Início / unix / Perguntas / 439618
Accepted
aew9
Asked: 2018-04-24 17:17:44 +0800 CST

Soquete UDP no estado UNCONN ao usar o ss do iproute2

  • 772

Ao editar algumas regras de firewall em uma máquina que possui um cliente OpenVPN em execução, tentei determinar sua porta remota, como costumo fazer, usando ss.

# ss -anup | grep openvpn
UNCONN6528   0    0.0.0.0:52012        0.0.0.0:*     users:(("openvpn",pid=333,fd=3))

Ele veio vazio.

Na configuração, posso ver que o cliente deve estar conectado ao 10.0.0.5:389UDP. Eu verifiquei isso em /proc:

# cat /proc/net/nf_conntrack | grep udp | grep 389
ipv4     2 udp      17 175 src=10.0.7.8 dst=10.0.0.5 sport=52012 dport=389 src=10.0.0.5 dst=10.0.7.8 sport=389 dport=52012 [ASSURED] mark=0 zone=0 use=2

Ambos os comandos foram executados em rápida sucessão após fazer uma conexão de saída e verificar se estava funcionando, curl ipinfo.ioretornando o resultado esperado.

Tentei uma conexão UDP normal com netcat ( nc -l -u 12345no servidor e nc -u 10.0.0.5 12345no cliente) para ver a saída ssno cliente:

# ss -anup | grep nc
ESTAB      0      0      10.0.7.8:52051              10.0.0.5:12345               users:(("nc",pid=2002,fd=3))

Por que a sssaída para OpenVPN está no UNCONNestado e não no ESTABestado esperado, como no caso netcat simples?

Meio Ambiente:

# uname -a
Linux tank 4.16.3-1-ARCH #1 SMP PREEMPT Thu Apr 19 09:17:56 UTC 2018 x86_64 GNU/Linux

# pacman -Qo /usr/bin/ss
/usr/bin/ss is owned by iproute2 4.16.0-1
openvpn iproute

1 respostas

  1. Best Answer

    TL;DR: você pode usar soquetes UDP no modo conectado ou ficar desconectado, essa é uma escolha de implementação dependendo, entre outros fatores, de simplicidade ou escalabilidade. Isso não mudará o conteúdo dos pacotes no fio ou controlará qualquer escolha feita.

    netcatusa bind(2)para a porta escolhida, usa apenas uma vez recvfrom(2)com opção MSG_PEEKde nem consumir os dados, recupera a fonte, depois usa connect(2)para essa fonte alterando o estado do soquete para , e agora pode continuar com chamadas ESTABsimples read(2)e .write(2)

    Outros aplicativos (por exemplo: socat UDP-RECVFROM:7777,fork -em vez de socat UDP-LISTEN:7777 -, e obviamente openvpn) nunca connect(2)para a fonte e, portanto, permanecem no estado UNCONN. Eles só usarão recvfrom(2)e emitirão dados usando arquivos sendto(2).

    Esta diferença de uso é parcialmente explicada em recv(2)e send(2):

    A chamada send() pode ser usada somente quando o soquete estiver em um estado conectado (para que o destinatário pretendido seja conhecido). A única diferença entre send() e write(2) é a presença de flags. Com um argumento zero flags, send() é equivalente a write(2).

    • 2

relate perguntas