Linuxconntrack功能简介与操作
什么是conntrack
大家在关注Linux性能调优时可能会接触到Linux的连接跟踪,我们先回顾一下相关概念,了解一下它的作用是什么。
连接跟踪(connectiontracking,conntrack)是Linux内核中引入的nfconntrack模块所实现的功能,同时支持IPv4和IPv6,用于跟踪连接的状态,供其它模块或程序功能使用。Linux为每一个经过网络堆栈的数据包都会记录其状态,生成一个新的连接记录,并将后续的数据包都分配给对应的连接,并更新连接的状态。连接跟踪是许多网络应用的基础。如nat地址转换、有状态防火墙等功能,都依赖连接跟踪功能。
需要注意的是,连接跟踪中所说的连接的概念,与TCPIP的连接并不完全相同,在conntrack中,一个元组定义的一条数据流(flow)就表示一条连接,类似于UDP、ICMP协议在conntrack中也都是有连接记录的。
顺便说一下conntrack的实现原理,它是通过netfilter的hook机制,在相应点上拦截报文,进行相应的conntrack的建立和处理。
还是实际操作一下conntrack吧
首先,先检查系统内核是否已正常加载nfconntrack:lsmodgrepnfconntracknfconntrackipv6189357nfdefragipv6351041nfconntrackipv6nfconntrackipv4150536nfdefragipv4127291nfconntrackipv4nfconntrack1392646nfnat,nfnatipv4,nfnatipv6,xtconntrack,nfconntrackipv4,nfconntrackipv6libcrc32c126443xfs,nfnat,nfconntrack
注意,如果关闭了防火墙firewalld,内核不会加载nfconntrack模块。
安装conntrack工具集,便于方便的查看和操作conntrack:dnfinstallyconntracktools
之后就可以通过命令查看系统当前的conntrack信息:conntrackLtcp6299ESTABLISHEDsrcc2021imgdataimg。jpgdatasrc192。168。1。109dst192。168。1。182sport55527dport22srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。109sport22dport55527〔ASSURED〕mark0use1conntrackv1。4。4(conntracktools):1flowentrieshavebeenshown。
这里可以看到,我们有一个SSH连接到这台Linux,能识别到的信息包括协议、协议号、session生存时间、session状态、源IP地址、目的IP地址、源端口、目的端口、连接的状态。
从远端ping一下这台机器,这里能看到识别到了ICMP协议及其它元组信息:conntrackLtcp6431999ESTABLISHEDsrcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。109sport22dport55527srcc2021imgdataimg。jpgdatasrc192。168。1。109dst192。168。1。182sport55527dport22〔ASSURED〕mark0use1icmp129srcc2021imgdataimg。jpgdatasrc192。168。1。121dst192。168。1。182type8code0id2031srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。121type0code0id2031mark0use1conntrackv1。4。4(conntracktools):2flowentrieshavebeenshown。
