通过netfilter的钩子函数拦截数据包实现转发的问题?????????????????

LYZC11

1: 如果通过钩子函数注册进netfilter内核模块的话,那这个新加的钩子代码
   要加在linux源码中的哪个目录下,是在net/netfilter中吗？
2: 拦截下来的数据包中如果要将目的IP地址改成要转发的IP地址，是否是在
   PRE_ROUTING的HOOK点拦截?是直接将目的地址修改了就好了吗，要重
   新算校验和吗？
3: 另外这个钩子函数应该要怎么测试呢？有点不明白啊?

麻烦大牛们帮忙解答一下谢谢。。。

iceyes342

我也刚刚接触netfilter，感觉如果是不加过滤的全部修改的话，在pre_routing修改就好了吧，需要重新计算校验和的吧。如果不算的话，就算你送到了目的ip，它也会丢弃吧……不知道对不对，如果有错，求大牛指正……

瀚海书香

回复 1# LYZC11

1: 如果通过钩子函数注册进netfilter内核模块的话,那这个新加的钩子代码
   要加在linux源码中的哪个目录下,是在net/netfilter中吗？

这样看你的代码针对ipv4,还是ipv6,还是ipv4和ipv6都适用。
2: 拦截下来的数据包中如果要将目的IP地址改成要转发的IP地址，是否是在
   PRE_ROUTING的HOOK点拦截?是直接将目的地址修改了就好了吗，要重
   新算校验和吗？

要修改目的地址的话，应该在PRE_ROUTING点。 需要重新计算校验和。
3: 另外这个钩子函数应该要怎么测试呢？有点不明白啊?

加载上钩子函数后，发送到IP1的数据。钩子函数中将目的IP1修改为IP2，在IP2主机上用混杂模式抓包。   

LYZC11

回复 3# 瀚海书香


版主大牛,
1: 如果是ipv4，那这个钩子函数的代码是要放在net/ipv4下编译,是这个意思吗？
2: 只修改IP地址的话,除了需要计算校验和,MAC要重新填写吗?有没有计算校验和的例子呢。
3: 混杂模式抓包可否再稍微解释一下呢？谢谢

瀚海书香

回复 4# LYZC11

1: 如果是ipv4，那这个钩子函数的代码是要放在net/ipv4下编译,是这个意思吗？

不推荐一开始就将代码放到内核中编译，建议以模块的形式。
2: 只修改IP地址的话,除了需要计算校验和,MAC要重新填写吗?有没有计算校验和的例子呢。

MAC地址不需要重新填写，这个是二层的事情，二层自然会处理。
可以参考一下内核中DNAT的实现。另外我blog中有一篇类似的文章http://blog.chinaunix.net/space. ... =blog&id=142455
3: 混杂模式抓包可否再稍微解释一下呢?
   
建议看一下wireshark的使用。

LYZC11

回复 5# 瀚海书香


谢谢大牛的回覆,

    1：那以模块的方式也是要注册进内核吧,那这些代码是需要加在哪里呢？比较迷惑啊

瀚海书香

回复 6# LYZC11
以模块的形式编译。
通过insmod来加载模块。

从你的情况来看，对内核了解不是很多，建议先多了解一下内核模块的概念以及如何编译模块。这些内容在讲内核编程的书中都有，基本就是hello world的形式。

Godbach

回复 1# LYZC11
1. 建议加深内核模块的相关理解，比如参考 LDD3。
2. 建议先看一些关于内核网络相关实现介绍的文章，比如有一篇叫做《深入理解 Linux 网络堆栈》，好像是九贱兄翻译的，很不错的。

LYZC11

回复 7# 瀚海书香


  其实主要是想实现ip地址重定向,但网上具体的实现好像都没有说得很清楚,
大牛是否有相关示例给参考一下，这样学也比较快一些？？？

LYZC11

回复 8# Godbach


    嗯,谢谢Godbach,关于ip定址重定向有没有什么相关推荐的？或可以参加内核源码的哪一部分吗？