端口镜像，跪求高手指导

237663598

    使用netfilter做端口镜像，比如：eth1镜像到eth0，要求将eth1收到的包以及发送的包都镜像到eth0

一：
   在NF_INET_PRE_ROUTING这个hook点挂钩子函数抓包，然后skb_clone一份包nskb，钩子函数中将nskb处理下，再调用dev_queue_xmit将nskb从eth0（修改nskb->dev）发出去。
    经验证，该做法完全OK，wireshark可以从eth0抓到eth1收到的包

二：
   在NF_INET_POST_ROUTING这个hook点挂钩子函数抓包，然后skb_clone一份包nskb，钩子函数中nskb通过ip_finish_output函数继续从eth0（修改nskb->dev）发出去。
   经验证，该做法完全OK，wireshark可以从eth0抓到eth1发送的包
注：ip_finish_output是通过kallsyms_lookup_name调出来用的

问题来了。当我分别使用上述两种做法进行抓包，可以做到：抓取eth1的发送包  或者  抓取eth1的收到包
当我将以上两个钩子函数放在一个ko里，挂两个钩子。我认为可以既抓到发送包，也抓到收包。
可是事实却是：两种包wireshark都抓不到了

当我将ko1（收）insmod，则wireshark能抓到包（收）。rmmod后，再insmod ko2（发），wireshark抓不到包了。要过一段时间（好几分钟）wireshark才能抓到包（发）
反之亦然

这中间不知道哪里出了问题。请大神指点指点

237663598

没人理我
自己顶-->坐等专家解答
实在是想到乳头都爆了还是想不出什么原因

237663598

昨天分析了下IP层和链路层之间的skb包流程。没发现啥有冲突的啊。有大神来瞅瞅不

GFree_Wind

从逻辑上看，没有问题。

需要看你的代码了

237663598

回复 4# GFree_Wind


    unsigned int rcv_func(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_device *out ,int (*okfn)(struct sk_buff *))
    {
        if(is_ports(in))
       {
            nskb=skb_clone(skb,GFP_ATOMIC);
            if(!nskb)
                return NF_ACCEPT;
            mirror = dev_get_by_name(&init_net, dst);
            nskb->dev=mirror;
            dev_put(mirror);
            skb_push(nskb, nskb->mac_len);
            dev_queue_xmit(nskb);
       }
       return NF_ACCEPT;
    }

unsigned int send_func(...)
{
    if(is_ports(skb->dev)
    {
            nskb=skb_clone(skb,GFP_ATOMIC);
            if(!nskb)
                return NF_ACCEPT;
            mirror = dev_get_by_name(&init_net, dst);
            nskb->dev=mirror;
            dev_put(mirror);
            ip_finish_output(nskb);
    }
    return NF_ACCEPT;
}
以上两个函数分别是在NF_INET_PRE_ROUTING和NF_INET_POST_ROUTING两个netfilter的hook点挂的钩子函数
省略数据声明。其中is_ports判断是否是要监听的端口，如判断skb->dev是否是eth1。dst是要镜像到的端口名称，如"eth0"

237663598

netif_receive_skb是驱动层将skb传送到内核的第一站。能不能直接在netif_receive_skb中，把端口eth1收到的数据包直接从eth0往外发送呢？？？

crspo

回复 6# 237663598


    可以通过ingress qdisc而不同过netfilter

1. # tc qdisc add dev eth1 ingress
  2. # tc filter add dev eth1 parent ffff: \
          protocol ip u32 match u8 0 0 \
          action mirred egress mirror dev eth0
  3. # tc qdisc replace dev eth1 parent root prio
  4. # tc filter add dev eth1 parent 8002: \
          protocol ip u32 match u8 0 0 \
          action mirred egress mirror dev eth0