请教：有关Netfilter的问题

dreamice

原帖由 Godbach 于 2009-3-11 13:24 发表
dreamice兄的意思是新拷贝的报文怎么进一步发送？

就这么个意思，绕了半天了
直接掉rcv_finish似乎有问题，因为包还没有被重组

scutan

原帖由 dreamice 于 2009-3-11 13:29 发表
第一个问题觉得太麻烦了，与我当前的系统实现可能改动太大，接口也会很复杂；
第二个问题：本地是肯定要有socket监听的，不然没办法投递上去，其他的问题应该还好说，我这里就是想知道，这个skb，我调用什么样 ...

要不自己做个处理, 调用一下ip_local_deliver?

Godbach

原帖由 dreamice 于 2009-3-11 13:31 发表


就这么个意思，绕了半天了
直接掉rcv_finish似乎有问题，因为包还没有被重组

哈哈，我理解能力太差了

Godbach

直接掉rcv_finish似乎有问题，因为包还没有被重组

本地接收报文的重组工作是在ip_local_deliver处做的处理，PREROUTING处不用关心这个吧

dreamice

原帖由 Godbach 于 2009-3-11 13:33 发表


本地接收报文的重组工作是在ip_local_deliver处做的处理，PREROUTING处不用关心这个吧

{
                .hook                = ipv4_conntrack_defrag,
                .owner                = THIS_MODULE,
                .pf                = PF_INET,
                .hooknum        = NF_INET_PRE_ROUTING,
                .priority        = NF_IP_PRI_CONNTRACK_DEFRAG,
}

ShadowStar

使用skb_clone的目的就是为了提高处理效率。但是，直接调用ip_rcv_finish绝对是有问题的，因为报文并没有修改，所以这个报文还是会转发出去，而不会到达本机。

ip分片的重组在conntrack后就完成了。

仅仅是本地有socket监听也是得不到报文的，因为报文的IP／PORT没有修改，所以socket查找不到。如果hack的话，需要做一路的hack。

这个问题最简单的方法就是把报文内容用netlink封装丢上去。

scutan

原帖由 ShadowStar 于 2009-3-11 13:38 发表
使用skb_clone的目的就是为了提高处理效率。但是，直接调用ip_rcv_finish绝对是有问题的，因为报文并没有修改，所以这个报文还是会转发出去，而不会到达本机。

ip分片的重组在conntrack后就完成了。

仅仅 ...

嗯, 我觉得通过netlink把包直接丢到用户态去处理的方法比较方便 .

dreamice

原帖由 ShadowStar 于 2009-3-11 13:38 发表
使用skb_clone的目的就是为了提高处理效率。但是，直接调用ip_rcv_finish绝对是有问题的，因为报文并没有修改，所以这个报文还是会转发出去，而不会到达本机。

ip分片的重组在conntrack后就完成了。

仅仅 ...

你说的这些其他的一路的问题，可以说都搞定了，因为我通过拦截包是ok的，就是不让他走原路。
我现在的问题其实很简单，就是clone一个包，在做一些微小的修改，让他走我希望他走的这条路就ok。

感谢各位给的意见，我先尝试一下。

Godbach

使用skb_clone的目的就是为了提高处理效率。但是，直接调用ip_rcv_finish绝对是有问题的，因为报文并没有修改，所以这个报文还是会转发出去，而不会到达本机。

哦，如果本机也需要这种报文的话，应该使用skb_copy吧

ShadowStar

原帖由 Godbach 于 2009-3-11 13:42 发表


哦，如果本机也需要这种报文的话，应该使用skb_copy吧

如果仅仅是修改报文头部（例如IP／PORT）的话，用pskb_copy更高效一些。

如果想用netlink的话，得自己实现一个了，因为netlink需要封装报头，而且netlink似乎通常不分片（我不确定分片情况下是否OK）。