Linux内核网络的连接跟踪conntrack简单分析Linux内核的conntrack模块是网络过滤子系统netfilter重要组成部分,它是网络地址转换NAT和防火墙等网络功能的基础。Linux内核中一个连接(可以为UDP或TCP,或其他)的建立是一个冗长耗时的过程,例如,该连接经过内核过滤规则(对应防火墙的规则)或端口转发等规则的确认,最终成功建立。当连接建立后,如何避免后续数据量庞大、数量众多的网络包快速检测通过(从而降低Linux内核网络的负载),跟踪连接是十分必要的。为了跟踪一个已存在的网络连接,Linux内核(版本为6.6.67)使了以下结构体