求教：关于iptables的问题！

stonestar

我有三台机器，其中C1有两块网卡，分别分配IP192.1681.111，192.168.1.201。将C2分配IP192.168.1.112，C3分配IP192.168.1.200
C2和C3是没有网线直接相连的。如图：
    我将C1设置了存储转发的功能，这样C2就可以经过C1而访问到C3。
   我希望能够用Iptables实现这样的功能：C2发给C3得报文或C3发给C2的报文，C1并不直接转发，而是只接收报文然后将其发送到另外的地方（例如重定向到另外的端口），由我设计的程序处理这些报文，处理合格后在讲这些报文发送出去。
    我觉得效果应该是C2不知道自己的报文被C1截到了，同时C3以为发过来的报文就是C2的，根本没有经过我的检查。
   
    我试了一些iptables的规则，C2和C3还是能够直接连上（我觉得是），请给大虾帮忙！！！！！

platinum

我不知道你这样的拓扑和设置，C2访问C3是走二层还是走三层，如果没做bridge，我想应该还是三层的，不过没这样试验过

你将C1的192.168.1.201改为192.168.2.201
再将C3的192.168.1.200改为192.168.2.200试试呢？

另外最好贴出C1的iptables规则，看看问题出在哪，现在的信息太少了

stonestar

多谢，这是规则：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

platinum

原帖由 "stonestar" 发表：
多谢，这是规则：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

你认为这句话的意思是什么？

stonestar

我觉得是将源端口在1000-3000，目的端口为443得报文重定向到端口10000，这样我可以在写出适当的程序在端口10000察看报文或者是报文中的数据。

platinum

nat表的OUTPUT链我没做过，换成PREROUTING链应该没有问题

stonestar

OK，多谢。我试试，
另外请教，怎么能够在端口10000处监听到转发的报文呢。在10000能够接受到报，才算成功吧？

platinum

你可能需要做旁路监听，这样需要把数据包复制一份，一份正常发送，一份发送到监听端，不过好像需要第三方程序才能实现

如果用DNAT或者REDIRECT，都只是改变了数据包的去向，而不是复制

stonestar

多谢斑竹，请问斑竹有没有利用libnet构造报文方面的源程序。我找了libnet manual中得例程，但头部检验和总是为0。

platinum

[quote]原帖由 "stonestar"]多谢斑竹，请问斑竹有没有利用libnet构造报文方面的源程序。我找了libnet manual中得例程，但头部检验和总是为0。[/quote 发表：

在TCP/IP这方面，我恐怕研究的还没你深咧