Conntrack Helper erweitern Conntracking um neue Fähigkeiten, Verbindungen zu klassifizieren. So können neue Verbindungen zu bestehenden zugeordnet werden (RELATED). Die Aufgabe eines Contrack Helpes ist es, diese Assoziationen zwischen Verbindungen herzustellen.
Conntrack Helper lassen sich durch eine Struktur beschreiben, ip_conntrack_helper, deren wichtigsten Merkmale ein Tupel mit Maske und ein Funtionszeiger sind. Das Tupel und Maske vom Typ ip_conntrack_tuple beschreiben die passende Verbindung. Die Maske spezifiziert dabei die gültigen Felder des Tupels. Der Funktionszeiger spezifiziert die Funktion, die für das auf Tupel/Maske passende Paket aufgerufen werden soll. Diese kann, neben Paketmanipulation, Erwartungen (expectaions) registrieren.
Ein solche Erwartung wird ebenfalls durch Initialisierung einer Struktur erzeugt. In diesem Fall ist das die ip_conntrack_expect Struktur. Diese Struktur enthält alle Informationen um eine eintreffende erwartete Verbindung zu erkennen und zuzuordnen. Desweitern ist noch ein Funktionszeiger enthalten, der für das erste Paket der erwarteten Verbindung aufgerufen wird.
ip_conntrack_helper:
- list - Listenzeiger
- name - Name des Helpers
- flags - reuse. falls max_expectation erreicht noch verwenden
- me - Zeiger auf sich (Modul)
- max_expected - max. Anzahl gleichzeitig erwarteter Verbindungen
- timeout - timeout für eine Erwartung
- tupel - ip_conntrack_tupel beschreibt die Pakete, die der Helper möchte
- mask - ip_conntrack_tupel markiert gültige Felder in tupel.
- help - Funktionszeiger. Wird für alle auf tupel-mask passenden Pakete aufgerufen
ip_conntrack_expect:
- list - Listenzeiger
- use - Refernz-Zähler
- expected_list - Liste aller Erwartungen des Masters
![[*]](/usr/share/latex2html/icons/footnote.png)
- expectant - Master
- sibling - Zeiger auf die zu erwartende Verbindung, falls sie zustande kommt
- ct_tupel - saved for conntrack
- timeout - Timeout der Erwartung
- tupel - beschreibt die erwartete Verbindung
- mask - gültige Felder in tupel
- expectfn - Funktionszeiger; wird aufgerufen für das erste Paket der erwarteten Verbindung
- seq - Sequenznummer, bei der diese Erwartung erzeugt wurde
- proto - Protokoll
- help - Helper Struktur (zBsp ip_ct_ftp_expect)
Ein Beispiel eines Conntrack Helpers ist das Modul ip_conntrack_ftp. Zum Datentransfer nutzt das FTP Protokoll, neben der Kontroll-Verbindung auf Port 21, eine zusätzliche Verbindung zum Datentransfer. Diese Verbindung kann zwischen Client und Server ausgehandelt. Durch senden eines ,,PORT`` Befehls durch den Client, weiss der Server auf welchen Port der Client auf die Datenverbindung wartet.
Sieht der FTP-Conntrack-Helper ein Paket, das einen solchen Befehl enthält, so registriert dieser eine Erwartung auf diesem Port.
Klaus Rechert
2004-03-09
