在链路层修改包并送回协议栈

Godbach

对，LZ 可以试试 LS 的 etable

morfast

试了下NF hook, 按照这篇文章http://bbs.chinaunix.net/thread-2177913-1-1.html写的

但在hook function里多写几句，比如调用skb_copy一下什么的，insmod后就kernel panic死机了。如果只是返回一个NF_ACCEPT或是NF_DROP，就没问题

看不出代码里有什么问题，还是有其它原因？

代码如下：

1. #include <linux/init.h>
   
2. #include <linux/module.h>
   
3. #include <linux/netfilter_ipv4.h>
   
4. #include <linux/if_ether.h>
   
5. #include <linux/ip.h>
   
6. 
   
7. MODULE_LICENSE("Dual BSD/GPL");
   
8. 
   
9. /* This is the structure we shall use to register our function */
   
10. 
    
11. static struct nf_hook_ops nfho;
    
12. 
    
13. /* This is the hook function itself */
    
14. 
    
15. static unsigned int hook_func(unsigned int hooknum,
    
16. struct sk_buff **skb,
    
17. const struct net_device *in,
    
18. const struct net_device *out,
    
19. int (*okfn)(struct sk_buff *))
    
20. {
    
21.     //如果没有下面这两行，则不会发生kernel panic
    
22.     struct sk_buff *sb;
    
23.     sb = skb_copy(*skb, GFP_ATOMIC);
    
24. 
    
25.     return NF_DROP;
    
26. }
    
27. 
    
28. /* Initialisation routine */
    
29. static int init_dropall(void)
    
30. {
    
31.     /* Fill in our hook structure */
    
32.     nfho.hook = (nf_hookfn *)hook_func;
    
33.     nfho.hooknum  = NF_INET_PRE_ROUTING;
    
34.     nfho.pf       = PF_INET;
    
35.     nfho.priority = NF_IP_PRI_FIRST;
    
36.     nf_register_hook(&nfho);
    
37.     return 0;
    
38. }
    
39. 
    
40. /* Cleanup routine */
    
41. static void exit_dropall(void)
    
42. {
    
43.     nf_unregister_hook(&nfho);
    
44. }
    
45. 
    
46. module_init(init_dropall);
    
47. module_exit(exit_dropall);
    

复制代码

morfast

etable我看了下，好像不能修改MAC的协议字段啊

Godbach

你不就修改 MAC 吗，直接改好了，为什么用 skb_copy

morfast

回复 14# Godbach


    对，但是，现在的问题是，在hook函数里只要多写几行，不管是调skb_copy还是直接改skb的某个成员，还是别的什么操作，insmod时就kernel panic了。我自己找不出问题在哪。用的内核是官方2.6.38。

Godbach

static unsigned int hook_func(unsigned int hooknum,
struct sk_buff **skb,
const struct net_device *in,
const struct net_device *out,
int (*okfn)(struct sk_buff *))

看一下红色哪一行。这个就是开发 NF 代码很容易犯的错误。

morfast

回复 16# Godbach


    不太明白，第一次接触NF程序，网上找到的一些代码也是这样写的。版主可否说得再具体一些？ 谢谢！

morfast

回复 16# Godbach


    好像明白了，看了一下netfilter.h里的定义，应该是一级指针而不是二级，是吗？

Godbach

对头。

很多初学 NF 的朋友容易出现的一个问题，拿着网上找到的 NF 示例代码，在一个新的内核上运行，就读了一个内存或者稍微修改一个小东东，系统就 panic 了。

其中一个可能的原因就是 NF Hook 的接口发生变化了.

morfast

回复 19# Godbach


    嗯，试了下，这回行了。谢谢！

    再问个问题，在hook里修改过的包在wireshark里好像看不到啊。wireshark是在数据包处理的那个点上截取包的？