Linux桥设备以及iptables的效率的一些问题

2017年02月05日 24 阅读

一.组播和网桥1.一般的IP服务都是和底层的网卡设备没有关系的，完全由路由来决定，但是组播除外，因为组播需要将一个网卡显式的加入到一个组播组当中，一边该接口可以接收组播包，因此IP层和链路层就联系了起来。2.使能桥接的系统上，由broute来判断数据包将此设备当成一个桥设备还是一个路由器设备，如果当成路由器设备，那么桥的概念对于此数据包将彻底消失，如果当成桥设备，那么即使本地接收的情况下，IP层看到的接收也是一个桥设备而不是实际接收数据包的物理网卡设备。3...

再次深入到ip_conntrack的conntrack full问题

2017年02月05日 25 阅读

增加nf_conntrack_max固然可以缓解这个问题，或者说减小conntrack表项占据内核内存的时间也可以缓解之，然而这种补救措施都是治标不治本的.注解：不要过度减小NEW以及TCP的establish的CT状态的timeout的原因尽量不要减小NEW状态时间，因为对于某些恶劣的网络，一个数据包的来回确实需要很长时间，对于TCP而言，此时RTT还没有测量呢。如果NEW状态的conntrack保留时间过短，就会导致大量NEW状态的连接，而对于很多依赖...

Linux Stateless无状态NAT-使用TC来配置

2017年02月05日 25 阅读

如果想在Linux上配置NAT，那么大家众所一言的就是使用iptables的NAT表来配置，iptables提供了灵活丰富的配置来配置SNAT和DNAT，然而我们知道iptables的NAT依赖了ip_conntrack，也就是说，凡是一个命中了NAT表规则的流就会有一条连接追踪生成，由于ip_conntrack追踪了所有的数据包，因此当有大量连接经过了本地设备时，ip_conntrack空间将被撑满，这个在接入区特别容易重现，在骨干网反而不容易重现，然而...

Linux之ip_conntrack容易混淆的问题点滴

2017年02月05日 29 阅读

《再次深入到ip_conntrack的conntrack full问题》最后的一个问题提示ip_conntrack有一个event机制，可以主动通报ip_conntrack的一些事件，包括追踪信息到期删除等事件，通知给谁呢？当然是通知给所有感兴趣的模块了，其中之一就是用户态进程，这样用户态进程得知可以采取一些措施，比如防火墙上设置一些放过规则等，这个通知机制使用了观察者设计模式。Linux ip_conntrack的一些细节问题由于Linux的ip_con...

iptables和策略路由实现VPN感兴趣流的截获

2017年02月05日 26 阅读

感兴趣流是VPN的术语，说的是需要进行保护的流量，也就是说需要进入VPN隧道的流量，然则仔细推敲之后，发现基于IP层加密的VPN这么使用“流”的概念是有问题的，因为对于IP，根本不存在流的概念，实质在于IP协议根本就没有方向。即使这样，本文还是介绍了一种全网互通的感兴趣流的截获技术。下面是一个拓扑图：可以看出，这个拓扑图中有四个网段，其中VPN端点的每一侧都有两个，两个网段中的其中一个的资源是需要加密访问的。虽然图比较简单，但是它却很有代表性，几乎囊括了所...

Linux的ip_conntrack半景

2017年02月05日 24 阅读

ip_conntrack内置于Linux协议栈的Netfilter框架，其实现比较复杂，然而其逻辑却很简单。ip_conntrack追踪每一个流，一个流由五元组来定义，五元组这个网络基本术语就不解释了。因此ip_conntrack必然能对“哪里是一个流的开始”做出判断，虽然这种判断不总是精确的，详见《linux之ip_conntrack容易混淆的问题点滴》http://www.linuxidc.com/Linux/2012-03/55823.htm。ip_...

一个Linux虚拟机里面的Bridge设备引发的悲剧

2017年02月05日 23 阅读

事情是这样的，公司内部技术部门一般属于一个局域网段，我们当然也不例外。如果部门内部人员太多但是又不方便用VLAN隔离的话，一般使用switch或者hub来进行隔离，这种设备是不隔离广播域的，hub甚至都不隔离冲突域，既然这样，事故很容易就发生了。 我和部门其它3个人共同接在一个hub上，D-Link的设备，可能是低端的switch，不管它了！不知道怎么回事，我们这里的这个hub总是莫名奇妙的出现问题，一下子我们4人都无法正常联网。起初是以为设备坏了，后来网...

在Linux下对TCP/IP协议栈的分析的代码验证

2017年02月05日 24 阅读

1． Linux 环境下验证下列程序。 /* portscan.c 此为端口扫描程序， 需要指定所要搜索的 IP 地址范围和一个用以记录扫描结果的日志文件 */ #include <stdio.h>#include <netinet/in.h>#include <sys/types.h>#include <sys/socket.h>#include <sys/signal.h>#include &...

Fedora 16 安装卸载 ATI显卡驱动

2017年02月05日 24 阅读

Fedora 16 安装 ATI显卡驱动基本步骤就是：1.从ATI官网根据显卡型号下驱动软件，我下的是ati-driver-installer-11-12-x86.x86_64.run2.进入终端，找到驱动所在目录，添加执行权限sudo chmod +x ati-driver-installer-11-12-x86.x86_64.run3.运行.run文件，一定要用sh命令sudo sh ati-driver-installer-11-12-x86.x86...

如何从Fedora 15升级到Fedora 16

2017年02月05日 24 阅读

本文介绍如何，你可以升级你的Fedora 15系统到Fedora 16。升级程序适用于台式电脑和服务器的安装。 以此输入下面的命令 首先切换到root用户： su 一、桌面版本升级，输入下面的命令： yum update rpm yum -y update yum clean all 重启系统： reboot 再次切换到root用户： su yum install preupgrade preupgrade 二、服务器版升级，输...

