linux conntrack命令路由连接跟踪表显示删除监听记录

65 阅读 0 评论 43 点赞

我是靠谱客的博主忧心小甜瓜，最近开发中收集的这篇文章主要介绍linux conntrack命令路由连接跟踪表显示删除监听记录，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

conntrack命令可以显示，删除和更新跟踪表现有状态条目，还可以监听流事件

1.安装：

yum install -y conntrack

2.使用：

查看conntrack表记录

conntrack -L

过滤条件输出

# conntrack -U -p tcp --dport 3486 --mark 10
tcp      6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 packets=169 bytes=14322 src=123.59.27.117 dst=192.168.2.100 sport=993 dport=34846 packets=113 bytes=34787 [ASSURED] mark=1 secmark=0 use=1
conntrack v0.9.7 (conntrack-tools): 1 flow entries has been updated.

清空conntrack表记录

conntrack -D

显示当前正在被追踪的流

# conntrack -L -o ktimestamp
tcp      6 431666 ESTABLISHED src=10.0.0.2 dst=20.0.0.6 sport=33715 dport=22 packets=17 bytes=2094 src=20.0.0.6 dst=10.0.0.2 sport=22 dport=33715 packets=14 bytes=1870 [ASSURED] mark=0 zone=1 delta-time=336 [start=Wed Sep 13 15:48:40 2017] use=1
icmp     1 29 src=20.0.0.11 dst=20.0.0.6 type=8 code=0 id=40449 packets=5 bytes=420 src=20.0.0.6 dst=20.0.0.11 type=0 code=0 id=40449 packets=5 bytes=420 mark=0 zone=9 delta-time=4 [start=Wed Sep 13 15:55:46 2017] use=1

监控流事件

# conntrack -E -o ktimestamp
[NEW] tcp      6 120 SYN_SENT src=10.0.0.2 dst=20.0.0.6 sport=33717 dport=22 [UNREPLIED] src=20.0.0.6 dst=10.0.0.2 sport=22 dport=33717 zone=1
[DESTROY] tcp      6 src=10.0.0.2 dst=20.0.0.6 sport=33717 dport=22 packets=31 bytes=3042 src=20.0.0.6 dst=10.0.0.2 sport=22 dport=33717 packets=23 bytes=2666 [ASSURED] zone=1 delta-time=142 [start=Wed Sep 13 16:07:06 2017] [stop=Wed Sep 13 16:09:28 2017]

全部命令列表

[root@localhost ~]# conntrack --help
Command line interface for the connection tracking system. Version 1.4.4
Usage: conntrack [commands] [options]

Commands:
  -L [table] [options]          List conntrack or expectation table
  -G [table] parameters         Get conntrack or expectation
  -D [table] parameters         Delete conntrack or expectation
  -I [table] parameters         Create a conntrack or expectation
  -U [table] parameters         Update a conntrack
  -E [table] [options]          Show events
  -F [table]                    Flush table
  -C [table]                    Show counter
  -S                            Show statistics

Tables: conntrack, expect, dying, unconfirmed

Conntrack parameters and options:
  -n, --src-nat ip                      source NAT ip
  -g, --dst-nat ip                      destination NAT ip
  -j, --any-nat ip                      source or destination NAT ip
  -m, --mark mark                       Set mark
  -c, --secmark secmark                 Set selinux secmark
  -e, --event-mask eventmask            Event mask, eg. NEW,DESTROY
  -z, --zero                            Zero counters while listing
  -o, --output type[,...]               Output format, eg. xml
  -l, --label label[,...]               conntrack labels

Expectation parameters and options:
  --tuple-src ip        Source address in expect tuple
  --tuple-dst ip        Destination address in expect tuple

Updating parameters and options:
  --label-add label     Add label
  --label-del label     Delete label

Common parameters and options:
  -s, --src, --orig-src ip              Source address from original direction
  -d, --dst, --orig-dst ip              Destination address from original direction
  -r, --reply-src ip            Source addres from reply direction
  -q, --reply-dst ip            Destination address from reply direction
  -p, --protonum proto          Layer 4 Protocol, eg. 'tcp'
  -f, --family proto            Layer 3 Protocol, eg. 'ipv6'
  -t, --timeout timeout         Set timeout
  -u, --status status           Set status, eg. ASSURED
  -w, --zone value              Set conntrack zone
  --orig-zone value             Set zone for original direction
  --reply-zone value            Set zone for reply direction
  -b, --buffer-size             Netlink socket buffer size
  --mask-src ip                 Source mask address
  --mask-dst ip                 Destination mask address

谷歌翻译如下：

连接跟踪系统的命令行界面。版本1.4.4
用法：conntrack [命令] [选项]

命令：
  -L [表] [选项]列出conntrack或期望表
  -G [表]参数获取conntrack或期望值
  -D [表]参数删除conntrack或期望
  -I [表]参数创建连接跟踪或期望
  -U [table]参数更新conntrack
  -E [表] [选项]显示事件
  -F [表]刷新表
  -C [表]显示计数器
  -S显示统计

表格：conntrack，期望，死亡，未确认

Conntrack参数和选项：
  -n，--src-nat ip源NAT ip
  -g，--dst-nat ip目标NAT ip
  -j，-any-nat ip源或目标NAT ip
  -m，--mark标记设置标记
  -c，--secmark secmark设置selinux secmark
  -e，--event-mask eventmask事件掩码，例如。新，毁灭
  -z，--zero列出时的零计数器
  -o，--output type [，...]输出格式，例如XML文件
  -l，--label标签[，...] conntrack标签

期望参数和选项：
  --tuple-src ip预期元组中的源地址
  --tuple-dst ip预期的元组中的目标地址

更新参数和选项：
  --label-添加标签添加标签
  --label-del标签删除标签

常用参数和选项：
  -s，-src，-orig-src ip原始方向的源地址
  -d，--dst，--orig-dst ip原始方向的目标地址
  -r，--reply-src ip来自回复方向的源地址
  -q，--reply-dst ip回复方向的目标地址
  -p，--protonum proto第4层协议，例如'tcp'
  -f，--family proto第3层协议，例如。 'ipv6'
  -t，--timeout超时设置超时
  -u，--status status设置状态，例如保证
  -w，--zone值设置conntrack区域
  --orig-zone值设置原始方向的区域
  --reply-zone值设置回复方向的区域
  -b，--buffer-size Netlink套接字缓冲区大小
  --mask-src ip源掩码地址
  --mask-dst ip目标掩码地址

conntrack-tools用户手册：https://conntrack-tools.netfilter.org/manual.html