[欢迎进入讨论] 关于syn-proxy的一些问题

dreamice

双方数据传输的（client）ACK和SYN（server）的正确转换

＝＝》你这个误解了透明代理的意思。tcp连接的过程中，完全是proxy来处理的，不涉及到server；只有真正的数据包，才会转过去；同理，proxy和server要通信，那就是他们而这的tcp连接过程，不涉及到client。
如果握手都要转那么遥远的话，就太复杂了，实际上也没有必要。

Godbach

你的意思数据部分的传输时，proxy截获server发过来的数据，然后组装自己的报文，再发给client？

dreamice

原帖由 Godbach 于 2009-3-13 16:23 发表
你的意思数据部分的传输时，proxy截获server发过来的数据，然后组装自己的报文，再发给client？

是的，server过来的数据，也会被截获，然后发给client。

由拦截的含义可知，至于tcp建立，那完全不涉及到server与client的直接进行。

Godbach

看来是我想的复杂了。
我以为Firewall只是把client的报文做一下ACK的修改，然后转发这个报文就可以了。
相反，对于server过来的报文，也做一下SEQ的修改，接着转发就OK了。

dreamice

原帖由 Godbach 于 2009-3-13 16:31 发表
看来是我想的复杂了。
我以为Firewall只是把client的报文做一下ACK的修改，然后转发这个报文就可以了。
相反，对于server过来的报文，也做一下SEQ的修改，接着转发就OK了。

你这样做的话，如果client太多，没办法控制的，会造成proxy维护一个庞大的表，性能一下就拖下来了。。。

Godbach

原帖由 dreamice 于 2009-3-13 16:36 发表


你这样做的话，如果client太多，没办法控制的，会造成proxy维护一个庞大的表，性能一下就拖下来了。。。

呵呵，是啊。我就觉得按照我的想法，内核是需要维护一个比较大的表的。

那你现在说的这种透明方式在那个版本的内核支持啊。

它对SYN包也是要进行Cookie验证的吧。

richardhesidu

原帖由 dreamice 于 2009-3-13 16:11 发表


是的，2.6.28版内核支持这个东东，我做国squid的完全透明代理。
其实内核实现了握手这一系列机制，无非就是我上面说的增加了对非本地IP的目的和源包的处理，以及握手机制。

God兄考虑得太复杂了，你首先 ...

dreamice 兄说一下具体实现的代码内核那一部分吧。

Godbach

原帖由 richardhesidu 于 2009-3-13 16:40 发表

dreamice 兄说一下具体实现的代码内核那一部分吧。

恩。看来对syn-proxy的理解已经远远落后了啊。

dreamice

原帖由 richardhesidu 于 2009-3-13 16:40 发表

dreamice 兄说一下具体实现的代码内核那一部分吧。

2.6.28版本的代码里面已经实现了，具体部分主要涉及到tcp握手机制的部分、还有一个setsockopt的选项以及路由部分。
其实这种机制在2.2版本的内核已经实现了，只是当时可能考虑到安全的问题，在2.4版内核又去掉了。
常规的路由策略，对与源IP不是本地的包，是没办法路由出去的，包在协议栈会被drop掉，所以内核修改了这一部分的源码实现；
另外setsockopt部分的设定，可以允许一个socket监听目的地址不是本地的包。
大致就是这样一些支持，当然了，要让一个包被拦截到本地，还需要策略路由的支持。

说起来还是蛮复杂的，涉及到的知识点也就是上面这些，具体就参考代码吧。

Godbach

看来dreamice兄已经研究的比较熟了啊