- 综合排序
- 最热优先
- 最新优先
- 来自专栏Flowlet
Linux 连接跟踪(conntrack)
Conntrack 称之为 “CT”。 Conntrack:当使用用户空间工具 conntrack -L 选项列出当前跟踪的连接或执行 cat /proc/net/nf_conntrack,一些状态 bit 位将在输出结果中显示。 conntrack 表达式匹配该 bit Nftables ct status seen_reply Iptables -m conntrack –ctstatus SEEN_REPLY 通过 conntrack conntrack 表达式匹配该 bit Nftables ct status assured Iptables -m conntrack –ctstatus ASSURED 通过 conntrack 通过 conntrack 命令或者 proc 文件查看 conntrack -L [HW_OFFLOAD] cat /proc/net/nf_conntrack [HW_OFFLOAD] 图 3.3
2.2K11编辑于 2024-08-01 Linux中的conntrack命令深入解析
1. conntrack的由来 conntrack命令源于Linux的netfilter项目,这是一个内置于Linux内核中的网络包处理模块。 4. conntrack返回结果解释 当你运行conntrack -L时,会看到类似以下的输出: tcp 6 431999 ESTABLISHED src=192.168.1.2 dst=93.184.216.34 列出所有连接 命令:conntrack -L root@linux-study:~# conntrack -L|head tcp 6 75 TIME_WAIT src=192.168.201.108 过滤特定协议的连接 只显示TCP连接条目命令:conntrack -L -p tcp root@linux-study:~# conntrack -L -p tcp|head tcp 6 40 过滤并显示来自或发送到特定IP的连接条目 显示所有来自特定IP地址的连接条目:conntrack -L -s 192.168.201.111 root@linux-study:~# conntrack
1.3K10编辑于 2024-04-03- 来自专栏伪架构师
(译)Linux Conntrack 的短板
Conntrack 是一个重要的内核功能,是一些关键用例的基础: NAT 能够根据 Conntrack 的信息,对构成数据流的所有数据包进行翻译。 然而 Conntrack 也有其限制。 那么它哪里不行了? Conntrack 的存储表有一个可配置的最大容量,如果满了,连接通常会被拒绝和丢弃。 两种情况下,Conntrack 都会成为系统中的瓶颈。有些情况下,通过提高 Conntrack 数据表容量或者降低 Conntrack 的超时时间(如果调节失误,可能会造成更多痛苦)就能解决问题。 结论 Conntrack 是一个重要的内核功能。大多数场景下,它都能发挥很好的作用。然而有些小众场景中,Conntrack 的开销会大于其收益。 在这种情况下,Calico 的网络策略可以通过选择性的绕过 Conntrack,并提高网络安全性。而对其他流量,Conntrack 还是你的好朋友。
3.2K10发布于 2019-07-23 - 来自专栏nginx遇上redis
conntrack检查和修改跟踪的连接
Conntrack状态表 连接跟踪子系统跟踪已看到的所有数据包流,运行“sudo conntrack -L”以查看其内容: tcp 6 43184 ESTABLISHED src=192.168.2.5 默认情况下,conntrack允许中流拾取不会对conntrack变为活动状态之前存在的流造成问题。 Conntrack状态表和NAT 如上一节所述,列出的答复元组包含NAT信息。 Conntrack扩展 conntrack记帐和时间戳记是两个有用的扩展。 Conntrack还可以存储与网上发送的数据包数据无关的元数据,例如conntrack标记和连接跟踪标签。 net.netfilter.nf_conntrack_buckets和net.netfilter.nf_conntrack_max是典型的候选者。
4.2K20发布于 2021-11-12 - 来自专栏k8s技术圈
连接跟踪(conntrack):原理、应用及 Linux 内核实现
nf_conntrack_confirm():确认前面通过 nf_conntrack_in() 创建的新连接。 hash_conntrack_raw() 根据 tuple 计算出一个 32 位的哈希值(key): // net/netfilter/nf_conntrack_core.c static u32 hash_conntrack_raw ),resolve_normal_ct() 会调用 init_conntrack ,后者进而会调用 new() 方法创建一个新的 conntrack entry。 // include/net/netfilter/nf_conntrack_core.c // Allocate a new conntrack static noinline struct nf_conntrack_tuple_hash 3.8 nf_conntrack_confirm():确认包没有被丢弃 nf_conntrack_in() 创建的新 conntrack entry 会插入到一个 未确认连接( unconfirmed
