conntrack記錄查詢的疑問(wèn)

nu_teller

實(shí)例：
tftp client -> tftp server:
ORIGINAL          192.168.1.1:1106   -> 192.168.1.2:69
REPLY                 192.168.1.2:69      -> 192.168.1.1:1106
tftp server -> tftp client:
ORIGINAL          192.168.1.2:69      -> 192.168.1.1:1106
[fly]REPLY                 192.168.1.1:1106   -> 192.168.1.2:69[/fly]
在conntrack條目中只有一條記錄
疑問(wèn)在于：
最主要的是為什么tftp server的回應(yīng)報(bào)文能夠在nf_conntrack_hash[hash]表表中查到？
當(dāng)tftp server回應(yīng)的tuple的流程如下，
conntrack_in->resolve_normal_ct->nf_conntrack_find_get->__nf_conntrack_find
在nf_conntrack_hash[hash]表中查找是否存在對(duì)應(yīng)的tuple，
不明白的地方是nf_conntrack_hash表有沒(méi)有ORIGINAL和REPLY的分類，
nf_confirm中的查找orignal和reply tuple中的方法不同的原因？

__nf_conntrack_confirm(struct sk_buff **pskb)
{
        unsigned int hash, repl_hash;
   
        ...

        hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
        repl_hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_REPLY].tuple);

        ...

        /* See if there's one in the list already, including reverse:
           NAT could have grabbed it without realizing, since we're
           not in the hash.  If there is, we lost race. */
        list_for_each_entry(h, &nf_conntrack_hash[hash], list)
                if (nf_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple,
                                      &h->tuple))
                        goto out;
        list_for_each_entry(h, &nf_conntrack_hash[repl_hash], list)
                if (nf_ct_tuple_equal(&ct->tuplehash[IP_CT_DIR_REPLY].tuple,
                                      &h->tuple))
                        goto out;
        ...      
}

nu_teller

自己先頂下，期待大俠解答

Godbach

回復(fù) 2# nu_teller
你說(shuō)的 tftp 估計(jì)是 conntrack 中用到 helper 的情形了吧

瀚海書(shū)香

回復(fù) 1# nu_teller
netfilter中經(jīng)典的多連接協(xié)議匹配。也就是helper的應(yīng)用。
向ftp,tftp,h.323等協(xié)議，因?yàn)橥�一個(gè)協(xié)議可能是多個(gè)通道。比如ftp的命令和數(shù)據(jù)通道。但是根據(jù)命令通道可以計(jì)算出對(duì)應(yīng)的數(shù)據(jù)通道，內(nèi)核就會(huì)將相應(yīng)的數(shù)據(jù)通道和命令通道統(tǒng)一劃歸為ftp鏈接。

nu_teller

回復(fù) 3# Godbach
不好意思，我的敘述太繁瑣了，導(dǎo)致兄臺(tái)誤以為是tftp中的控制鏈接和數(shù)據(jù)連接的兩條conntrack記錄
我的本意是：
【問(wèn)題1】
pc 1 -------->    pc 2   發(fā)出請(qǐng)求[Original]，
pc 2 --------->   pc 1   發(fā)出回應(yīng)[Reply]，為什么是一條conntrack記錄？
從代碼的角度看：
pc2 -----> pc 1 的Reply 報(bào)文的tuple，是在nf_conntrack_in->resolve_normal_ct->nf_conntrack_find_get
中遍歷 nf_conntrack_hash[hash],
請(qǐng)問(wèn)nf_conntrack_hash[hash]是否將一條conntrack記錄中的original和reply這兩個(gè)tuple全部記錄在內(nèi)？

【問(wèn)題2】同時(shí)，在__nf_conntrack_confirm這個(gè)函數(shù)中，在確定一條連接是否存在的時(shí)候，
Original會(huì)遍歷nf_conntrack_hash[hash],
Reply 會(huì)遍歷 nf_conntrack_hash[repl_hash]，
這兩張hash值定義如下：
hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
repl_hash = hash_conntrack(&ct->tuplehash[IP_CT_DIR_REPLY].tuple);
那么這兩張hash表和問(wèn)題1的hash表有和異同呢？

nu_teller

回復(fù) 4# 瀚海書(shū)香


    你好，場(chǎng)景如下：      
                                          WAN側(cè)       |   LAN側(cè)
   10.10.10.2                10.10.10.3        |   192.168.1.1                192.168.1.3
tftp server <---------------> router (具備nat功能)   <-------------->  tftp client
                                                          |
                                                          |

此時(shí)只有一條Original  dport 69 的conntrack記錄，
并沒(méi)有tcp/ip 卷一種所說(shuō)的 數(shù)據(jù)連接 的出現(xiàn)？

Godbach

回復(fù) 5# nu_teller

【問(wèn)題1】
pc 1 -------->    pc 2   發(fā)出請(qǐng)求[Original]，
pc 2 --------->   pc 1   發(fā)出回應(yīng)[Reply]，為什么是一條conntrack記錄？
從代碼的角度看：
pc2 -----> pc 1 的Reply 報(bào)文的tuple，是在nf_conntrack_in->resolve_normal_ct->nf_conntrack_find_get
中遍歷 nf_conntrack_hash[hash],
請(qǐng)問(wèn)nf_conntrack_hash[hash]是否將一條conntrack記錄中的original和reply這兩個(gè)tuple全部記錄在內(nèi)？

   
你這么問(wèn)還是對(duì) conntrack 不了解啊。conntrack 是會(huì)將屬于同一個(gè)連接的雙向都記錄下來(lái)的，也就是將 orginal 和 reply 做一下關(guān)聯(lián)的。

高版本的內(nèi)核你可以通過(guò)  cat /proc/net/nf_conntrack 查看內(nèi)核是怎么記錄的，我隨便貼兩條給你

ipv4     2 udp      17 8 src=192.168.100.121 dst=202.108.251.50 sport=10752 dport=53 packets=1 bytes=63 src=202.108.251.50 dst=192.168.100.121 sport=53 dport=10752 packets=1 bytes=249 mark=0 secmark=0 use=1
ipv4     2 tcp      6 86 TIME_WAIT src=192.168.2.49 dst=192.168.100.121 sport=65005 dport=21900 packets=10 bytes=863 src=192.168.100.121 dst=192.168.2.49 sport=21900 dport=65005 packets=9 bytes=16439 [ASSURED] mark=0 secmark=0 use=1

nu_teller

回復(fù) 7# Godbach

我想知道為什么reply報(bào)文能在nf_conntrack_hash[hash]中查到啊？

whaaat

因?yàn)樵诎l(fā)出請(qǐng)求[Original]建立連接的時(shí)候就會(huì)記錄這個(gè)連接reply的tuple，reply報(bào)文到來(lái)會(huì)按照original和reply兩個(gè)方向去鏈接表里查詢，就會(huì)命中該鏈接。

Godbach

回復(fù) 8# nu_teller

內(nèi)部實(shí)現(xiàn)時(shí)做了關(guān)聯(lián)的