论坛徽章:: 36

11楼 [报告]

发表于 2013-03-27 22:47 |只看该作者

回复 8# liziaiya
怎么理解一般不可用呢。你的需求是什么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

瀚海书香

版主

论坛徽章:: 6

12楼 [报告]

发表于 2013-03-28 08:28 |只看该作者

回复 10# liziaiya
iptables版本不一致啊。我用的是1.4.0的，而你的版本是1.4.12的。修改一下里面的宏定义IPTABLES_VERSION，如果还是不行的话尝试着移植一下吧。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liziaiya

白手起家

论坛徽章:: 0

13楼 [报告]

发表于 2013-04-01 16:48 |只看该作者

回复 12# 瀚海书香

我在NF_INET_PRE_ROUTING钩子下写了一个进行端口和IP重定向的函数，最后一步return nf_nat_setup_info(ct,&newrange,IP_NAT_MANIP_DST)，但是我发现我所关心的连接只有第一个包可以通过ct = nf_ct_get(sb, &ctinfo)跟踪信息，连接状态为ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED，但是之后的包ct返回都为null，是因为nf_nat_setup_info调用出错了吗？

我之前看过你的http://bbs.chinaunix.net/thread-1976803-1-1.html，感觉设置和你的几乎一样，不知道是什么原因导致了上诉的结果。恳请帮助。非常感谢！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

瀚海书香

版主

论坛徽章:: 6

14楼 [报告]

发表于 2013-04-07 07:54 |只看该作者

回复 13# liziaiya

我在NF_INET_PRE_ROUTING钩子下写了一个进行端口和IP重定向的函数，最后一步return nf_nat_setup_info(ct,&newrange,IP_NAT_MANIP_DST)，但是我发现我所关心的连接只有第一个包可以通过ct = nf_ct_get(sb, &ctinfo)跟踪信息，连接状态为ctinfo == IP_CT_NEW || ctinfo == IP_CT_RELATED，但是之后的包ct返回都为null，是因为nf_nat_setup_info调用出错了吗？

根据netfilter的流程，对应NAT的操作，只有连接的第一个数据包会被操作，然后建立相应的连接信息；之后该链接的数据包会根据连接信息，自动进行nat的操作。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liziaiya

白手起家

论坛徽章:: 0

15楼 [报告]

发表于 2013-04-07 15:04 |只看该作者

回复 14# 瀚海书香

谢谢你的回复！如果我在主机A上发出一次请求wget B：80，那么在B上可以同时捕捉到好几个这样的包（A->B)，而第一个数据包进行dnat操作之后，置IPS_DST_NAT_DONE_BIT为1，之后的包通过nf_ct_get(sb, &ctinfo)返回的ct均为null，我觉得只是不用更改ct连接信息而已，但是[url=http://127.0.0.1:8080/source/s?defs=IPS_DST_NAT_DONE_BIT&project=net]nf_ct_get(sb, &ctinfo)返回null就觉得奇怪了[/url]
另外，可否麻烦你帮我看一下这个问题，

我测试了一下我自己写的代码，发现若是数据包从A：XX -> B：80 ,在B上实现local redirect是可行的，可以转到B：8081，但若是remote redirect，希望从B:80转到C：8081，则是不可行的；
之前看过你的一篇帖子http://bbs.chinaunix.net/thread-1976797-1-1.html，想向你咨询一下，无论是local还是remote，代码实现会有区别吗？是否只是newrange里的min_ip和max_ip不一样而已？
多谢啦

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

瀚海书香

版主

论坛徽章:: 6

16楼 [报告]

发表于 2013-04-07 16:40 |只看该作者

回复 15# liziaiya

无论是local还是remote，代码实现会有区别吗？是否只是newrange里的min_ip和max_ip不一样而已？

是的，只是nf_nat_range结构的不同。
其实看一下ipt_REDIRECT.c就可以知道，redirct到local与remote没有实质的区别

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liziaiya

白手起家

论坛徽章:: 0

17楼 [报告]

发表于 2013-04-07 21:42 |只看该作者

A->B->C, remote方式还是用不了，无法重定向到C，nf_nat_setup_info倒是正常实现了，ct->tuplehash[IP_CT_DIR_REPLY].tuple也变更为C->A了，不过在B上FORWARD钩子点捕捉不到B转发到C的报文。我的代码就是参照ipt_REDIRECT.c写的，核心是一样的。

不知道哪里还会有错，

！求帮忙！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liziaiya

白手起家

论坛徽章:: 0

18楼 [报告]

发表于 2013-04-16 17:55 |只看该作者

回复 11# Godbach 谢谢你的回复，

。我本来的需求是想实现穿透防火墙的端口封锁，功能和redir/FPIPE差不多，但是想在linux内核下实现。不知道有没有可行的方案？我尝试过一些方法，都没实现local redirect。
现在，我在B上基于netfilter对A->B的报文做了dnat（将目的ip置为C），然后在post routing做了snat（将发往C的报文源IP置为B），具体的也是参照ipt_REDIRECT.c写的。这样，我希望报文经过B的钩子函数时产生这样的变化，如下：
发送：
pre_routing： AB->AC
post_routing :AC->BC
回复
pre_routing:CB->CA
post_routing:CA->BA
不知道这个思路对不对，或者有没有其他更可行的思路？万分感谢！