[发明专利]一种基于Linux的Nat日志记录方法与装置

说明书

技术领域

本发明涉及日志系统技术领域，尤其涉及一种基于Linux的Nat日志记录方法与装置。

背景技术

基于Linux的Nat服务器，一般使用Netfilter来实现其Nat功能，根据Netfilter的五个钩子和三个表的工作模式，在Nat服务器下要记录日志，一般会记录一个数据报文经过Netfilter的Nat模块作地址转换前后的信息，并输出到用户层以使应用程序能接收并作特定用途。Nat日志系统的数据流如下：1.数据报文到达网卡；2.数据报文进入Netfilter；3.进行Nat前记录一次信息；4.进行Nat后记录一次信息；4.数据报文离开Netfilter；5.应用程序接收两次信息并处理。

现有的基于Linux的Nat日志系统，一般使用iptables规则配合printk把数据包信息输出到用户层的应用程序。如图1所示，工作流程如下（以SNat为例）：1）在Netfilter的FORWARD钩子的mangle表处设置一个规则，修改数据包的TOS属性；2）在Netfilter的FORWARD钩子的filter表处设置一个规则，记录经过的数据包信息并输出到用户层；3）插入一个Netfilter处理模块在POSTROUTING最后位置，判断数据包的TOS属性，如符合则记录此数据包信息并输出到用户层；4）用户层程序接收到一前一后的数据包信息，处理并发送到远端syslog日志服务器。

现有的Nat日志系统是使用printk输出信息到用户层的，printk由于效率低下，性能欠佳，所以此系统会占用过多的CPU，处理不了大流量的Nat环境。

发明内容

本发明实施例提供一种基于Linux的Nat日志记录，旨在解决现有技术中日志记录数据拷贝多，数据流经路程长，系统占用过多CPU的问题。

本发明实施例是这样实现的，一种基于Linux的Nat日志记录方法，所述方法包括：

A.数据报文到达网卡，并进入内核防火墙；

B.数据报文到达第一检测点，判断是否需要做DNat记录，是则对所述数据报文做DNat记录，并通过传输接口记录后执行步骤C，否则直接执行步骤C；C.数据报文进入第二检测点，判断是否需要做SNat记录，是则对所述数据报文做SNat记录，并通过传输接口记录后执行步骤D，否则直接执行步骤D；

D.内核防火墙将数据报文通过Netlink发送到用户层。

本发明实施例还提供一种基于Linux的Nat日志记录装置，所述装置包括：

数据报文入口单元，用于数据报文到达网卡，并进入内核防火墙；

DNat记录判断单元，用于数据报文到达第一检测点，判断是否需要做DNat记录，是则对所述数据报文做DNat记录，并通过传输接口记录后发送执行指令到SNat记录判断单元，否则直接发送执行指令到SNat记录判断单元；

SNat记录判断单元，用于数据报文进入第二检测点，判断是否需要做SNat记录，是则对所述数据报文做SNat记录，并通过传输接口记录后发送执行指令到数据报文发送单元，否则直接发送执行指令到数据报文发送单元；

数据报文发送单元，用于内核防火墙将数据报文通过Netlink发送到用户层。

本发明在数据报文进入防火墙后，分别进行DNat记录和SNat记录，通过传输接口记录数据报文，使用Netlink传输信息到用户层，减少了数据的拷贝，以及系统调用的次数，缩短了数据流经的路程，提高了日志系统性能，使系统更加快速、准确，足够处理大流量的Nat环境需求。

附图说明

图1表示本发明实施例提供的现有技术工作原理图；

图2表示本发明实施例提供的一种基于Linux的Nat日志记录方法流程图；

图3表示本发明实施例提供的一种基于Linux的Nat日志记录方法流程图；

图4表示本发明实施例提供的一种基于Linux的Nat日志记录方法流程图；

图5表示本发明实施例提供的基于Linux的Nat日志系统的整体结构图；

图6表示本发明实施例提供的一种基于Linux的Nat日志记录装置结构图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图2示出了本发明实施例提供的一种基于Linux的Nat日志记录方法流程图，详述如下：

在步骤S101中，数据报文到达网卡，并进入内核防火墙；