haproxy 思考
通过代理服务器在两个TCP接连之间转发数据是一个常见的需求,然后通常部署的时候涉及到(虚拟)服务器、真实服务器、防护设备。涉及到多个ip地址相关联,改动一个IP就需要修改配置。
比如反向服务器部署的时候, 真实服务器ip 改动就会联动反向代理关系改动,比较麻烦。所以当然是将真实服务器Ip 对外最好, 修改Ip 只会去改动DNS,但是中间的网络设备、安全设备怎样加入呢?
此时就有了透传用户ip的方法。client-----socket1-----haproxy-----socket2---server; 即client 和haproxy建立tcp链接, haproxy和server 建立tcp链接转发client请求以及响应,haproxy完成安全设备等业务处理。client-----socket1-----haproxy-----socket2---server;---根据这个数据流可以看到haproxy实际就是串联在client和server 中的设备, 其负责转发报文--报文的IP PORT等信息不会改变。所以就需要将client的IP透传到Haproxy。技术的话 应该是非常成熟了!
proxy的配置:
/sbin/iptables -F
/sbin/iptables -t mangle -N DIVERT
/sbin/iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
/sbin/iptables -t mangle -A DIVERT -j MARK --set-mark 1
/sbin/iptables -t mangle -A DIVERT -j ACCEPT
/sbin/ip rule add fwmark 1 lookup 100
/sbin/ip route add local 0.0.0.0/0 dev lo table 100
将所有client发往server的tcp包,重定向到本地设备haproxy回环接口(lo)上,由TProxy内核补丁来对这些网络包进行处理,此时client和lo接口上的listen socket三次握手建立tcp隧道流。然后拿到tcp流真实源IP-srcip 、目的IP-dstip 、源端口-srcport 、目的端口-dstport,进而使用srcip srcport 同后端server(dstip dstport)建立tcp链接 。
问题1:porxy设备怎样拦截tcp流将报文送到lo接口,同时怎样建立socket-----socket的三次握手
根据以前的文章TCP/IP协议栈文章可知:
- 数据包在各层传递过程中, 在linux内核中统一表示为一个结构:struct sk_buff,简写为skb;
- skb在TCP/IP协议栈处理时, 由skb->sk 标明该数据包对应的应用层socket套接字是哪个;tcp/udp层将根据skb->sk这个信息,将网络包放入到某个应用进程创建的套接字中,供应用层处理该网络包
所以关键就是在处理目的地为非本地ip网络数据包时,将skb中的sk指定为haproxy进程创建的socket套接字。
通过iptables配置ip层的路由规则, 将所有基于tcp的网络包(skb),打上标记(–set-mark 1),并将这些打了标记的包, 重定向到本地环路
/sbin/iptables -F
/sbin/iptables -t mangle -N DIVERT
/sbin/iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
/sbin/iptables -t mangle -A DIVERT -j MARK --set-mark 1
/sbin/iptables -t mangle -A DIVERT -j ACCEPT
/sbin/ip rule add fwmark 1 lookup 100
/sbin/ip route add local 0.0.0.0/0 dev lo table 100
proxy从本地环路上抓取网络包(skb),然后提取出网络包中的源ip/port,目的ip/port,根据这些信息,从内核中查找出对应的套接字句柄sk,然后进行赋值: skb->sk = sk
tproxy处理逻辑代码如下:
static unsigned int
tproxy_tg4(struct net *net, struct sk_buff *skb, __be32 laddr, __be16 lport,
u_int32_t mark_mask, u_int32_t mark_value)
{
const struct iphdr *iph = ip_hdr(skb);
struct udphdr _hdr, *hp;
struct sock *sk;
////获得传输头
hp = skb_header_pointer(skb, ip_hdrlen(skb), sizeof(_hdr), &_hdr);
if (hp == NULL)
return NF_DROP;
/\* check if there's an ongoing connection on the packet
\* addresses, this happens if the redirect already happened
\* and the current packet belongs to an already established
\* connection \*/
//根据数据包的内容,向tcp已建立的队列查找skb属于的struct sock
//如果客户端与代理服务器已经建立连接,该数据包属于的sock将存在
sk = nf\_tproxy\_get\_sock\_v4(net, iph->protocol,
iph->saddr, iph->daddr,
hp->source, hp->dest,
skb->dev, NFT\_LOOKUP\_ESTABLISHED);
laddr = tproxy\_laddr4(skb, laddr, iph->daddr);
if (!lport)
lport = hp->dest;
/\* UDP has no TCP\_TIME\_WAIT state, so we never enter here \*/
if (sk && sk->sk\_state == TCP\_TIME\_WAIT)
/\* reopening a TIME\_WAIT connection needs special handling \*/
sk = tproxy\_handle\_time\_wait4(net, skb, laddr, lport, sk);
else if (!sk) {
/\* no, there's no established connection, check if
\* there's a listener on the redirected addr/port