19.2K88发布于 2020-12-16 - 来自专栏DPDK VPP源码分析
Linux NetFilter, IP Tables and Conntrack学习文章
最近在基于openwrt盒子实现一个业务引流的方案,涉及到很多linux系统NetFilter,、IP Tables and Conntrack的理解和简单使用。 或者下面网页方式: https://www.kernel.org/doc/html/latest/networking/tuntap.html 2、Linux NetFilter, IP Tables and Conntrack p=1826 在引流方案中,就遇到了类似问题,由于nf_conntrack链接表的影响导致引流后报文出wan口时未进行nat处理。 通过设置不跟踪链接的规则,暂时解决,iptables -t raw -A PREROUTING -i-j NOTRACK 5、连接跟踪(conntrack):原理、应用及 Linux 内核实现--篇幅很长 http://arthurchiao.art/blog/conntrack-design-and-implementation-zh/ 6、iptables学习系列文章----图文并貌详细介绍了ipstables
94030编辑于 2023-01-04 - 来自专栏腾讯云原生团队
绕过conntrack,使用eBPF增强 IPVS优化K8s网络性能
该模式利用IPVS内核模块实现DNAT,利用nf_conntrack/iptables实现SNAT。nf_conntrack是为通用目的设计的,其内部的状态和流程都比较复杂,带来很大的性能损耗。 腾讯TKE团队2 开发了新的IPVS-BPF模式,完全绕过nf_conntrack的处理逻辑,使用eBPF完成SNAT功能。 核心思想是绕过nf_conntrack,减少处理每个报文的指令数目,从而节约CPU,提高性能。 基于以上考虑,我们选择了复用IPVS模块,绕过nf_conntrack,用eBPF完成SNAT的方案。 这中间如果发生竞争,相同的lport和五元组同时插入nf_conntrack会导致丢包。
7.8K5342发布于 2020-08-27 - 来自专栏golang探索者
【解决】docker启动报错:Running modprobe xt_conntrack failed with message: `modprobe: ERROR: could not insert
可以看到有一行 Running modprobe xt_conntrack failed with message: `modprobe: ERROR: could not insert 'xt_conntrack ' 这一行出现的原因很可能是 xt_conntrack 模块被加入了黑名单。 blacklist nf_conntrack_ipv6 blacklist xt_conntrack blacklist nf_conntrack_ftp blacklist xt_state blacklist iptable_nat blacklist ipt_REDIRECT blacklist nf_nat blacklist nf_conntrack_ipv4 将 xt_conntrack 至 nf_conntrack_ipv4 /bin/true install nf_defrag_ipv4 /bin/true install nf_conntrack_ipv4 /bin/true install nf_conntrack_ipv6
3.2K10发布于 2021-10-21 - 来自专栏腾讯云原生团队
性能提升40%: 腾讯 TKE 用 eBPF绕过 conntrack 优化K8s Service
该模式利用IPVS内核模块实现DNAT,利用nf_conntrack/iptables实现SNAT。nf_conntrack是为通用目的设计的,其内部的状态和流程都比较复杂,带来很大的性能损耗。 腾讯TKE团队[2] 开发了新的IPVS-BPF模式,完全绕过nf_conntrack的处理逻辑,使用eBPF完成SNAT功能。 核心思想是绕过nf_conntrack,减少处理每个报文的指令数目,从而节约CPU,提高性能。 基于以上考虑,我们选择了复用IPVS模块,绕过nf_conntrack,用eBPF完成SNAT的方案。 这中间如果发生竞争,相同的lport和五元组同时插入nf_conntrack会导致丢包。
2.4K30编辑于 2022-04-14 - 来自专栏k8s技术圈
一个 K8s 网络延迟排查与优化实战案例
由于请求量较大,可能会撑爆conntrack表,果不其然,如下图,我们捕获到conntrack丢包和插入失败的信息,罪魁祸首终于找到了。 # 打印conntrack统计信息 conntrack -S # 其实也可以通过`dmesg|grep conntrack`查看异常日志,但当时直接用的上面指令,所以没有截图 04、问题优化 好了,在确定根本问题后 A1:conntrack的最大值(内核参数 net.netfilter.nf_conntrack_max )是根据kube-proxy配置的参数 --conntrack-max-per-core * 节点 Q2:conntrack的最大值在哪里看? A2:可以查看nf_conntrack_max文件,指令如下 cat /proc/sys/net/netfilter/nf_conntrack_max Q3:conntrack的最大值如何修改?
