netfilter 自己增加的hook在Prerouting,和iptables默认规则的先后顺序是怎么样的?
在iptables nat 的prerouting有一条规则:iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500
如果此时,增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
.hook = myFun,
.pf = PF_INET,
.hooknum = NF_INET_PRE_ROUTING,
.priority = NF_IP_PRI_FIRST,
};
这个时候,如果myFun 返回 NF_ACCEPT, 自定义规则和iptables的规则,执行顺序是怎么样的?
PREROUTING 能否增加一条规则来判断url,如下任何一条:
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT
来实现baidu的域名不跳转,其他80端口跳转的功能?
另外:
在mangle增加过一条:
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500
数据包只经过了上面的第一和第三条?
为什么?
回复 1# chinaunix_clove
你配置的 nat 规则,最终都会在 PREROUTING 处 nat 注册的 hook 函数中执行。你加自己的 hook 函数的话,根据优先级,如果比 nat 高的话,那么 只有 accept 的报文,才会继续走低优先级的 hook。如果 drop 的话,剩余的 hook 函数就看看不到这个包了。
回复 1# chinaunix_clove
如果此时,增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
.hook = myFun,
.pf = PF_INET,
.hooknum = NF_INET_PRE_ROUTING,
.priority = NF_IP_PRI_FIRST,
};
这个时候,如果myFun 返回 NF_ACCEPT, 自定义规则和iptables的规则,执行顺序是怎么样的?
你目的是什么?一般没有这样做的。netfilter的hook对应的是表中的链(也就是容器,而非规则本身)。一般 <hooknum,priority>构成一个唯一组成(如mangle表只有一个preroutng链)。你这个操作完后跟br_nf_ops这个hook有冲突。那么netfilter是否支持真的难说。
如果你仅仅有个规则需要在内核执行。完全可以直接在 netfilter内核对应的hook函数中执行
PREROUTING 能否增加一条规则来判断url,如下任何一条:
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT
来实现baidu的域名不跳转,其他80端口跳转的功能?
你这个规则能敲进去系统? nat表就是做nat转换的。一般只匹配conntrack的new状态(如-m conntrack --ctstate NEW)。对于http也就是tcp的三次握手阶段的第一个syn包。所以即便这个规则能敲击进去,也不可能匹配到url
另外:
在mangle增加过一条:
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500
数据包只经过了上面的第一和第三条?
为什么?
跟上面一样。第二条应该敲击不进系统。nat表不支持accept。也没必要支持。nat只做 dnat和snat两件事情
综上个人感觉你编码能力也许不赖。但网络不熟悉。建议先花点时间搞清楚 iptables的基本应用再下手不迟
回复 1# chinaunix_clove
如果此时,增加一个hook在PREROUTING :
static struct nf_hook_ops auth_ops =
{
.hook = myFun,
.pf = PF_INET,
.hooknum = NF_INET_PRE_ROUTING,
.priority = NF_IP_PRI_FIRST,
};
这个时候,如果myFun 返回 NF_ACCEPT, 自定义规则和iptables的规则,执行顺序是怎么样的?
你目的是什么?一般没有这样做的。netfilter的hook对应的是表中的链(也就是容器,而非规则本身)。一般 <hooknum,priority>构成一个唯一组成(如mangle表只有一个preroutng链)。你这个操作完后跟br_nf_ops这个hook有冲突。那么netfilter是否支持真的难说。
如果你仅仅有个规则需要在内核执行。完全可以直接在 netfilter内核对应的hook函数中执行
PREROUTING 能否增加一条规则来判断url,如下任何一条:
iptables -t nat -A PREROUTING -m webstr --url "baidu.com" -j ACCEPT
iptables -t nat -A PREROUTING -m string --string "baidu.com" --algo bm -j ACCEPT
来实现baidu的域名不跳转,其他80端口跳转的功能?
你这个规则能敲进去系统? nat表就是做nat转换的。一般只匹配conntrack的new状态(如-m conntrack --ctstate NEW)。对于http也就是tcp的三次握手阶段的第一个syn包。所以即便这个规则能敲击进去,也不可能匹配到url
另外:
在mangle增加过一条:
iptables -t mangle -A PREROUTING -m webstr --url "baidu.com" -j MARK --set-mark 100
iptables -t nat -A PREROUTING -m mark --mark 100 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -p tcp --dport 80-j REDIRECT --to-port 2500
数据包只经过了上面的第一和第三条?
为什么?
跟上面一样。第二条应该敲击不进系统。nat表不支持accept。也没必要支持。nat只做 dnat和snat两件事情
综上个人感觉你编码能力也许不赖。但网络不熟悉。建议先花点时间搞清楚 iptables的基本应用再下手不迟
页:
[1]