请教：有关Netfilter的问题

dreamice

原帖由 platinum 于 2009-3-11 15:28 发表

这里先分支讨论一下性能问题
如果 defrag 之前 clone，之后两个包都要 defrag，这样负载会比较高，为什么不先过了 defrag 再 clone 呢？
IP 重组是根据 sip、dip、ipid、proto 四元组来计算 hash 的，如果在 ...

白金兄，你这个说得有道理，但实际上，在重组之前之后是要考虑的一方面，其实我更想先搞清楚这个新包如何能继续走

Godbach

通过讨论，学到了好多东西。

platinum

dreamice 兄，如果有了新的 idea，也与我们一起分享一下

dreamice

原帖由 platinum 于 2009-3-11 16:48 发表
dreamice 兄，如果有了新的 idea，也与我们一起分享一下

没问题，呵呵，希望能尽快找到解决途径。

new_learner

原帖由 ShadowStar 于 2009-3-11 12:32 发表
So easy.

这个处理，没有任何问题。

不过要注意，后续的处理可能有问题。
例如需要记录报文内容的话，需要考虑数据包重组的问题；如果做了NAT的话，TCP的三次握手应该会失败的。


刚刚遇到类似的需 ...

请问一下，为什么TCP的三次握手会失败？谢谢！

ShadowStar

原帖由 new_learner 于 2009-3-11 23:47 发表


请问一下，为什么TCP的三次握手会失败？谢谢！

因为本地的server回返回SYN_ACK，并封装为本地源IP给原始的客户端，但是客户端并没有给本机IP发送报文，所以会丢弃掉。

dreamice

原帖由 ShadowStar 于 2009-3-12 01:05 发表


因为本地的server回返回SYN_ACK，并封装为本地源IP给原始的客户端，但是客户端并没有给本机IP发送报文，所以会丢弃掉。

如果是真正的拦截，在2.6.28的内核里面，是没有问题的

new_learner

是否可以这样：

1. 
   
2. /*
   
3. *         Main IP Receive routine.
   
4. */
   
5. int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt)
   
6. {
   
7.         .........
   
8. 
   
9.         {
   
10.                 nskb = skb_clone(skb);
    
11.                 修改nskb的dest ip为localhost;
    
12.                 ip_rcv_finish(nskb);
    
13.                
    
14.         }
    
15. 
    
16.         return NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL,
    
17.                        ip_rcv_finish);
    
18. }
    

复制代码

这样nskb就绕过了netfilter，因为你修改了nskb的dest ip，在route时会选择local
deliver，在ip_local_deliver()处kernel会帮助你的nskb做重组：

1. 
   
2. /*
   
3. *         Deliver IP Packets to the higher protocol layers.
   
4. */
   
5. int ip_local_deliver(struct sk_buff *skb)
   
6. {
   
7.         /*
   
8.          *        Reassemble IP fragments.
   
9.          */
   
10. 
    
11.         if (skb->nh.iph->frag_off & htons(IP_MF|IP_OFFSET)) {
    
12.                 skb = ip_defrag(skb, IP_DEFRAG_LOCAL_DELIVER);
    
13.                 if (!skb)
    
14.                         return 0;
    
15.         }
    
16. 
    
17.         return NF_HOOK(PF_INET, NF_IP_LOCAL_IN, skb, skb->dev, NULL,
    
18.                        ip_local_deliver_finish);
    
19. }
    

复制代码

dreamice

这个问题虽然搞定了，但是遇到了新的问题：
多路出来的是TCP包，这样基于TCP的连接，源包到达真正的目的地；被clone的包到达另一个目的地，他们需要建立连接，包括tcp握手，tcp传送的ACK，而新clone的包仍旧需要这些东西，于是有两个返回就成问题了，而这两个返回，内容肯定是不相同的。这样，就只有一个能真正建立连接，另一个连接建立不上，便不再收包了。这个已经衍生到IP上层的问题了，比较麻烦。

new_learner

原帖由 dreamice 于 2009-3-15 15:52 发表
这个问题虽然搞定了，但是遇到了新的问题：
多路出来的是TCP包，这样基于TCP的连接，源包到达真正的目的地；被clone的包到达另一个目的地，他们需要建立连接，包括tcp握手，tcp传送的ACK，而新clone的包仍旧需 ...

能分享一下这个问题是怎么搞定的吗？