1.9K20编辑于 2024-06-26 - 来自专栏专注网络研发
Linux内核那些事之连接跟踪
在很多厂商的实现中,都会把自己的业务数据直接保存在conntrack结构中,这就造成了conntrack的结构越来越大,且会保存一些没有必要的数据。 conntrack不再直接保存扩展数据,当业务扩展被启用时,会动态申请nf_ct_ext,并追加到conntrack的扩展结构中。 而ipv4_confirm经过层层还是会最终调用到__nf_conntrack_confirm,其负责将conntrack插入到全局表中。 通过一系列检查后,__nf_conntrack_confirm调用__nf_conntrack_hash_insert把conntrack两个tuple插入到全局表中。 首先,在nf_conntrack_in函数中调用nf_conntrack_handle_packet根据不同协议处理报文,更新连接状态。
3.3K20发布于 2020-12-08 - 来自专栏LINUX阅码场
Linux内核如何替换内核函数并调用原始函数
\n"); return 0; } // 这是我们的hook函数,当内核在调用ipv4_conntrack_in的时候,将会到达这个函数。 ptr_poke_smp) { printk("err"); return -1; } // 嗯,我们就是要hook住ipv4_conntrack_in,所以要先找到它! ptr_ipv4_conntrack_in = kallsyms_lookup_name("ipv4_conntrack_in"); if (! hook_offset = (s32)((long)hook_ipv4_conntrack_in - (long)ptr_ipv4_conntrack_in - OPTSIZE); // 后面4个字节为一个相对偏移 ptr_poke_smp(stub_ipv4_conntrack_in, saved_op, OPTSIZE); ptr_orig_conntrack_in = stub_ipv4_conntrack_in
4.2K20发布于 2019-10-08 - 来自专栏石头岛
docker安装prometheus
counter net_conntrack_dialer_conn_attempted_total{dialer_name="alertmanager"} 0 net_conntrack_dialer_conn_attempted_total net_conntrack_dialer_conn_attempted_total{dialer_name="prometheus"} 1 # HELP net_conntrack_dialer_conn_closed_total counter net_conntrack_dialer_conn_closed_total{dialer_name="alertmanager"} 0 net_conntrack_dialer_conn_closed_total 1 net_conntrack_dialer_conn_established_total{dialer_name="prometheus"} 1 # HELP net_conntrack_dialer_conn_failed_total net_conntrack_dialer_conn_failed_total{dialer_name="default",reason="resolution"} 0 net_conntrack_dialer_conn_failed_total
1K20编辑于 2023-10-20 - 来自专栏低级Java知识传播者
数据库连接池长时间不用,乍一用结果用不了,结果是防火墙的锅
等待conntrack记录过期或手动删除、清空 我们这边就需要模拟连接建立后,等conntrack记录过期后,客户端再使用这个socket会发生什么。 那么,我们怎么来查看这些conntrack呢,需要安装工具:yum install conntrack-tools 查看hash表 [root@node1 ~]# conntrack -L tcp hash表 conntrack -F 实时监控hash表的变动(增删改) conntrack -E 丢弃客户端在长时间空闲的长连接上发过来的包 由于我们上一步执行了conntrack记录删除,此时, : [root@node1 ~]# conntrack -L|grep 2222 conntrack v1.4.4 (conntrack-tools): 5 flow entries have been 查询: [root@node1 ~]# conntrack -L|grep 2222 conntrack v1.4.4 (conntrack-tools): 4 flow entries have been
83030编辑于 2023-09-27 - 来自专栏SRE运维进阶之路
高并发下报错 "java.net.UnknownHostException" 案例分析
=200' # 无异常 查看操作系统日志 journalctl -f DNS 服务端报错:无 分析 错误关键词 Operation not permitted、nf_conntrack: table full, dropping packet,问题出现在 代理层,conntrack table满了。 查看当前 nf_conntrack_count 和 nf_conntrack_max 值 sysctl net.netfilter.nf_conntrack_count sysctl net.netfilter.nf_conntrack_max 确实满了, 调大呗,每次增加50% ,观察一下,直至有空闲 # 在 /etc/sysctl.conf 文件中新增一行 net.netfilter.nf_conntrack_max=[新的值] # 应用 Nice~~ 总结: 本次高并发下,调整了两个内核参数:net.netfilter.nf_conntrack_max 和 net.ipv4.ip_local_port_range 我是 Clay,下期见
