熟悉IP分流朋友进来看看

Godbach

原帖由 fly6 于 2009-1-7 13:29 发表


是的，我也想到用这个了，但不知道怎么下手，我是新从windows下转过来的，因为工作中一般只在windows下面做,linux玩得并不多，特别是动手能力更菜

那就先了解一下Netfilter框架以及链接跟踪的相关知识

fly6

那就先了解一下Netfilter框架以及链接跟踪的相关知识
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
这个大概了解了，但．．．．就是不知道怎么下手，在哪个地方加
还有，请问一下
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ip包走状态时进的是内核的哪个模块，连接跟踪中是怎么统计的

Godbach

原帖由 fly6 于 2009-1-7 13:41 发表
那就先了解一下Netfilter框架以及链接跟踪的相关知识
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
这个大概了解了，但．．．．就是不知道怎么下手，在哪个地方加
还有，请问一下
iptables - ...

你的问题好多。

如果你觉得已经系统的看过NF了，你应该知道NF在各个hook点做什么动作，有哪些模块会挂在相应的hook点。以及链接跟踪如何依托在hook点上工作。

链接跟踪的记录可以通过cat /proc/net/ip_conntrack来查看。

fly6

我问的是内核的哪个文件里进行了连接跟踪的流量统计,我找了Ｎ久没找到

fly6

你的问题好多!

－－－－－－－－－－－－－－－－
菜鸟嘛，总是这样的
哈哈，多多包涵

fly6

是不是这里统计的
ip_conntrack_core.c
__ip_ct_refresh_acct()
{
.............
#ifdef CONFIG_IP_NF_CT_ACCT
        if (do_acct) {
                ct->counters[CTINFO2DIR(ctinfo)].packets++;
                ct->counters[CTINFO2DIR(ctinfo)].bytes +=
                                                ntohs(skb->nh.iph->tot_len);
                if ((ct->counters[CTINFO2DIR(ctinfo)].packets & 0x80000000)
                    || (ct->counters[CTINFO2DIR(ctinfo)].bytes & 0x80000000))
                        event |= IPCT_COUNTER_FILLING;
        }
#endif
...................
}

fly6

原帖由 platinum 于 2009-1-7 11:55 发表

统计每个 IP 的连接数、字节流量控制，这些都可以直接从 conntrack 中提取，为何还要做在 conntrack 前面呢？
我想的是，如果做在前面，那是不是就不要 conntrack 机制了，如果要，那们实际要做两次统计，自 ...

仔细一想，这种方式也不行啊，我要统计的是IP或者服务的流量，而不是连接（连接是暂时的，超时就会消失）

Godbach

原帖由 fly6 于 2009-1-7 13:51 发表
我问的是内核的哪个文件里进行了连接跟踪的流量统计,我找了Ｎ久没找到

内核只是保存链接跟踪的记录，一个记录的大致信息如下类似情形：

[root@localhost srcip_rb]# cat /proc/net/ip_conntrack
tcp      6 431999 ESTABLISHED src=10.1.28.169 dst=10.1.28.196 sport=2469 dport=22 packets=5282 bytes=322672 src=10.1.28.196 dst=10.1.28.169 sport=22 dport=2469 packets=6423 bytes=783328 [ASSURED] mark=0 secmark=0 use=1
[root@localhost srcip_rb]#

对于你的实现，你还要做其他的工作

platinum

原帖由 Godbach 于 2009-1-7 12:53 发表
如果在某种情况下，我对数据包的处理是在PREROUTING之前，这个时侯想去统计的话，是不是没法借用conntrack了。

理论上是的，因为建立 conntrack 表项是在 ipv4_conntrack_in 函数中做的

根据 2.6 内核的 netfilter 框架定义

1. static struct nf_hook_ops ipv4_conntrack_ops[] = {
   
2.         {
   
3.                 .hook           = ipv4_conntrack_defrag,
   
4.                 .owner          = THIS_MODULE,
   
5.                 .pf             = PF_INET,
   
6.                 .hooknum        = NF_IP_PRE_ROUTING,
   
7.                 .priority       = NF_IP_PRI_CONNTRACK_DEFRAG,
   
8.         },
   
9.         {
   
10.                 .hook           = ipv4_conntrack_in,
    
11.                 .owner          = THIS_MODULE,
    
12.                 .pf             = PF_INET,
    
13.                 .hooknum        = NF_IP_PRE_ROUTING,
    
14.                 .priority       = NF_IP_PRI_CONNTRACK,
    
15.         },

复制代码

重组和 conntrack 操作都是在 PREROUTING 上做的，只是他们的优先级不同而已，重组在前，入表在后，iptables 的操作从 MANGLE 开始（更后面）
如果一定要在 PREROUTING 之前使用 conntrack，理论上是不可能的

[ 本帖最后由 platinum 于 2009-1-7 15:17 编辑 ]

Godbach

我觉得这里还有一个问题：就是如果我想统计某个IP的流量的话，应该不管这个IP发起的连接最终是否建立。如果使用链接跟踪记录的话，那么肯定是经过了POSTROUTING，已经作为链接跟踪的一条记录了。