/proc/net/ip_conntrack 中一行的格式与 /proc/net/nf_conntrack 相同,只是前两列缺失。< /p >
< p > 我将尝试总结后者文件的格式,根据我从 net/netfilter/nf_conntrack_standalone.c, net/netfilter/nf_conntrack_acct.c 和 net/netfilter/nf_conntrack_proto_*.c 内核源代码文件中理解的。术语“layer”指 OSI协议层模型。< /p >
ipv4)。tcp)。其他所有列都以(key=value)命名或表示标志([UNREPLIED],[ASSURED]等)。一行可以包含最多两个具有相同名称的列(例如:src和dst)。然后,第一次出现与请求方向相关联,第二次出现与响应方向相关联。
标记的含义:
[ASSURED]:已在两个方向上看到流量(即请求和响应)。[UNREPLIED]:尚未在响应方向上看到流量。如果连接跟踪缓存溢出,则首先删除这些连接。)。其他列名(例如)仅在内核构建时使用了特定选项时出现。
示例:
ipv4 2 tcp 6 300 ESTABLISHED src=1.1.1.2 dst=2.2.2.2 sport=2000 dport=80 src=2.2.2.2 dst=1.1.1.1 sport=80 dport=12000 [ASSURED] mark=0 use=2 属于从主机 1.1.1.2,端口 2000,到主机 2.2.2.2,端口 80 的已建立 TCP 连接,响应发送到主机 1.1.1.1,端口 12000,在五分钟内超时。对于此连接,数据包在两个方向上都被看到。ipv4 2 icmp 1 3 src=1.1.1.2 dst=1.1.1.1 type=8 code=0 id=32354 src=1.1.1.1 dst=1.1.1.2 type=0 code=0 id=32354 mark=0 use=2 属于从主机 1.1.1.2 到主机 1.1.1.1 的 ICMP 回显请求数据包,期望从主机 1.1.1.1 到主机 1.1.1.2 的回显回复数据包,在三秒内超时。
响应目标主机不一定与请求源主机相同,因为请求源地址可能已被响应目标主机伪装。
请注意以下信息可能已过时!
所有条目可用的字段:
bytes(如果启用了记账,则为请求和响应)delta-time(如果启用了CONFIG_NF_CONNTRACK_TIMESTAMP)dst(请求和响应)mark(如果启用了CONFIG_NF_CONNTRACK_MARK)packets(如果启用了记账,则为请求和响应)secctx(如果启用了CONFIG_NF_CONNTRACK_SECMARK)src(请求和响应)usezone(如果启用了CONFIG_NF_CONNTRACK_ZONES)
dccp, sctp, tcp, udp和udplite传输层协议可用的字段:
dport(请求和响应)sport(请求和响应)
icmp传输层协议可用的字段:
code(请求和响应)id(请求和响应)type(请求和响应)
gre传输层协议可用的字段:
dstkey(请求和响应)srckey(请求和响应)stream_timeouttimeout
第六个字段允许的值:
dccp传输层协议
CLOSEREQCLOSINGIGNOREINVALIDNONEOPENPARTOPENREQUESTRESPONDTIME_WAIT
sctp传输层协议
CLOSEDCOOKIE_ECHOEDCOOKIE_WAITESTABLISHEDNONESHUTDOWN_ACK_SENTSHUTDOWN_RECDSHUTDOWN_SENT
tcp传输层协议
CLOSECLOSE_WAITESTABLISHEDFIN_WAITLAST_ACKNONESYN_RECVSYN_SENTSYN_SENT2TIME_WAIT
ip_conntrack仅包含ipv4特定的连接跟踪条目,而nf_conntrack包括ipv4和ipv6协议的连接跟踪条目。
nf_conntrack文件使用位于net/netfilter/nf_conntrack_standalone.c中的代码向proc文件系统注册,而ip_conntrack文件通过位于net/netfilter/nf_conntrack_l3proto_ipv4_compat.c中的代码向proc文件系统注册。