24710编辑于 2024-11-19 - 来自专栏CaiRui
Linux 优化
=25000000 net.netfilter.nf_conntrack_max=25000000 net.netfilter.nf_conntrack_tcp_timeout_established= 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait=120 net.netfilter.nf_conntrack_tcp_timeout_close_wait =60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120 将以上的配置信息加入文件的最后即可。 五、防火墙的优化 也是以上的文件内,加入以下代码 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait
1.9K100发布于 2018-01-17 - 来自专栏SRE运维手记
k8s网络延迟排查与优化实战分享
由于请求量较大,可能会撑爆conntrack表,果不其然,如下图,我们捕获到conntrack丢包和插入失败的信息,罪魁祸首终于找到了。 # 打印conntrack统计信息 conntrack -S # 其实也可以通过`dmesg|grep conntrack`查看异常日志,但当时直接用的上面指令,所以没有截图 04、问题优化 好了,在确定根本问题后 A1:conntrack的最大值(内核参数 net.netfilter.nf_conntrack_max )是根据kube-proxy配置的参数--conntrack-max-per-core * 节点 Q2:conntrack的最大值在哪里看? A2:可以查看nf_conntrack_max文件,指令如下 cat /proc/sys/net/netfilter/nf_conntrack_max Q3:conntrack的最大值如何修改?
47610编辑于 2024-08-30 - 来自专栏Man_Docker
CentOS系统优化
net.core.somaxconn = 16384 net.core.netdev_max_backlog = 16384 net.ipv4.tcp_max_orphans = 16384 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120' echo "$ECHOSTR" >> /etc/sysctl.conf &&\ modprobe ip_conntrack && modprobe bridge echo "modprobe ip_conntrack" >> /etc/rc.local echo "modprobe
97010发布于 2021-01-07 - 来自专栏运维经验分享
Centos 6.5 优化 一些基础优化和安全设置
net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established 没有自动载入,解决办法有二,一是开启防火墙,二是自动处理开载入的模块ip_conntrack error: "net.ipv4.ip_conntrack_max"is an unknown key error an unknown key centos5.X解决方法: modprobe ip_conntrack echo "modprobe ip_conntrack">> /etc/rc.local centos6 .X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入,解决办法有二,一是开启防火墙,二是自动处理开载入的模块ip_conntrack error: "net.nf_conntrack_max"isan unknown key error: "net.netfilter.nf_conntrack_max"isan unknown key error
1.1K30发布于 2019-03-11 Linux中的lsmod及其相关命令
,直接在终端输入命令即可,不需要任何参数:lsmod3、解读lsmod的输出执行命令后,你会看到一个类似这样的表格:ModuleSizeUsedbyveth134580xt_nat1268125xt_conntrack127603ipt_MASQUERADE1267816nf_nat_masquerade_ipv4134631ipt_MASQUERADEnf_conntrack_netlink363960nfnetlink145192nf_conntrack_netlinkiptable_nat128754nf_conntrack_ipv4150534nf_defrag_ipv4127291nf_conntrack_ipv4nf_nat_ipv4141151iptable_natnf_nat265833nf_nat_ipv4 ,xt_nat,nf_nat_masquerade_ipv4nf_conntrack1392646nf_nat,nf_nat_ipv4,xt_conntrack,nf_nat_masquerade_ipv4 ,nf_conntrack_netlink,nf_conntrack_ipv4xt_addrtype126762iptable_filter128101.......我们来分解一下各列的含义:Module 4、实用技巧示例lsmod本身很简单,但结合其他命令能发挥更大作用:4.1查找特定模块你可以使用grep命令来快速过滤结果,检查某个模块(比如nf_conntrack连接追踪)是否已加载lsmod|grep-inf_conntrack4.2 (例如nf_conntrack模块可能需要设置nf_conntrack_max),则需要将配置写在/etc/modprobe.d/目录下的文件中。
14210编辑于 2026-02-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号