0

カーネルの conntrack エントリを削除する必要があります。nf_ct_deleteやなど、たくさんの機能がありnf_ct_putます。現時点では、skb->nfct(追跡されたすべてのskbのブロック)で両方を使用しています。最初は問題なく動作しているように見えますが、数秒後にカーネルがクラッシュします。

私の現在のコードは次のとおりです。

struct nf_conntrack *con = skb->nfct;
nf_conntrack_get(sub_conntrack);
//... do some stuff 
nf_ct_delete((struct nf_conn *) con, 0, 0);
nf_ct_put((struct nf_conn *) con);

delete ステートメントと put ステートメントを実行した直後に、エントリをチェックするconntrack -L conntrackと (予想どおり) エントリが消えています。しかし、1 分ほどすると、システムがフリーズします。conntrack は、起動時にクラッシュするいくつかのタイマーを開始すると思います。

私の質問は次のとおりです。特定の接続のすべてをすぐに削除するにはどうすればよいですか? タイマーの停止とすべての状態のクリーンアップを含みます。

4

1 に答える 1

0

これはnetfilter コードから適応されます

int delete_nat_entry(u32 loc_ip, u32 rem_ip, u16 loc_port, u16 rem_port) {
        struct nf_conntrack_tuple_hash *h;
        struct nf_conntrack_tuple tuple;
        struct nf_conn *ct;

        memset(&tuple, 0, sizeof(tuple));

        //layer 3
        tuple.src.l3num = PF_INET;
        tuple.src.u3.ip = htonl(loc_ip);
        tuple.dst.u3.ip = htonl(rem_ip);

        //layer 4
        tuple.dst.protonum = IPPROTO_TCP;
        tuple.dst.dir = IP_CT_DIR_ORIGINAL;
        tuple.src.u.tcp.port = htons(loc_port);
        tuple.dst.u.tcp.port = htons(rem_port);

        h = nf_conntrack_find_get(&init_net, NF_CT_DEFAULT_ZONE, &tuple);
        if (!h) {
                debug_msg(KERN_INFO "cannot find conntrack tuple\n");
                return -ENOENT;
        }
        ct = nf_ct_tuplehash_to_ctrack(h);

        if (del_timer(&ct->timeout))
                nf_ct_delete(ct, 0, 0);

        nf_ct_put(ct);

        return 0;
}
于 2015-02-03T13:54:26.040 に答える