随笔分类 - 邻居nd netfilter
摘要:xx产品有个功能是对任何端口的访问都会被记录。它的实现原理是iptables的NFLOG NFLOG是什么 它是一个target,就像ACCEPT、DROP等可以作为iptables -j后的参数值 iptables -A INPUT -p tcp -m tcp --dport 80 -j NFLO
阅读全文
摘要:ebtables中有三张表filter,nat,broute,六条链INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING和BROUTING ebtables -A INPUT --log-level info --log-ip --log-ip6 --log-arp
阅读全文
摘要:目前遇到问题为:设备发送特定的radius探测报文到radius容器不通, 在宿主机能抓到包,容器内部抓不到包 目前问题已经明确,我们来看下正常情况下报文是怎样的!! // 00:0c:29:cc:1c:df 为宿主机 eth0mac地址 [Thu Sep 21 18:10:39 2023] TRA
阅读全文
摘要:iptables -t raw -I PREROUTING -p tcp --dport 80 -j LOG # iptables -t raw -I PREROUTING -p tcp --dport 80 -j LOG --log-level 3 --log-prefix "ipt-err:"
阅读全文
摘要:iptable中 四个表的优先级顺序如下: raw: 对收到的数据包在连接跟踪前进行处理。一般用不到,可以忽略 一旦用户使用了 raw 表,raw 表处理完后,将跳过 nat 表和 ip_conntrack 处理,即不再做地址转换和数据包的链接跟踪处理了 mangle: 用于修改报文、给报文打标签,
阅读全文
摘要:索引和TCP状态值 三维数组tcp_conntracks定义了TCP连接的状态转换表, 第一维表示方向,0和1分别表示原和反方向; 第二维表示6个报文标志,如下tcp_bit_set所示; 第三位表示当前的状态,最终索引对应的值为新状态。 static unsigned int get_conntr
阅读全文
摘要:# iptables -j TPROXY -h TPROXY target options: --on-port port Redirect connection to port, or the original port if 0 --on-ip ip Optionally redirect to
阅读全文
摘要:在之前文章ftp&nat写到调整seq问题,现在专门来看下: tcp负载长度发生变化 在ftp传输PORT命令或者PASV的应答时会进行alg处理,如果使能了nat则会修改PORT命令或者PASV的应答的内容,导致tcp负载发生变化。 /* Generic function for mangling
阅读全文
摘要:·········Linux的TCP实现中自带了Syncokkie,然而那是在TCP层做的,我们知道Linux内核的TCP是在锁住Listener的情况下进行Syncookie过程的,这样做的意义明显是为了不为SYN攻击流量分配任何本地内存,而不是为了节省CPU时间的。为了去掉那把锁在Listene
阅读全文
摘要:之前ac上支持过ftp先关内容,dpdk上ftp的实现主要是拷贝内核ftp的实现。dpdk的代码涉及到公司业务,就不上传了。看内核协议栈代码 基本原理 向连接跟踪子系统注册一个helper来跟踪FTP控制连接上传输的报文,通过搜索这些报文中的PORT(主动模式)和PASV(被动模式)命令,进而获取到
阅读全文
摘要:上篇文章分析了 内核 tftp help 期望连接相关代码, 其中有一点是nat_tftp没有分析,对应业务逻辑就是:TFTP协议穿越SNAT TFTP协议穿越SNAT 穿越SNAT主要用于TFTP服务器部署在公网场景,客户端需要通过SNAT转换后访问外部服务器。如图2-1所示,展示了TFTP穿越防
阅读全文
摘要:内核首先注册tftp help 将tftp_help 以及熟知的端口号69 注册到nf_ct_helper_hash链表中 static int __init nf_conntrack_tftp_init(void) { for (i = 0; i < ports_c; i++) { tftp[i]
阅读全文
摘要:NF_INET_PRE_ROUTING 做DNAT (做了DNAT后在做路由决定是local_in还是forwarding)数据包进入路由表之前 NF_INET_POST_ROUTING 做SNAT (离开协议栈时,做源ip替换)发送到网卡接口之前 NF_INET_LOCAL_OUT:本机发包时,做
阅读全文