当然我们可以查看系统的运行时信息,只是显示格式上的差异,信息是基本一致的:catprocnetnfconntrackipv42tcp6431999ESTABLISHEDsrcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。109sport22dport55527srcc2021imgdataimg。jpgdatasrc192。168。1。109dst192。168。1。182sport55527dport22〔ASSURED〕mark0zone0use2ipv42icmp129srcc2021imgdataimg。jpgdatasrc192。168。1。121dst192。168。1。182type8code0id2031srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。121type0code0id2031mark0zone0use2
我们还可以E参数,实时观察链接层面的变化:conntrackE〔NEW〕icmp130srcc2021imgdataimg。jpgdatasrc192。168。1。121dst192。168。1。182type8code0id2074〔UNREPLIED〕srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。121type0code0id2074〔UPDATE〕icmp130srcc2021imgdataimg。jpgdatasrc192。168。1。121dst192。168。1。182type8code0id2074srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。121type0code0id2074〔DESTROY〕icmp1srcc2021imgdataimg。jpgdatasrc192。168。1。121dst192。168。1。182type8code0id2074srcc2021imgdataimg。jpgdatasrc192。168。1。182dst192。168。1。121type0code0id2074
事件参考
在某些场景下,如主机的并发连接数过多,达到conntrack最大跟踪数量,会导致链接层面的一些异常,拿云上的一个案例分享:
Linux实例出现间歇性丢包,无法连接实例,在系统日志中重复出现大量类似以下错误信息。kernel:nfconntrack:tablefull,droppingpacket。kernel:nfconntrack:tablefull,droppingpacket。
涉及到的内核参数包括:
net。netfilter。nfconntrackbuckets
net。netfilter。nfconntrackmax
此场景下,一般建议调大nfconntrackmax参数值来进行处理,由于系统维护连接比较消耗内存,需要在系统空闲和内存充足的情况下调大nfconntrackmax参数。
总结
Linuxconntrack功能是诸多应用的基础,在某些性能调优、故障处置场景下需要关注到conntrack,希望本文介绍的一些内容能对大家有所帮助。
英超最新积分榜米神连续三轮破门送布莱顿首败,蓝军5轮仅7分英超第5轮开打,率先结束了4场比赛,我们看看已经结束了的战况和最新积分榜,蓝军12南安普顿富勒姆21布莱顿利兹联11太妃糖水晶宫11布伦特福德。英超最新积分榜蓝军切尔西上赛季就遇到
美网第2日你接得住郑钦文的自信吗?昨天,美网进行了第二个比赛日的争夺,三名中国女将出战。郑钦文以63,36,64力克16号种子奥斯塔彭科,袁悦以63,62完胜外卡选手弗里斯,王欣瑜则以36,46不敌弗吕维尔托娃。奥
美媒列出NBA5大历史记录!今后可能再也无法超越2022年NBA已经举办了75周年,在75年的历史长河中,NBA也拥有众多的球员,其中也有不少明星级别的球员,缔造了不少的历史记录,小编带你们盘点一下最难打破的历史记录。5。威斯布
戴资颖逆转,陈雨菲速胜!首局失4局点,梁王20赢中国德比2022日本羽毛球公开赛super750,男双助阵,国羽再度全力出击,首日国羽6胜3负收官,本日要决出全部16强席位。陈雨菲领衔女单5人组,与王祉怡何冰娇同在上半区,后二者首日晋级
韦空丨原创歌曲002丨爱到不爱词曲唱韦空爱到不爱摇滚爱到不爱,走过一千万年甜蜜如星星,痛苦就象黑色的夜空压抑得喘不过气,我们这是相互毁灭同归于尽,或是分道扬镳?恨到不恨,走过千万光年痛苦如真空,快乐就象真空的空
