一 Linux网络之连接跟踪 conntrack
k8s 有关conntrack的分析
① 什么是连接跟踪
netfilter连接跟踪 conntrack 详述
思考:连接跟踪模块会对'哪些协议'进行'跟踪'?
'TCP'、UDP、ICMP、DCCP、SCTP、'GRE'② 为什么需要连接跟踪
'没有'连接跟踪有'很多问题'是不好'解决'的:
1、conntrack是属于'netfilter'的一部分
2、netfilter主要'功能'就是对'数据包'的'过滤及更改',没有连接跟踪只能对单个数据包进行过滤
3、比如之前的'无状态防火墙',有了'连接跟踪'后,则可以把'报文的生命周期延长'了
4、从第一个包到最后一个包都可以关联到一起,就从对'点'的防护做到了对'线'防护,'有状态'防火墙
5、有些协议如ftp、sip、tftp等有控制连接和数据连接,两个连接是有'从属关系'的
备注: 如果需要对'此类流量'进行过滤,没有连接跟踪是'不好搞'的
6、最主要的就是'NAT方案',可以'解决ipv4地址'不够,内网外网连接问题
7、如果要'实现NAT',就需要让'内核跟踪会话'
8、设置了CONFIG_NF_CONNTRACK_IPV4就可以构建ipv4 NAT
9、连接跟踪的'应用场景':NAT、状态防火墙、四层负载均衡
③ 连接跟踪的实现原理
连接跟踪: 有'记忆'的记录'flow'流
④ conntrack中的连接
连接跟踪
⑤ NAT网络地址转换
百度百科 NAT 阿里云 NAT 华为云 NAT
NAT也可以替换'源端口' --> 'WAF'涉及
NAT还可以'进一步'分类:
SNAT: '源'地址转换 --> '出公网' --> 家庭'上网'
DNAT: '目的'地址转换 --> '进内网'
Full NAT: 原地址和目的地址'都'转换 --> 'LVS'
⑥ 思考
思考:iptables规则会影响tcpdump抓包吗?
1、答案是'不会'
2、tcpdump抓包是libpcap实现的,libpcap是用bpf实现的
3、bpf'位于netfilter前',所以'不会影响抓包'⑦ conntrack 命令
yum install -y conntrack 
conntrack-tool工具
需求1: 查看连接跟踪表之中 'snat转换' 的'连接'
conntrack -L -n
注意:连接信息之中会记载'未经转换'的ip信息
需求2: 查看'绝对'开始日期
需要'先执行' echo 1 > /proc/sys/net/netfilter/nf_conntrack_timestamp'启用'该功能
然后 conntrack -L -o ktimestamp
需求3: 如何查看一个'连接'的信息
conntrack -L -s 来源ip地址
根据'来源ip'来进行搜索'显示连接'的信息
conntrack -L '每行'的'输出'含义解读
1、第一列tcp表示'协议名'
2、第二列'6'表示TCP的'协议号'
3、第三列'91'表示这条连接的'TTL' 秒
4、第四列'TIME_WAIT'表示'TCP的状态',这一列是'扩展'信息,并'不是'每种协议都会有
5、然后是src=192.168.0.101 dst=10.10.102.155 sport=58554 dport=8000
它表示该连接的'请求包'的四元组
6、然后是src=10.10.102.155 dst=192.168.0.101 sport=8000
它表示该连接的'回复包'的四元组
7、[ASSURED]表示'该连接'的状态,说明'回复方向的包'已经'收到'过了
连接标记'说明':
UNREPLIED: 表示这个连接还'没有'收到任何'回应'
ASSURED: 连接上已经有'多个'数据包传输,会被标记为 ASSURED
连接跟踪详解
⑧ 内核参数
1、nc 表的'容量'
/proc/sys/net/netfilter/nf_conntrack_max
2、查看当前的'连接表 nc'之中连接的'数量'
/proc/sys/net/netfilter/nf_conntrack_count
3、查看nf_conntrack的'TCP连接记录时间' --> 86400 --> '24h'
/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
iptables -A INPUT -m conntrack --ctstate RELATED -j ACCEPT