Fedora 16的Gnome3相关配置笔记

2017年02月05日 25 阅读

我新入了一个本子，所以按照我的习惯，我很乐意在它上面安装配置Linux。另外在安装配置Linux的过程中，我遇到了一个非常操蛋的Linux核心崩溃问题，这个恶心的问题折腾了我整整4天的时间，我尝试了Ubuntu 12.04，Xubuntu 12.04，Debian Sid，Archlinux，最后都发现了恶心的崩溃问题，最后我装了Fedora 16，发现居然有一上午崩溃问题没有出现，这令我对Fedora非常有好感，于是乎我便尝试着配置了一下Fedora，发...

Linux下常用命令（语句）集锦

2017年02月05日 31 阅读

经常在系统，网络之间转，没有专搞系统。时间一长，所以难免有些命令或组合式语句忘记了，今天把它们集合到一起。服务器双网卡，双IP，第二个网卡路由设置格式如下：vi /etc/sysconfig/network-scripts/route-eth0192.168.1.0/24 via 192.168.0.1--------开关外部ping自己echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all将其值改为1后为...

Ubuntu 11.10 添加快捷方式至侧边栏

2017年02月05日 25 阅读

打开Ubuntu 11.10的Ubuntu Software Center下载一个Main Menu应用，就可以管理侧边栏的快捷方式。看评论中说“ But in ubuntu 11.10 you must install "menu classic indicator" before use itsudo apt-add-repository ppa:diesch/testingsudo apt-get updatesudo apt-get install...

Ubuntu下如何将普通用户提升到root权限

2017年02月05日 25 阅读

最近在Ubuntu下开发一个项目的时候，需要用到一个包（libpcap），利用这个包可以进行网络流的底层解析，可是要使用这个包进行网络嗅探的时候，需要使用root权限，经常使用sudo来运行很麻烦，最后为了方便项目的调试，于是就将自己的当前用户提升到root权限。提升的方法如下：在shell里面输入 sudo gedit /etc/passwd 将里面的当前用户的ID值进行修改。譬如我的当前用户是linuxidc则找到了 linuxidc:x:1001:1...

Linux Kernel 3.0.8 内存管理函数

2017年02月05日 24 阅读

相关代码如下：#define alloc_pages（gfp_mask, order） alloc_pages_node（numa_node_id（）, gfp_mask, order）#define alloc_page_vma（gfp_mask, vma, addr） alloc_pages（gfp_mask, 0）#define alloc_page（gfp_mask） alloc_pages（gfp_mask, 0）#define __get_fr...

Linux hrtimer的实现

2017年02月05日 26 阅读

1. Linux hrtimer的实现方案Linux hrtimer的实现是依赖硬件（通过可编程定时器来实现）的支持的，而且此定时器有自己的专用寄存器，硬中断和频率。比如我的板子上的对应参数如下：Timer at Vir:0xE0100200 = Phy:0xE0100200, using Irq:27, at Freq:250000000，由此可见，其频率为250MHz，所以其精度为:1/250000000=4ns，比系统时钟jiffy（HZ=100,精...

Linux hrtimer分析--配置高精度模式

2017年02月05日 26 阅读

本文介绍Linux2.6.29中，配置高精度模式的hrtimer与未配置高精度模式时行为的区别。本文暂不考虑高精度模式对Linux系统时钟中断的影响。在没有配置高精度模式时，hrtimer的超时在系统时钟中断的轮循中检查，所以此时hrtimer的定时精度（jiffy）还是以轮循的间隔为单位，精度与传统的时间轮定时器一样。在配置高精度模式后，hrtimer的超时由struct clock_event_device的超时中断完成。clock_event_dev...

Linux hrtimer分析--未配置高精度模式

2017年02月05日 26 阅读

本文分析了Linux2.6.29中hrtimer的实现。Linux2.6中实现了一种新的定时器hrtimer。与传统定时器使用时间轮算法不同，hrtimer使用了红黑树算法。hrtimer本身可以配置成高精度和普通精度两种，在单CPU系统和多CPU系统中的实现也有区别。这里先分析最简单的配置成普通精度、单CPU的情况。配置成高精度的情况见后续文章。1. 时钟源的定义为了实现hrtimer，Linux为系统中每一个CPU定义了一个hrtimer_cpu_ba...

ARM Linux系统的时钟机制

2017年02月05日 26 阅读

1. Linux下有两类时钟：1.1 实时钟RTC它由板上电池驱动的“Real Time Clock”也叫做RTC或者叫CMOS时钟，硬件时钟。当操作系统关机的时候，用这个来记录时间，但是对于运行的系统是不用这个时间的。1.2 系统时钟“System clock”也叫内核时钟或者软件时钟，是由软件根据时间中断来进行计数的，内核时钟在系统关机的情况下是不存在的，所以，当操作系统启动的时候，内核时钟是要读取RTC时间来进行时间同步.2. 标准计时器2.1 时钟...

Linux Kernel中如何使用高精度timer（hrtimer）

2017年02月05日 29 阅读

前面已经讲过，高精度timer是通过hrtimer来实现的（见 http://www.linuxidc.com/Linux/2012-03/55892.htm），hrtimer通过可编程定时器来现，在等待时，不占用CPU。在用户态，只要我们调用usleep，则线程在kernel态执行时，则使用hrtimer进行不占CPU的等待。在Kernel中如何使用的呢？先看看eventpoll.c中的ep_poll函数：staticintep_poll（structe...