那些一看就想点赞的文案当你想发朋友圈宣泄自己的情绪当你还在为文案发愁吗?安若给你分享了20条吸引人的文案,总有一条适合你此刻的心情,欢迎阅读和收藏。一你站在我的位置就会知道我的感受,你就会知道我有多委屈
落叶之歌优雅而宁静头条创作挑战赛生命如歌秋叶飘零优雅而宁静因为它们都灿烂地活过,但愿我们都曾烂漫如阳光如鲜花当岁月回首身后你我,都将宁静而安祥生命如歌,只是一个小小的音符只是被岁月的手指幸福地弹过秋
官宣!套娃组合有望重返赛场,俄罗斯队将重新迎来国际比赛北京时间8月31日,俄罗斯媒体的消息,在未来的几个月时间里面,俄罗斯花样滑冰队将参加在蒙古举行的比赛。另外,俄罗斯队还将专门为蒙古花样滑冰以及其他项目,开设一系列的培训班,以报答对
国乒奥运女单首冠陈静曾拒绝大赛让球被封杀,转战赛场依旧强悍近日,中国乒乓球队展开了最新一轮的对抗,将会在接下来的时间里加强训练,备战即将到来的成都团体世乒赛,在这次比赛的过程中,中国队的球迷将会看到非常精彩的表现,毕竟国外多支球队实力强大
利物浦可能是新内马尔驰骋欧洲赛场的最佳地点随着利物浦在202223赛季的开局磕磕绊绊,关于他们问题的根本原因有很多争论。萨迪奥马内转会到拜仁慕尼黑是一个影响,一个在过去6年里平均赛季进20球的球员的缺席总是可能会带来代价。
再见苏伟!曝广东未帮8冠国手注册CBA恐再无换苏伟?北京时间8月31日,CBA官网更新了国内球员最新注册名单,郭艾伦周琦等人在最后一天完成压哨预注册。而广东队三少,赵睿一年续约留队,徐杰和胡明轩也完成了预注册。不过,在广东队注册的名
越冬养老没必要去海南三亚,四川有绝佳去处,气候温和环境美现在的人们越来越注重于享受。这种享受,这种享受不仅有心理上的各种娱乐活动,更是身体上的舒适感。特别是到冬天的时候,越来越多的人喜欢一年四季都保持在一个季节,不喜欢寒冷的冬天,一到冬
宁波十五岙村,低调但有文化底蕴,黄宗羲曾在此讲学,梅林成美景浙江省宁波市四明山北麓有一个古村,名为十五岙。这个古村远离城区,看似很普通,却是一个风景秀丽而且很有人文底蕴的村落。这里是著名思想家黄宗羲隐居著书的地方,村子里建有龙虎草堂黄宗羲文
手机摄影功能很强大,外出旅游时,如何拍出与众不同的大片?在旅途中用手机拍摄一些照片时会方便很多,拿我的手机来说的话,很多自带的功能就很实用,例如微距滤镜等,掌握和利用好了,再结合构图,就能拍出不一样的照片。旅行中,很适合用手机记录一路行
旅居日照半年,他为何爱上了日照城?大众网海报新闻记者郭馨煜见习记者陈璐日照报道拥有好的身体和心情,离不开文体休闲设施。居住环境周边有这些设施会让人居住体验更高,在日照这个小城,地方不大,设施齐全还很近,因此体验更好
房车自驾游32济南动物园的烟火气让我看到旅游市场也不是这么惨烟火气是疫情管控放开以来,或者是我认为的疫情结束以来,网络上的常用词之一。三年疫情期间,烟火气成了人们的一种向往。疫情过后,看到哪个地方又恢复到了疫情以前的日常,人们往往用烟火气来
确定了,曲面屏,不会再出现在高端机上了前段时间,三星发布了旗下最新旗舰机GalaxyS23系列。在三星S23系列中,有一个很明显的特点是屏幕不再那么曲了。标准版和Plus版保持着直屏,而Ultra版虽然还是曲面屏,但曲
中国科技快速发展,哈工大新技术曝光,助力28nm光刻机突破如果说曾经的我们因为落后而自卑,那么现在的我们就为中国的崛起而骄傲。经过70多年的发展,尤其是近40年来的快速发展,中国早已今非昔比,在各个科技领域都取得了不错的成果,可以说是真正
(体育)中国青少年滑雪公开赛分站赛重庆收官新华社重庆2月12日电(记者谷训)12日,明日之星20222023中国银行中国青少年滑雪公开赛重庆站落下帷幕。这是本赛季最后一站分站赛,也是唯一一场在室内滑雪场举办的赛事。为期3天
开源软件入门系列不定期更新开源软件的入门教程和二次开发相关内容,欢迎大家阅读和留言交流目前拟定的相关方向为QtQCustomPlotVtkParaviewOpenFoamFreeCADCTK这个月
确认了!这才是上半年最值得买的手机这几年的手机圈懂哥有个感觉,厂商除了内卷硬件,外观设计也开始重视起来。各种金属玻璃工艺,概念性设计文案吸睛,好不好看另说,眼花缭乱先给拉满。不过一路看下来,懂哥觉得定制版手机,应该
多学习少上当对于我这个小学文化40的小老头来说,ChatGPT的火爆,让我对这个世界越发感到陌生。总觉得这个世界到处是坑,就等着我往下跳。这不花费1小时去学习一下理解错了,欢迎指正深度学习是一