Linuxconntrack功能简介与操作

　　什么是 conntrack
　　大家在关注Linux性能调优时可能会接触到Linux的连接跟踪，我们先回顾一下相关概念，了解一下它的作用是什么。
　　连接跟踪（connection tracking，conntrack）是Linux内核中引入的nf_conntrack 模块所实现的功能，同时支持IPv4 和 IPv6，用于跟踪连接的状态，供其它模块或程序功能使用。 Linux为每一个经过网络堆栈的数据包都会记录其状态，生成一个新的连接记录，并将后续的数据包都分配给对应的连接，并更新连接的状态。连接跟踪是许多网络应用的基础。如nat地址转换、有状态防火墙等功能，都依赖连接跟踪功能。
　　需要注意的是，连接跟踪中所说的＂连接＂的概念，与 TCP/IP 的＂连接＂并不完全相同， 在 conntrack 中，一个元组定义的一条数据流（flow）就表示一条连接，类似于 UDP、ICMP 协议在 conntrack 中也都是有连接记录的。
　　顺便说一下 conntrack 的实现原理，它是通过netfilter的hook机制，在相应点上拦截报文，进行相应的conntrack的建立和处理。
　　还是实际操作一下 conntrack 吧
　　首先，先检查系统内核是否已正常加载nf_conntrack：# lsmod | grep nf_conntrack  nf_conntrack_ipv6 18935 7  nf_defrag_ipv6 35104 1 nf_conntrack_ipv6 nf_conntrack_ipv4 15053 6  nf_defrag_ipv4 12729 1 nf_conntrack_ipv4 nf_conntrack 139264 6 nf_nat,nf_nat_ipv4,nf_nat_ipv6,xt_conntrack,nf_conntrack_ipv4,nf_conntrack_ipv6 libcrc32c 12644 3 xfs,nf_nat,nf_conntrack
　　注意，如果关闭了防火墙firewalld，内核不会加载nf_conntrack模块。
　　安装 conntrack 工具集，便于方便的查看和操作 conntrack：# dnf install -y conntrack-tools
　　之后就可以通过命令查看系统当前的 conntrack 信息：# conntrack -L tcp 6 299 ESTABLISHED src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.109 dst=192.168.1.182 sport=55527 dport=22 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.109 sport=22 dport=55527 [ASSURED] mark=0 use=1 conntrack v1.4.4 (conntrack-tools): 1 flow entries have been shown.
　　这里可以看到，我们有一个SSH连接到这台Linux，能识别到的信息包括协议、协议号、session生存时间、session状态、源IP地址、目的IP地址、源端口、目的端口、连接的状态。
　　从远端ping一下这台机器，这里能看到识别到了ICMP协议及其它元组信息：# conntrack -L tcp 6 431999 ESTABLISHED src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.109 sport=22 dport=55527 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.109 dst=192.168.1.182 sport=55527 dport=22 [ASSURED] mark=0 use=1 icmp 1 29 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.121 dst=192.168.1.182 type=8 code=0 id=2031 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.121 type=0 code=0 id=2031 mark=0 use=1 conntrack v1.4.4 (conntrack-tools): 2 flow entries have been shown.
　　当然我们可以查看系统的运行时信息，只是显示格式上的差异，信息是基本一致的：# cat /proc/net/nf_conntrack ipv4 2 tcp 6 431999 ESTABLISHED src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.109 sport=22 dport=55527 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.109 dst=192.168.1.182 sport=55527 dport=22 [ASSURED] mark=0 zone=0 use=2 ipv4 2 icmp 1 29 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.121 dst=192.168.1.182 type=8 code=0 id=2031 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.121 type=0 code=0 id=2031 mark=0 zone=0 use=2
　　我们还可以-E参数，实时观察链接层面的变化：# conntrack -E [NEW] icmp     1 30 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.121 dst=192.168.1.182 type=8 code=0 id=2074 [UNREPLIED] src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.121 type=0 code=0 id=2074 [UPDATE] icmp 1 30 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.121 dst=192.168.1.182 type=8 code=0 id=2074 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.121 type=0 code=0 id=2074 [DESTROY] icmp 1 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.121 dst=192.168.1.182 type=8 code=0 id=2074 src=＂/c2021/img/data-img.jpg＂ data-src=192.168.1.182 dst=192.168.1.121 type=0 code=0 id=2074
　　事件参考
　　在某些场景下，如主机的并发连接数过多，达到conntrack最大跟踪数量，会导致链接层面的一些异常，拿云上的一个案例分享：
　　Linux实例出现间歇性丢包，无法连接实例，在系统日志中重复出现大量类似以下错误信息。kernel: nf_conntrack: table full, dropping packet. kernel: nf_conntrack: table full, dropping packet.
　　涉及到的内核参数包括：
　　net.netfilter.nf_conntrack_buckets
　　net.netfilter.nf_conntrack_max
　　此场景下，一般建议调大nf_conntrack_max参数值来进行处理，由于系统维护连接比较消耗内存，需要在系统空闲和内存充足的情况下调大nf_conntrack_max参数。
　　总结
　　Linux conntrack 功能是诸多应用的基础，在某些性能调优、故障处置场景下需要关注到conntrack，希望本文介绍的一些内容能对大家有所帮助。