Chinaunix

标题: 关于在netfilter中使用skb_copy发生的问题 [打印本页]

---

作者: anhongkui    时间: 2010-11-23 17:22
标题: 关于在netfilter中使用skb_copy发生的问题


在NF_IP_LOCAL_OUT注册了一个hook，   想将一个包变成两个包。

1. 
   
2. 
   
3. 
   
4. #ifndef __KERNEL__
   
5. #define __KERNEL__
   
6. #endif
   
7. 
   
8. #ifndef MODULE
   
9. #define MODULE
   
10. #endif
    
11. 
    
12. #include <linux/module.h>
    
13. #include <linux/skbuff.h>
    
14. #include <linux/netdevice.h>
    
15. #include <linux/config.h>
    
16. #include <linux/ip.h>
    
17. #include <linux/tcp.h>
    
18. #include <linux/udp.h>
    
19. #include <net/ip.h>
    
20. #include <linux/netfilter_ipv4.h>
    
21. 
    
22. 
    
23. 
    
24. static unsigned int doit(unsigned int hooknum, struct sk_buff **skb,
    
25.                          const struct net_device *in,
    
26.                          const struct net_device *out,
    
27.                          int (*okfn) (struct sk_buff *))
    
28. {
    
29. 
    
30.     struct sk_buff *newskb = skb_copy(*skb, GFP_ATOMIC);
    
31.     if (newskb  != NULL) {
    
32.          okfn(newskb);
    
33.     }
    
34.     return NF_ACCEPT;
    
35. }
    
36. 
    
37. static struct nf_hook_ops mynetfilter = {
    
38.     {NULL, NULL},
    
39.     doit,
    
40.     PF_INET,
    
41.     /* NF_IP_PRE_ROUTING, */
    
42.     NF_IP_LOCAL_OUT,
    
43. #if 1
    
44.     INT_MIN
    
45. #else
    
46.     NF_IP_PRI_FILTER - 1
    
47. #endif
    
48. };
    
49. 
    
50. int init_module(void)           //注册模块函数
    
51. {
    
52.     return nf_register_hook(&mynetfilter);
    
53. }
    
54. 
    
55. void cleanup_module(void)
    
56. {
    
57.     nf_unregister_hook(&mynetfilter);
    
58. }
    
59. 
    
60. MODULE_LICENSE("GPL");
    
61. 
    
62. 
    

复制代码

这样子，只要 insmod test.o（2.4内核），且有数据包，则直接死机


因为设备无法接显示器，所以无法查错误。

希望有人能告诉我怎么回事，谢谢啦。


编译：

1. gcc -c mynf.c -D__KERNEL__ -DMODULE -I /usr/src/linux-2.4/include -O -Wall

复制代码

---

作者: Godbach    时间: 2010-11-23 19:30

# static unsigned int doit(unsigned int hooknum, struct sk_buff **skb,
#                          const struct net_device *in,
#                          const struct net_device *out,
#                          int (*okfn) (struct sk_buff *))
# {
#

#     struct sk_buff *newskb = skb_copy(*skb, GFP_ATOMIC);
#     if (newskb  != NULL) {
#          okfn(*skb);
#     }
#     return NF_ACCEPT;
# }

你这个地方的逻辑不对， 既然你都调用 okfn 将 skb 发出去了，为什么还 return NF_ACCEPT 呢。
修改为 return NF_STOLEN 试一下

---

作者: anhongkui    时间: 2010-11-24 09:22
是这样的，我想将复制出来的包发出去，原始包继续走以前的流程（iptables规则链）

上边是我抄代码抄错了，应该是okfn(newskb);

---

作者: 瀚海书香    时间: 2010-11-24 10:29
回复 1# anhongkui
如果你把注册点放到NF_IP_PRE_ROUTING上应该没问题吧？
还有对newskb的处理，可以试试用netif_rx(newskb)试试。

---

作者: anhongkui    时间: 2010-11-24 11:07
谢谢2楼和4楼，是我的代码写错了。

我的代码写成了okfn(*skb)；改成okfn(newskb)就ok了。

我太马虎了。~

---

作者: Godbach    时间: 2010-11-24 11:36

谢谢2楼和4楼，是我的代码写错了。

我的代码写成了okfn(*skb)；改成okfn(newskb)就ok了。

我太马虎了 ...
anhongkui 发表于 2010-11-24 11:07

就是嘛。如果你 okfn 里面传递的 skb，传送完毕之后 skb 就释放了，你还要 return NF_ACCEPT，后续处理模块接收到的 skb 是 NULL，是要出问题的

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2