一  Linux网络之连接跟踪 conntrack

k8s 有关conntrack的分析

①  什么是连接跟踪

netfilter连接跟踪 conntrack 详述

思考：连接跟踪模块会对'哪些协议'进行'跟踪'?'TCP'、UDP、ICMP、DCCP、SCTP、'GRE'

②  为什么需要连接跟踪

'没有'连接跟踪有'很多问题'是不好'解决'的：1、conntrack是属于'netfilter'的一部分2、netfilter主要'功能'就是对'数据包'的'过滤及更改',没有连接跟踪只能对单个数据包进行过滤3、比如之前的'无状态防火墙',有了'连接跟踪'后,则可以把'报文的生命周期延长'了4、从第一个包到最后一个包都可以关联到一起,就从对'点'的防护做到了对'线'防护,'有状态'防火墙5、有些协议如ftp、sip、tftp等有控制连接和数据连接,两个连接是有'从属关系'的备注： 如果需要对'此类流量'进行过滤,没有连接跟踪是'不好搞'的6、最主要的就是'NAT方案',可以'解决ipv4地址'不够,内网外网连接问题7、如果要'实现NAT',就需要让'内核跟踪会话'8、设置了CONFIG_NF_CONNTRACK_IPV4就可以构建ipv4 NAT9、连接跟踪的'应用场景'：NAT、状态防火墙、四层负载均衡

③  连接跟踪的实现原理

连接跟踪： 有'记忆'的记录'flow'流

④  conntrack中的连接

连接跟踪

⑤  NAT网络地址转换

百度百科 NAT   阿里云 NAT  华为云 NAT

NAT也可以替换'源端口'  --> 'WAF'涉及NAT还可以'进一步'分类：SNAT： '源'地址转换    --> '出公网'  --> 家庭'上网'DNAT： '目的'地址转换  --> '进内网'Full NAT： 原地址和目的地址'都'转换  --> 'LVS'

⑥  思考

思考：iptables规则会影响tcpdump抓包吗?1、答案是'不会'2、tcpdump抓包是libpcap实现的,libpcap是用bpf实现的3、bpf'位于netfilter前',所以'不会影响抓包'

⑦  conntrack 命令

yum install -y conntrack  

conntrack-tool工具

需求1： 查看连接跟踪表之中 'snat转换' 的'连接'conntrack -L -n 注意：连接信息之中会记载'未经转换'的ip信息需求2： 查看'绝对'开始日期需要'先执行' echo 1 > /proc/sys/net/netfilter/nf_conntrack_timestamp'启用'该功能然后 conntrack -L -o ktimestamp需求3： 如何查看一个'连接'的信息conntrack -L -s 来源ip地址根据'来源ip'来进行搜索'显示连接'的信息

conntrack -L '每行'的'输出'含义解读1、第一列tcp表示'协议名'2、第二列'6'表示TCP的'协议号'3、第三列'91'表示这条连接的'TTL' 秒4、第四列'TIME_WAIT'表示'TCP的状态',这一列是'扩展'信息,并'不是'每种协议都会有5、然后是src=192.168.0.101 dst=10.10.102.155 sport=58554 dport=8000它表示该连接的'请求包'的四元组6、然后是src=10.10.102.155 dst=192.168.0.101 sport=8000它表示该连接的'回复包'的四元组7、[ASSURED]表示'该连接'的状态,说明'回复方向的包'已经'收到'过了
​
连接标记'说明'：UNREPLIED：  表示这个连接还'没有'收到任何'回应'ASSURED：    连接上已经有'多个'数据包传输,会被标记为 ASSURED

连接跟踪详解

⑧  内核参数

1、nc 表的'容量'/proc/sys/net/netfilter/nf_conntrack_max2、查看当前的'连接表 nc'之中连接的'数量'/proc/sys/net/netfilter/nf_conntrack_count3、查看nf_conntrack的'TCP连接记录时间'  --> 86400 --> '24h'/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

iptables -A INPUT -m conntrack --ctstate RELATED -j ACCEPT