【Netfilter交流贴】Netfilter之连接跟踪的执行流程分析

Godbach

原帖由 flw2 于 2008-8-13 11:24 发表

那你让他把hash替换掉 如果能证明效率高，那可以替换掉算法
桶的大小参数可以在load的时候更改，而且现在的内核默认值也比以前大了 >1G 时有16K
桶大小占用内存小，如果调大一点，加上hash算法够好 ...

呵呵。改天去他博客山发个帖子问一下。

偶的算法不好，或者说基本上没什么算法基础。 不知道内核中算法占了多大比例，或者说学内核，算法基础不好有多大影响？

Godbach

原帖由 davhuang 于 2008-8-13 11:00 发表
conntrack這部分我一直比較頭痛，慢慢看，多謝Godbach

有机会多上来交流。连接跟踪这回也挺复杂的，尤其还有子链接问题。共同学习。

Godbach

看来搞链接跟踪的朋友不多啊，呵呵。

jaycu

原帖由 Godbach 于 2008-8-14 16:04 发表
看来搞链接跟踪的朋友不多啊，呵呵。

嘿~几天没见，又写了一篇好帖。。。写得不错。支持支持~~~

Godbach

原帖由 jaycu 于 2008-8-14 17:23 发表


嘿~几天没见，又写了一篇好帖。。。写得不错。支持支持~~~

呵呵，客气。都是链接跟踪比较基础的。深入的都还没来给分析呢。尤其是子链接的问题。

jaycu

原帖由 Godbach 于 2008-8-12 13:50 发表
三、IP层接收和发送数据包进入连接跟踪钩子函数的入口
整个分析是基于IP层进行的。
1. IP层接收数据包的函数为：ip_rcv（）ip_input.c

该函数执行到最后：
return NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, s ...

2. IP层发送数据包（TCP包）的函数为：
int ip_queue_xmit(struct sk_buff *skb)   ip_output.c

该函数执行到最后：
returnNF_HOOK(PF_INET, NF_IP_LOCAL_OUT, skb, NULL, rt->u.dst.dev,
ip_queue_xmit2);

执行所有（NF_IP_PRE_ROUTING，这个地方应该是NF_IP_LOCAL_OUT）上的钩子，仅当所有钩子函数都返回NF_ACCEPT，接着执行ip_queue_xmit2。由于连接跟踪的优先级最高，所以先执行连接跟踪的钩子函数ip_conntrack_local()，该函数处理一下Raw Socket之后，接着调用ip_conntrack_in()进行处理。

jaycu

你这纯属笔误。呵呵

Godbach

原帖由 jaycu 于 2008-8-14 17:31 发表
你这纯属笔误。呵呵

多谢指出错误，看的真仔细啊。我马上改一下。

[ 本帖最后由 Godbach 于 2008-8-14 17:42 编辑 ]

Godbach

最近在研究哪些方面的东东啊？

jaycu

原帖由 Godbach 于 2008-8-14 17:43 发表
最近在研究哪些方面的东东啊？

算不上研究，以后打算去做流量控制，所以最近在看网络内核，但是总被一些其他的任务打乱，一会儿java，一会儿源码，烦啊。。
LZ呢？主要研究什么呢？