這是有關網絡地址轉換networkaddresstranslationNAT的系列文章中的第二篇之前的第一篇文章先容了若何使用iptablesnftables的報文跟蹤功效來定位NAT相關的毗鄰問題作為第二部門本文先容,conntrack,弁言,通過iptables或nftables設置的NAT確立在netfilters毗鄰跟蹤子系統之上,conntrack,毗鄰跟蹤狀態表,毗鄰跟蹤子系統會跟蹤它看到的所有報文流運行,sudoconntrackL,tcpESTABLISHEDsrc19216825dst10253980sport5646dport443src10253980dst19216825sport443dport5646ASSUREDmark0use1tcp626SYNSENTsrc19216825dst192168210sportdport443UNREPLIEDsrc192168210dst19216825sport443dportmark0use1udp1729src19216881dst239255255250sportdport1900UNREPLIEDsrc239255255250dst19216881sport1900dportmark0use1,上述显示效果中每行示意一個毗鄰跟蹤項你可能會注重到每行相同的地址和端口號會泛起兩次而且第二次泛起的源地址端口對和目的地址端口對會與第一次正好相反這是由於每個毗鄰跟蹤項會先後兩次被插入毗鄰狀態表第一個四元組源地址目的地址源端口目的端口紀錄的是原始偏向的毗鄰信息即發送者發送報文的偏向而第二個四元組則紀錄的是毗鄰跟蹤子系統期望收到的對端回復報文的毗鄰信息這解決了兩個問題,若是報文匹配到一個NAT規則例如IP地址偽裝響應的映射信息會紀錄在鏈接跟蹤項的回復偏向部門並自動應用於統一條流的所有後續報文,縱然一條流經由了地址或端口的轉換也可以樂成在毗鄰狀態表中查找到回復報文的四元組信息,原始偏向的第一個显示的四元組信息永遠不會改變它就是發送者發送的毗鄰信息NAT操作只會修改回復偏向第二個四元組由於這是接受者看到的毗鄰信息修改第一個四元組沒有意義netfilter無法控制提議者的毗鄰狀態它只能在收到轉發報文時對其施加影響當一個報文未映射到現有毗鄰表項時毗鄰跟蹤可以為其新建一個表項對於UDP報文該操作會自動舉行對於TCP報文毗鄰跟蹤可以設置為只有TCP報文設置了SYN標誌位才新建表項默認情形下毗鄰跟蹤會允許從流的中央報文最先確立這是為了阻止對啟用毗鄰跟蹤之前就存在的流處置泛起問題,毗鄰跟蹤狀態表和NAT,如上一節所述回復偏向的四元組包羅NAT信息你可以通過下令過濾輸出經由源地址NAT或目的地址NAT的毗鄰跟蹤項通過這種方式可以看到一個指定的流經由了哪種類型的NAT轉換例如運行,sudoconntrackLptcpsrcnat,tcp6114TIMEWAITsrc100010dst108212sport5536dport80src108212dst19216812sport80dport5536ASSURED,這個毗鄰跟蹤項示意一條從1000105536到10821280的毗鄰與前面示例差其餘是回復偏向的四元組不是原始偏向四元組的簡樸翻轉源地址已修改目的主機108212將回複數據包發送到19216812而不是100010每當100010發送新的報文時具有此毗鄰跟蹤項的路由器會將源地址替換為19216812當108212發送回復報文時該路由器將目的地址修改回100010上述源NAT行為源自一條NFT偽裝規則,inetnatpostroutingmetaoifnameveth0masquerade,其他類型的NAT規則例如目的地址DNAT規則或重定向規則其毗鄰跟蹤項也會以類似的方式显示回復偏向四元組的遠端地址或端口與原始偏向四元組的遠端地址或端口差異,毗鄰跟蹤擴展,毗鄰跟蹤的記帳功效和時間戳功效是兩個有用的擴展功效運行,sudosysctlnetnetfilternfconntrackacct1,sudoconntrackL,sudosysctlnetnetfilternfconntracktimestamp1,sudoconntrackL,outputktimestamp,插入和更改毗鄰跟蹤項,你可以手動為狀態表添加毗鄰跟蹤項例如,sudoconntrackIs192168710d10111protonum17timeout120sportdport80,這項下令通常被conntrackd用於狀態複製即將主防火牆的毗鄰跟蹤項複製到備用防火牆系統於是當切換髮生的時刻備用系統可以接受已經確立的毗鄰且不會造成中止毗鄰跟蹤還可以存儲報文的帶外元數據例如毗鄰跟蹤符號和毗鄰跟蹤標籤可以用更新選項,U,sudoconntrackUm42ptcp,這條下令將所有的TCP流的毗鄰跟蹤符號修改為42,刪除毗鄰跟蹤項,在某些情形下你可能想從狀態表中刪除條目例如對NAT規則的修改不會影響表中已存在流的經由報文因此對UDP長毗鄰例如像VXLAN這樣的隧道協議刪除表項可能很有意義這樣新的NAT轉換規則才氣生效可以通過,sudoconntrackD,sudoconntrackDpudpsrc100124dst10001sport1234dport53,毗鄰跟蹤錯誤計數,conntrack,sudoconntrackScpu0found0invalid130insert0insertfailed0drop0earlydrop0error0searchrestart10cpu1found0invalid0insert0insertfailed0drop0earlydrop0error0searchrestart0cpu2found0invalid0insert0insertfailed0drop0earlydrop0error0searchrestart1cpu3found0invalid0insert0insertfailed0drop0earlydrop0error0searchrestart0,大多數計數器將為0,Found,insert,invalid,insertfailed,drop,earlydrop,error,searchrestart,clashresolve,除非經常發生這些錯誤條件通常無害一些錯誤可以通過針對預期事情負載調整毗鄰跟蹤子系統的參數來降低其發生概率典型的設置包羅,netnetfilternfconntrackbuckets,netnetfilternfconntrackmax,當報文狀態是,invalid,sudosysctlnetnetfilternfconntrackloginvalid255,nfctproto6invalidtcpflagcombinationSRC10021DST100967LEN1040TOS0x00PREC0x00TTL255ID0PROTOTCPSPT5723DPT443SEQ1ACK0,總結,本文先容了若何檢查毗鄰跟蹤表和存儲在跟蹤流中的NAT信息本系列的下一部門將延伸討論毗鄰跟蹤工具和毗鄰跟蹤事宜框架,via作者FlorianWestphal選題lujun9972譯者cooljelly校對wxy,本文由LCTT原創編譯Linux中國聲譽推出,額頭中間有凹陷風水(身體這四個部位有疤痕)
風水二十四山(風水學把山向分為二十四山)