netfilter自己改写的l7-filter一执行就死机

loler_zuan

我需要基于应用层协议进行路由并NAT的功能。

我根据l7-filter识别出协议进行SNAT。但是由于SNAT是面向连接的，它识别一个连接的第一个数据包，如果不符合要求，这个连接就不在进行检测。
但是l7-filter并无法根据第一个报文就识别出应用层的协议。比如HTTP，第一个数据包跟协议无关，是建立TCP连接的。
所以我在l7-filter中，对没有识别的应用层协议的每个报文都进行了检测，一旦检测出协议，就对所属协议进行SNAT。
我的这个l7-filter需要在mangle表中执行，这意味着要在mangle模块中使用一些nat模块的数据。这样是不是不合理？
每次一执行到nat的时候，就死机，而且无法写入到/var/log中，导致我无法判断错误。

如果上面的功能实现了，那么基于TCP的应用层协议还是无法使用，因为IP地址变了，服务端会返回RST。

那这种基于应用层协议进行路由并NAT的功能该如何设计啊？