论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-04-16 11:32 |只看该作者 |倒序浏览

若在主机B的PREROUTING钩子点截获一个A到B的skb，更改源为B目的为C，以及mac等信息，然后直接调用dev_queue_xmit(skb)发送。结果就是C返回B（syn，ack），然后B再回复C（rst）。我想问一下，B怎样在内核下构造skb，才能与C正常进行连接（不至于B总是回复rst断开连接），是需要修改skb的某些有关连接跟踪的信息吗？
请求大家回复了，非常感谢！

文库|博客

瀚海书香

版主

论坛徽章:: 6

2楼 [报告]

发表于 2013-04-16 13:13 |只看该作者

回复 1# liziaiya
你的B只是转发了一下数据，并没有建立相应的conntrack信息。

不过话说回来，你这个需求比较奇怪，应该有其他的方法满足你的需求，不一定非得自己写这么奇怪的代码。
Maybe tproxy

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liziaiya

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2013-04-16 17:05 |只看该作者

回复 2# 瀚海书香 非常谢谢你的回答，觉得你好友善呐。:wink:其实我最近一直在研究端口重定向的问题，就是作类似redir,FPipe之类的工具。但是想要在linux内核下实现。譬如说A想和防火墙内的C（23端口）通信，但是防火墙不允许23，所以A与防火墙内的B（80端口）连接，然后重定向到C的23端口，算是穿透防火墙的端口封锁吧！
于是我在B上基于netfilter对A->B的报文做了dnat（将目的ip置为C），然后在post routing做了snat（将发往C的报文源IP置为B），具体的也是参照ipt_REDIRECT.c写的。这样，我希望报文经过B的钩子函数时产生这样的变化，如下：
发送：
pre_routing： AB->AC
post_routing :AC->BC
回复
pre_routing:CB->CA
post_routing:CA->BA
我不知道我的思路有没有问题，之前总是难以实现remote redirect，希望你可以给我建议，同时不知道linux内核实现穿透防火墙的端口封锁这个问题，你有没有什么更好的方法？