论坛徽章:: 6

1楼 [报告]

发表于 2013-03-01 08:07 |显示全部楼层

回复 1# liudonghua123

如果不能通过配置实现，则我想实现一个内核模块，在内核模块里判断代理进程是否存在（已实现），但还差检测来自这条规则的ip包，并且想跳过nat处理过程，类似于iptables中的-j RETURN

代理不可用的条件是什么？

如果只是根据进程是否存在判断的话，你所说的功能是比较容易实现的；如果需要进行业务层判断是否可用的话，就比较困难了。

瀚海书香

版主

论坛徽章:: 6

2楼 [报告]

发表于 2013-03-01 13:07 |显示全部楼层

回复 3# liudonghua123

2. 扩展netfilter/xtables，实现一个match或target，如
iptables -t nat -A custom_chain -p tcp -dport 80 -m process_available --process_name some_process_name -j DNAT --to-destination 127.0.0.1:1234
iptables -t nat -A custom_chain -p tcp -dport 80 -j SAFE_DNAT --to-destination 127.0.0.1:1234

通过判断进程是否存在决定是否DNAT的的话，上面两个方案实现都比较简单。

match方法：

      if(进程存在）
            return true;
      else
            return false;

整个match的代码，大约在100行（不包括应用层iptables match库）

target方法：

      if(进程存在）
               nf_nat_setup_info();
      else
               return NF_ACCEPT;

整个target的代码，也不会超过100行。

个人更倾向于使用match方法，而不是target方法。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

瀚海书香

版主

论坛徽章:: 6

3楼 [报告]

发表于 2013-03-02 09:14 |显示全部楼层

回复 6# liudonghua123

多谢！我才刚开始学习netfilter/xtables.我从网上找了一个小例子(ipaddr)，编译及insmod都没问题
只是在执行例如iptables -t nat -A custom_chain -m some_match_rules时会提示ipaddr没有此文件
在网上找了应该是需要在iptables中添加一些代码，如解析参数等等作用，这里应该就是对应你说的“应用层iptables match库”吧！

是的