nfq_set_verdict无法修改包的问题

yzp3646

是这样的， 在linux上，我用iptables配置了netfilter:    iptables -A OUTPUT - j QUEUE

然后仿照nfqnl_test.c中的代码稍微改了一下：

static int print_pkt (struct nfq_data *tb)
{
        int id = 0;
        struct nfqnl_msg_packet_hdr *ph;
        int ret;
        unsigned char *data;

        ph = nfq_get_msg_packet_hdr(tb);
        id = ntohl(ph->packet_id);

        ret = nfq_get_payload(tb, &data);

        //在这里，我把data中的数据随意改了一下
      //省略不写

      //我保证执行到这里了
        return nfq_set_verdict(qh, id, NF_ACCEPT, ret, data); //改了没效果
}

static int cb(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg,
              struct nfq_data *nfa, void *data)
{
        return print_pkt(nfa);        
}

问题是：无论我怎么改包里面的内容，最后发送出去的数据还是原来的，请高手帮忙指点下，万分感谢

yzp3646

哥哥们啊，来一个帮帮我吧

瀚海书香

回复 1# yzp3646

God兄的一篇关于ipqueue的文章，应该会有帮助
    http://blog.chinaunix.net/space. ... og&cuid=1678213

Godbach

NF_QUEUE 是把数据包搞到用户空间，你可以在用户空间修改。
你的修改是在用户空间吗

yzp3646

回复 4# Godbach


    恩，我是在用户空间改的，很奇怪，现在没有那个问题了，可能是和我装的libnetfilter_queue的版本有关，对方能收到我修改的内容了，但是它总是让重传

我用wireshark抓包看到的，错误是 [TCP Retransmission]  [TCP segment of a reassembled PDU] 一直出现

我修改TCP报文中的内容，只是随便修改了TCP头部后面一个字节，没有改变长度，所以就没有修改TCP和IP的校验值，接收方不接受包，估计是收到一看有问题就扔掉了，不知道为什么

Godbach

回复 5# yzp3646

只是随便修改了TCP头部后面一个字节，没有改变长度，所以就没有修改TCP和IP的校验值

你修改了 TCP 的内容，TCP 的校验和为什么不该呢？

你知道 TCP 校验和包含哪些内容吗？

yzp3646

自己搞错了，是应该重新计算校验，thanks Godbach

hardie

struct iphdr *iph;
struct tcphdr *tcp;
ret = nfq_get_payload(tb, &data);

if (ret >= 0)
        printf("payload_len=%d ", payload_len);
iph = (struct iphdr *)data;
tcp = (struct tcphdr *)(data + (iph->ihl<<2));

addr = iph->saddr; iph->saddr = iph->daddr; iph->daddr = addr;
port = tcp->source; tcp->source = tcp->dest; tcp->dest = port;

payload_offset = ((iph->ihl)<<2) + (tcp->doff<<2);

match = (char *)(data + payload_offset);   
printf("####payload = %s\n\n", match);

return nfq_set_verdict(qh, id, NF_ACCEPT, payload_len, data);


请教可不可以这样修改端口和ip地址？

Godbach

回复 8# hardie
你这只是想对调源和 目的的 IP+Port 吧

hardie

回复 9# Godbach


    就是urlfilter (BLOCK WEBSITE)的功能，原先是直接 return nfq_set_verdict(qh, id, NF_DROP, 0, NULL);，
    用户浏览器一直等待，使用者不知道这个网页是上不去还是被我们阻挡了。
    现在需要 redirect 到一个页面 告知使用者此网页被阻挡，不知道这个能不能在这里实现。