前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新..
分类:
系统相关 时间:
2015-01-17 23:38:20
阅读次数:
404
前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新型的扩展,却不得不重新编译内核;怎么办?我曾经很生气地默默指责过当初实现这个的人,想当然的认为将扩展本身也做成可扩展的,而...
分类:
系统相关 时间:
2015-01-17 23:34:51
阅读次数:
430
iptables本身没有TRACKtarget,以至于你不能指定需要被conntrack模块处理的数据包白名单,比如我想实现:除了来源IP是192.168.10.0/16网段的需要被track之外,其它的都不要track。当然,你可以通过下面的配置实现我的需求:iptables-traw-APREROUTING!-s192.168.10.0/16-jNOTRA..
分类:
其他好文 时间:
2015-01-17 19:39:23
阅读次数:
155
iptables本身没有TRACK target,以至于你不能指定需要被conntrack模块处理的数据包白名单,比如我想实现:除了来源IP是192.168.10.0/16网段的需要被track之外,其它的都不要track。 当然,你可以通过下面的配置实现我的需求:iptables -t raw -A PREROUTING ! -s 192.168.10.0/16 -j NOTRACK...
分类:
其他好文 时间:
2015-01-17 16:37:05
阅读次数:
189
是查路由表快呢?还是查socket哈希表快?这不是问题的根本。问题的根本是怎么有效利用这两者,让两者成为合作者而不是竞争者。这是怎么回事?我们知道,如果一个数据包要到达本地,那么它要经过两次查找过程(暂时不考虑conntrack):IP层查找路由和传输层查找socket。怎么合并这两者。Linux内...
分类:
系统相关 时间:
2015-01-14 14:13:00
阅读次数:
234
是查路由表快呢?还是查socket哈希表快?这不是问题的根本。问题的根本是怎么有效利用这两者,让两者成为合作者而不是竞争者。这是怎么回事?我们知道,如果一个数据包要到达本地,那么它要经过两次查找过程(暂时不考虑conntrack):IP层查找路由和传输层查找socket。怎么合并这..
分类:
系统相关 时间:
2015-01-12 07:02:38
阅读次数:
259
我真的羡慕自己,特别的极端崇拜,要是我拉二胡能像摆弄Linux网络那样随心所欲,我就敢请个一个月的无薪长假,去公园每天拉半天二胡...只可惜到现在还没怎么拉响。
一个多月前,我对Netfilter
conntrack做了一个优化,即将conntrack分为了多个表替换现在的一个表,目的是为了提..
分类:
Web程序 时间:
2015-01-12 06:59:20
阅读次数:
261
我真的羡慕自己,特别的极端崇拜,要是我拉二胡能像摆弄Linux网络那样随心所欲,我就敢请个一个月的无薪长假,去公园每天拉半天二胡...只可惜到现在还没怎么拉响。 一个多月前,我对Netfilter conntrack做了一个优化,即将conntrack分为了多个表替换现在的一个表,目的是为了提高查找的效率,这个优化是独立进行的,我希望在最新的内核版本中存在这样的优化,然而没有。但是却有...
分类:
Web程序 时间:
2015-01-11 20:25:42
阅读次数:
217
