27.2. Introduction au suivi des connexions

Le cadre Netfilter filtre les paquets provenant d'un réseau externe au niveau d'un pare-feu. À l'arrivée d'un paquet, Netfilter attribue une entrée de suivi de connexion. Cette entrée stocke une marque Netfilter et suit les informations relatives à l'état de la connexion dans la table de mémoire. Un nouveau tuple de paquet correspond à une entrée existante. Si le tuple de paquet ne correspond pas à une entrée existante, le paquet ajoute une nouvelle entrée de suivi de connexion qui regroupe les paquets de la même connexion. Par exemple, pour s'assurer que tous les paquets d'une connexion FTP fonctionnent de la même manière, affectez une entrée de suivi de connexion à la connexion FTP.

La commande tc est un utilitaire de contrôle du trafic qui permet de configurer un planificateur de paquets en utilisant le qdisc, une discipline de mise en file d'attente configurée par le noyau pour capturer tout le trafic avant qu'un périphérique réseau ne le transmette. La commande tc qdisc limite le taux de bande passante des paquets appartenant à la même connexion.

L'utilitaire tc possède le module d'information de suivi de connexion (ctinfo) qui récupère les données des marques de suivi de connexion dans divers champs, avec la fonctionnalité connmark. Pour stocker les informations relatives à la marque du paquet, le module ctinfo copie la marque Netfilter et les informations relatives à l'état de la connexion dans le champ de métadonnées skb, qui correspond à la marque du tampon de la socket (skb).

En cas de transmission sur un support physique, un paquet perd ses métadonnées. Avant qu'un paquet ne perde ses métadonnées, le module ctinfo met en correspondance et copie la valeur de la marque Netfilter avec une valeur spécifique du point de code Diffserv (DSCP) dans le champ IP du paquet.