.                 if (ip_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_REPLY].tuple,
   
7.                                       &h->tuple))
   
8.                         goto out;
   
9. ......
   
10. 
    
11. out:
    
12.         CONNTRACK_STAT_INC(insert_failed);
    
13.         write_unlock_bh(&ip_conntrack_lock);
    
14.         return NF_DROP;

复制代码

在上面的判断中，如果在连接跟踪表中可以找到和传过来的连接记录的tuple一样的信息，则丢包，请问这是为什么呢？还是我对ip_ct_tuple_equal这个函数理解的有误？
ip_ct_tuple_equal函数实际上是这样的：

1. return t1->src.ip == t2->src.ip
   
2.                 && t1->src.u.all == t2->src.u.all;

复制代码

请问 t1->src.u.all 判断的是什么呢？

re_load

这个confirm是将一个tuple插入跟踪表的，confirm过的包不会再次进入这个函数的。
src.u.all里面有时候是port有时候是id的之类的吧，看协议啦

Godbach

LS正解。你看一下这个结构体就明白了。对于不同的协议，实际上比较的成员不一样，TCP和UDP都是端口，ICMP比的是type&code。但是从内存的使用角度上来看，都是一个16bit的数值。所有用all来代替，免得做协议的区分了。

cs_student

谢谢楼上两位的回答。src.u.all的问题现在基本搞清了。但是对于返回 return NF_DROP的问题还是没有搞清楚。为什么if (ip_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple,&h->tuple))判断为真的话就要返回NF_DROP呢？

Godbach

那就搞清楚什么时候这个条件判断为真？

cs_student

判断的条件就是这个

1. return t1->src.ip == t2->src.ip && t1->src.u.all == t2->src.u.all;

复制代码

如果返回1，就drop，我不理解