laddr lport 指向hapoxy 进程bind的ip以及port 也就是为了找到其listen socket 比如为 ·······127。0.0.1 80 端口
使用此socket建立三次握手, 但是建立新的socket的时候 会用 ip->saddr ip->daddr 以及hp->source hp->dest 去new 一个新的socket并加入tcp_established 链表
*/
sk = nf_tproxy_get_sock_v4(net, iph->protocol,
iph->saddr, laddr,
hp->source, lport,
skb->dev, NFT_LOOKUP_LISTENER);
}
/* NOTE: assign_sock consumes our sk reference */
if (sk && tproxy_sk_is_transparent(sk)) {
//运行至此,说明客户端已经与服务器端建立了三次握手,即sk存在;
//则通过nf_tproxy_assign_sock函数,将当前数据包的skb与代理服务器的监听socket建立联系,即skb->sk = sk
//最后,将数据包打上比较,待策略路由转发到loobackshang
/* This should be in a separate target, but we don't do multiple
targets on the same rule yet */
skb->mark = (skb->mark & ~mark_mask) ^ mark_value;
pr\_debug("redirecting: proto %hhu %pI4:%hu -> %pI4:%hu, mark: %x\\n",
iph->protocol, &iph->daddr, ntohs(hp->dest),
&laddr, ntohs(lport), skb->mark);
nf\_tproxy\_assign\_sock(skb, sk);
return NF\_ACCEPT;
}问题2: haproxy 如何和真实server 建立TCP链接流
- 既然要建立tcp流,那肯定需要知道client server 两端ip 端口
- client端ip 不是本机IP,怎样bind一个socket
通过:
- getpeername(fd, sa, &salen)
- getsockname(fd, sa, &salen);
- getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, sa, &salen)
获取client 以及server 的ip port
get using getsockname() and getpeername() :
- address family (AF_INET for IPv4, AF_INET6 for IPv6, AF_UNIX)
- socket protocol (SOCK_STREAM for TCP, SOCK_DGRAM for UDP)
- layer 3 source and destination addresses
- layer 4 source and destination ports if any
通过: 将socket设置为IP_TRANSPARENT或IP_FREEBIND 即可bind 非本地ip port到socket---
setsockopt(fd, SOL_IP, IP_TRANSPARENT, (char *) &one, sizeof(one))setsockopt(fd, SOL_IP, IP_FREEBIND, (char *) &one, sizeof(one))
--开启IP_TRANSPARENT选项, 并绑定用户ip为源ip
参考:
https://www.nginx.com/blog/ip-transparency-direct-server-return-nginx-plus-transparent-proxy/
http://people.netfilter.org/hidden/nfws/nfws-2008-tproxy_slides.pdf
对于patch可以参考:
https://files.cnblogs.com/files/codestack/tproxy4-2.6.23-200709262209.tar
思考:ip_rcv_finish 中,是怎样将数据包投递到上层协议以及指定接口 ;而不是forwarding-转发
- ip_route_input_noref
- ip_route_input_rcu
- ip_route_input_slow
- fib_lookup
- fib_table_lookup
- res->type = fa->fa_type;
- if (res->type == RTN_LOCAL) {
…
goto local_input;
} - skb_dst_set_noref(skb, &rth->dst);
- rth = rt_dst_alloc(l3mdev_master_dev_rcu(dev) ? : net->loopback_dev,
flags | RTCF_LOCAL, res->type,
IN_DEV_CONF_GET(in_dev, NOPOLICY), false, do_cache);
- if (flags & RTCF_LOCAL)
rt->dst.input = ip_local_deliver;
- if (flags & RTCF_LOCAL)
- rth = rt_dst_alloc(l3mdev_master_dev_rcu(dev) ? : net->loopback_dev,
flags | RTCF_LOCAL, res->type,
IN_DEV_CONF_GET(in_dev, NOPOLICY), false, do_cache);
- ip_route_input_slow
通过查找路由表确定 res-type 的类型为 RTN_LOCAL,goto 到 local_input,进而调用 rt_dst_alloc,形参参数 (flag & RTCF_LOCAL) == true,设置了 rt->dst.input 是 ip_local_deliver
参考:
https://patchwork.ozlabs.org/project/netdev/patch/1226572624.7164.11.camel@bzorp.balabit/
https://blog.chionlab.moe/2018/03/31/full-cone-nat-with-linux-2/
https://patchwork.ozlabs.org/project/netdev/patch/1226572624.7164.11.camel@bzorp.balabit/
手机扫一扫
移动阅读更方便
你可能感兴趣的文章