nftables 连接追踪

连接跟踪（Connection Tracking）是 Netfilter 框架实现状态防火墙和 NAT 功能的底层核心机制。 它的任务是识别并记录流经系统的每一个网络会话（或连接），而它本身并不修改数据包。

🔎 核心原理与工作流程

连接跟踪的工作流程可以概括为“识别、记录、匹配”，具体如下：

1. 数据包到来：当一个数据包到达 Netfilter 框架的核心钩子点（如PREROUTING）时，连接跟踪模块首先介入。
2. 构成元组：模块会从数据包的协议头中提取一组关键信息，构成一个“元组 (Tuple)”。一个典型的元组包含源IP地址、目标IP地址、源端口、目标端口和协议号这五个元素。
3. 哈希表查找：用这个元组作为键（Key），在内存中的 连接跟踪哈希表 (Hash Table) 里快速搜索，判断该数据包是否属于一个已知的连接。为了提高查找性能，该哈希表被划分为多个哈希桶（Bucket），以组织大量条目。
4. 新建或更新:
   • 新连接：如果查找失败，说明这可能是第一个数据包（如 TCP 的 SYN 包），系统会为其在表中创建一条新记录（Entry），并根据协议类型进入特定初始状态。
   • 已有连接：如果匹配成功，系统会更新该记录的 状态和计时器。同时，NAT 系统可能会根据记录的转换规则修改数据包的地址或端口。
5. 后续处理：完成跟踪和可能的NAT转换后，数据包会继续在Netfilter框架中流动，后续的规则就可以利用这条连接记录（状态）来做决策，比如放行已建立连接（ESTABLISHED状态）的后续数据包。

🧱 关键数据结构：nf_conn

在 Linux 内核中，每条连接都由一个名为 struct nf_conn 的对象表示。该结构体包含了管理连接所需的所有信息：

• tuplehash[]（关键）：通过两个不直接对称元组实现双向连接识别。
  1. 原始方向 (Original Direction)：记录客户端发起的请求信息。
  2. 预期回复方向 (Expected Reply Direction)：记录服务端返回给客户端的响应信息。
• status ：记录连接当前状态，如 [ASSURED] (连接活跃) 等。
• 扩展信息：包含NAT转换信息、超时时间、标记 (Mark) 等。

🕒 连接生命周期与状态

连接跟踪为不同协议定义了不同的状态。以下是几种主要协议的状态示例：

• TCP 状态：包含 SYN_SENT、SYN_RECV、ESTABLISHED、FIN_WAIT、CLOSE_WAIT、LAST_ACK、TIME_WAIT 和 CLOSE。建立连接后，进入 ESTABLISHED 状态，其超时时间通常很长（例如默认5天）。
• UDP 状态：状态精简，通常仅有 UNREPLIED（未收到回复）和 ASSURED（双向都有流量）两种。默认超时更短（30秒），收到回复后延至180秒。
• ICMP 状态：通常也是 UNREPLIED 和 ASSURED 状态，两者的超时时间都是30秒。

⚙️ 核心功能：NAT的基石

连接跟踪是 NAT 功能正常工作的核心依赖。 它必须准确识别和记录连接信息，才能正确地转换地址和端口。

• 记录转换关系：当NAT规则生效时，系统会在 nf_conn 中记录下转换前后的地址端口映射关系。例如，对于出站的 SNAT，它会记录下“源地址 10.0.0.10:12345 被转换成了 1.2.3.4:54321”。
• 转换回复包：当回复包（目标地址 1.2.3.4:54321）回来时，连接跟踪能根据记录的关系，将目标地址逆向还原为 10.0.0.10:12345，确保包能正确送达原始发起方。

如果连接跟踪表满了，新的连接无法被记录，NAT 规则就无法找到正确的转换信息，从而导致 NAT 功能失效，新的请求被丢弃。

🚀 性能调优

在生产环境中，高流量可能导致连接跟踪表成为瓶颈。下面是常见的性能问题与解决方案：

场景1：连接跟踪表满

内核日志出现 nf_conntrack: table full, dropping packet。

• 短期措施 - 扩容: 提高 nf_conntrack_max 限制。同时按公式提高哈希桶数，以维持效率：CONNTRACK_MAX = HASHSIZE * 8。
• 长期策略 - 减负:
  • 在 sysctl.conf 中增加 net.netfilter.nf_conntrack_max 等配置。
  • 缩短 ESTABLISHED 超时，尤其对短连接多的服务，如 net.netfilter.nf_conntrack_tcp_timeout_established = 86400（1天）。
  • 使用NOTRACK target，对有状态防火墙无需跟踪的流量（如特定IP）禁用连接跟踪。
  • unload nf_conntrack 模块，或启用 slab 内存分配、禁用 ip early demux 等高级内核优化。

场景2：哈希表冲突

哈希表桶分布不均，导致 CPU 使用率飙升。

• 解决方案:
  • 调整 nf_conntrack_buckets 大小（需Linux >= 5.14）。根据内存计算：nf_conntrack_max / 8 = buckets，buckets过低会导致冲突。
  • 使用nf_conntrack_hashsize 内核启动参数直接设定。

场景3：UDP流量拥塞

默认超时短（30秒），收到回复后延长至180秒。

• 解决方案:
  • UDP流量较大或超时过短，可调高 net.netfilter.nf_conntrack_udp_timeout_stream 参数值为600秒。
  • 若仍有丢包，可启动 per-net 哈希表（experimental）。

🛠️ 故障排查

连接跟踪表状态检查：

复制
1# 查看当前最大连接限制和当前连接数
2sysctl net.netfilter.nf_conntrack_max
3cat /proc/sys/net/netfilter/nf_conntrack_count
4
5# 查看详细的连接列表，并用 grep 过滤
6conntrack -L | grep "10.0.0.1"

🔗 高可用与同步：conntrackd

对于双机热备等场景，conntrackd 守护进程可同步主备防火墙连接表，确保主设备故障时，已建立的连接不会中断。其主要同步协议为 FTFW (全状态防火墙)。

conntrack-tools 核心组件速查:

• conntrack: 命令行接口，用于查看和管理连接跟踪表。
• conntrackd: 用户空间守护进程，负责同步多台防火墙间的连接跟踪状态。
• nfct: 较新的工具，用于管理连接跟踪子系统。

💎 总结

连接跟踪通过记录所有网络连接的状态，为上层应用提供了“记忆”，是实现状态防火墙和 NAT 等高级网络功能的核心支柱。理解其工作原理和调优方法，对于构建和维护一个稳定、高效的 Linux 网关或防火墙至关重要。