请教：有关Netfilter的问题

platinum

ShadowStar 兄越来越厉害了，感觉变化很大！

platinum

原帖由 Godbach 于 2009-3-11 14:21 发表
白金兄也好久不见了。最近工作很忙吧

是呀，我这段时间也在摸爬滚打中，不过是一个用户态的……

platinum

原帖由 dreamice 于 2009-3-11 14:43 发表



这帖招来这么多牛人，呵呵

因为今年牛年嘛！

希望大家都越来越牛！

platinum

我觉得这个问题应该分成三个子问题来考虑
1、如何把 1 个包弄成 2 个包？
2、如何让其中一个包按自己的意愿走？
3、以上两者是否存在耦合性？（即是否可能存在相互干扰的成分）

我想，“1” 并不难，“2” 要看具体如何实现，比如送到 INPUT 里，那么 DST 是 localhost 吗？如果是，可能比较麻烦，2.6.28 有针对这个功能的集成
对于 “3” 来说，就要考虑 ShadowStar 提到的分片和序号问题了

我觉得问题的重点，是要弄清要如何 “随意控制数据包”，首先，直接修改这个数据让其随意是否可以，其次再考虑如何兼顾两个包之间的耦合问题

platinum

原帖由 ShadowStar 于 2009-3-11 15:13 发表
另外，ip_rcv_finish是不是一个static函数无关紧要，需要的话，把他EXPORT_SYMBOL出来就OK了。

好像如果是 static 函数的话是无法导出的，需要把 static 关键字去掉才可以

platinum

原帖由 dreamice 于 2009-3-11 15:15 发表
这里有个问题我重申一下我在碎片重组之前做这个clone，因此clone的包也能走到netfilter的碎片重组的hook上来，于是在用户空间就不用考虑碎片之类的东东了。

这里先分支讨论一下性能问题
如果 defrag 之前 clone，之后两个包都要 defrag，这样负载会比较高，为什么不先过了 defrag 再 clone 呢？
IP 重组是根据 sip、dip、ipid、proto 四元组来计算 hash 的，如果在早期 clone，那么就要在 defrag 之前把数据包改好，之后走各自的 defrag 队列，性能是比较低的

对于随意控制走向问题，我觉得是不是可以参考 2.6.28 中的数据包网络处理框架？

platinum

dreamice 兄，如果有了新的 idea，也与我们一起分享一下