免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 桥模式下匹配数据包?
最近访问板块 发新帖
查看: 2577 | 回复: 6
打印 上一主题 下一主题

[内核入门] 桥模式下匹配数据包? [复制链接]

zhanglin496

论坛徽章:
5
处女座 日期:2014-10-15 11:57:302015年亚洲杯之中国 日期:2015-03-04 17:05:552015亚冠之西悉尼流浪者 日期:2015-07-31 12:14:2915-16赛季CBA联赛之同曦 日期:2015-12-10 18:14:0615-16赛季CBA联赛之北京 日期:2016-07-07 17:01:53
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-08-16 17:47 |只看该作者 |倒序浏览
无线wlan和lan口桥接,如何通过iptables匹配wlan的数据包,我目前在2.6.21上测试是无法匹配到的(不知道是否是因为桥接后,netfilter无法匹配到桥下面接口的数据包,phydev也不行)。有大神知道原因和其他方法不。
smalloc

论坛徽章:
7
丑牛 日期:2013-10-18 14:43:21技术图书徽章 日期:2013-11-03 09:58:03辰龙 日期:2014-01-15 22:57:50午马 日期:2014-09-15 07:04:39丑牛 日期:2014-10-16 14:25:222015年亚洲杯之伊朗 日期:2015-03-16 10:24:352015亚冠之城南 日期:2015-05-31 09:52:32
2 [报告]
发表于 2013-08-18 09:12 |只看该作者
bridge不走iptables
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
smalloc

论坛徽章:
7
丑牛 日期:2013-10-18 14:43:21技术图书徽章 日期:2013-11-03 09:58:03辰龙 日期:2014-01-15 22:57:50午马 日期:2014-09-15 07:04:39丑牛 日期:2014-10-16 14:25:222015年亚洲杯之伊朗 日期:2015-03-16 10:24:352015亚冠之城南 日期:2015-05-31 09:52:32
3 [报告]
发表于 2013-08-18 09:23 |只看该作者
br_handle_frame调用NF_BR_PRE_ROUTING钩子
br_nf_pre_routing中如果 brnf_call_iptables开启,再调用NF_IP_PRE_ROUTING钩子,这时你的NF_IP_PRE_ROUTING挂的钩子可以被执行
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zhanglin496

论坛徽章:
5
处女座 日期:2014-10-15 11:57:302015年亚洲杯之中国 日期:2015-03-04 17:05:552015亚冠之西悉尼流浪者 日期:2015-07-31 12:14:2915-16赛季CBA联赛之同曦 日期:2015-12-10 18:14:0615-16赛季CBA联赛之北京 日期:2016-07-07 17:01:53
4 [报告]
发表于 2013-08-18 11:13 |只看该作者
谢谢。本来是想用iptables通过接口区分无线和有线数据包(双向),看样子不好弄。回复 3# smalloc


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
瀚海书香

论坛徽章:
6
金牛座 日期:2013-10-08 10:19:10技术图书徽章 日期:2013-10-14 16:24:09CU十二周年纪念徽章 日期:2013-10-24 15:41:34狮子座 日期:2013-11-24 19:26:19未羊 日期:2014-01-23 15:50:002015年亚洲杯之阿联酋 日期:2015-05-09 14:36:15
5 [报告]
发表于 2013-08-19 14:20 |只看该作者
回复 1# zhanglin496
无线wlan和lan口桥接,如何通过iptables匹配wlan的数据包,我目前在2.6.21上测试是无法匹配到的(不知道是否是因为桥接后,netfilter无法匹配到桥下面接口的数据包,phydev也不行)。有大神知道原因和其他方法不。




physdev modules早就支持bridge的接口了,是你的内核版本太古董了。。。

有两种方案:
1.升级内核
2.自己backport physdev
   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zhanglin496

论坛徽章:
5
处女座 日期:2014-10-15 11:57:302015年亚洲杯之中国 日期:2015-03-04 17:05:552015亚冠之西悉尼流浪者 日期:2015-07-31 12:14:2915-16赛季CBA联赛之同曦 日期:2015-12-10 18:14:0615-16赛季CBA联赛之北京 日期:2016-07-07 17:01:53
6 [报告]
发表于 2013-08-19 18:08 |只看该作者
忘了使能/proc/sys/net/bridge/bridge-nf-call-iptables了,这下能匹配了。目前是有一个网桥br0
,下面桥接了端口eth0和wlan0,本意是想在FORWARD 链上匹配无线接口数据包,我在filter表加如下规则,
iptables -A FORWARD -m physdev --physdev-in wlan0 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-out wlan0 -j ACCEPT

不过--physdev-out 使用时有如下提示:
using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore.
应该是非桥接的不能使用了。这样出去的无线数据包好像不能在FORWARD链上匹配到了。
回复 5# 瀚海书香


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
weishigoname

论坛徽章:
0
7 [报告]
发表于 2013-08-20 16:09 |只看该作者
iptables 本身就是三层的钩子适配,bridge是二层的,用ebtable吧,ebtable是适配二层的钩子的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP