请问一下关于netfilter的问题？

g_programming

我现在有两台PC进行tcp通信，中间由于某些设备的原因将client的源IP地址和源端口号进行了转换，但是server上的某些应用需要知道真实的clientIP地址；现在的想法就是在server端增加一个模块，client会在发送数据的时候将自己的真实IP地址放在tcp的数据段，在内核收到client的包的时候将真实IP地址取出来，然后进行源IP地址的转换，然后再将tcp包发给上层，现在我所知道的netfilter里面的snat是对出去的包做源地址转换，但是我需要的是对进来的包做源地址转换，请问一下这个怎么实现？有啥思路？

瀚海书香

回复 1# g_programming

现在我所知道的netfilter里面的snat是对出去的包做源地址转换，但是我需要的是对进来的包做源地址转换

这个与你的问题关系不是很大。
方法1：
         应用层在构造数据包的时候，把自己的IP地址封装进去。
方法2：
        netfilter写一个module，在PREROUTING之前，把源地址放到数据包内容中，然后重新走netfilter。

   

g_programming

回复 2# 瀚海书香


    client会在进行三次连接的时候的最后一个ACK将自己的真实IP地址放在tcp的数据段，在server内核收到client的包的时候将真实IP地址取出来，然后进行源IP地址的转换，然后再将tcp包发给上层
（1）因为上面的原因，所以不能用应用层去改
（2）netfilter写一个module，在PREROUTING之前，把源地址放到数据包内容中，然后重新走netfilter
如果在PREROUTING之前修改的话，那么只能自己去维持一张nat的转换表了，而且由于TCP是面向连接的，还必须判断多久TCP连接断了，然后删除nat的内容？？

谢谢

瀚海书香

回复 3# g_programming
呵呵，两个你都理解错了。
我说的两种方法都是把IP地址放到数据包的data部分，也就是tcp头的后面，不是修改协议栈部分。

   

g_programming

回复 4# 瀚海书香


    方法1：
         应用层在构造数据包的时候，把自己的IP地址封装进去。
         我知道你的意思是在自己的IP地址封装到tcp的数据段，但是这样的话应用程序就需要特别处理这个报文，因为数据段多了一个真实的IP地址，我这边的需求是不让应用程序特别是处理，直接连接返回的就是真实的IP地址了，但是你的这个方法应该需要特殊处理吧？？
方法2：
        netfilter写一个module，在PREROUTING之前，把源地址放到数据包内容中，然后重新走netfilter。
        这个你说的直接IP地址放到数据包的data部分，也就是tcp头的后面，这个我没太能够理解，跟netfilter有啥关系？？

再一个就是我跟你先前的方法：http://bbs.chinaunix.net/forum.p ... st%3D1%26digest%3D1

我自己以最低的优先级去注册一个hook，然后去调用ip_nat_setup_info去修改源地址，这里我假设我已经知道源地址了，但是总是执行到ip_nat_setup_info的时候就死机了，这里需要先启动iptable -t nat -L一下，初始化nat相关的东西。

1. static unsigned int
   
2. ttm_in(unsigned int hooknum, struct sk_buff **skb,
   
3.          const struct net_device *in, const struct net_device *out,
   
4.          int (*okfn)(struct sk_buff *))
   
5. {
   
6.         struct ip_conntrack *ct;
   
7.         enum ip_conntrack_info ctinfo;
   
8.         struct ip_nat_range newrange;
   
9.         const struct iphdr *iph = (*skb)->nh.iph;
   
10.         __be32 newsrc = 0;
    
11.         if(iph->protocol != IPPROTO_ICMP){
    
12.                 return NF_ACCEPT;
    
13.         }
    
14.         IP_NF_ASSERT(hooknum == NF_IP_LOCAL_IN);
    
15. 
    
16.         /*取得数据包的连接*/
    
17.         ct = ip_conntrack_get(*skb, &ctinfo);
    
18. 
    
19.         if (ct == NULL)
    
20.                 return NF_ACCEPT;
    
21.         /* Connection must be valid and new. */
    
22.         IP_NF_ASSERT(ct && (ctinfo == IP_CT_NEW || ctinfo == IP_CT_ESTABLISHED
    
23.                             || ctinfo == IP_CT_ESTABLISHED + IP_CT_IS_REPLY));
    
24.        // if (ctinfo != IP_CT_ESTABLISHED)
    
25.         //    return NF_ACCEPT;
    
26. 
    
27.         memset(&newrange, 0, sizeof(newrange));
    
28.         newrange.flags |= IP_NAT_RANGE_MAP_IPS;
    
29.         newrange.min_ip = newrange.max_ip = newsrc;
    
30.         UINPTTM_INFO("test\n");
    
31.         return ip_nat_setup_info(ct, &newrange, hooknum);
    
32. }

复制代码

非常感谢