论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-05-13 10:14 |只看该作者 |倒序浏览

本帖最后由泽畔无材于 2014-05-13 15:58 编辑

在玩netfilter时遇到的一个问题，我本机是一个网关，我的hook点在NF_INET_POST_ROUTING，而dnat是在NF_IP_PRE_ROUTING就处理了的。
在我的hook里检查发往内网的包，发现dst ip的确已经被改正了，但是mac仍然是网关的mac，想问下数据包的mac是何时被改正为内网机子的mac呢？在这个hook里能否获取到真正的目标的mac？

文库|博客

potato916305

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2014-05-13 13:06 |只看该作者

mac_header = skb->mac_header.........

就会这点..

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

泽畔无材

白手起家

论坛徽章:: 1

3楼 [报告]

发表于 2014-05-13 13:53 |只看该作者

回复 2# potato916305
直接这么看已经在帖中说过了，看到的是网关的mac，并不是最后真正的目标PC的mac。
在NF_INET_POST_ROUTING处貌似还没有将正确的mac拷到skb里。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

szlzzyli

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2014-05-13 15:15 |只看该作者

在网关做路由转发的时候才会由网关加入你要的目的MAC地址吧···

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

泽畔无材

白手起家

论坛徽章:: 1

5楼 [报告]

发表于 2014-05-13 15:57 |只看该作者

回复 4# szlzzyli
对的，我的机子就是网关，可能帖子里没说清楚。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

泽畔无材

白手起家

论坛徽章:: 1

6楼 [报告]

发表于 2014-05-20 17:16 |只看该作者

今天抽空查了下，使用neigh_lookup查找arp表就可以获取到ip对应的mac了~

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

guanglongxishui

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2014-05-20 22:57 |只看该作者

DNAT后，在NF_INET_POST_ROUTING这个hook点上是不能得到内网的MAC地址的。

int ip_output(struct sk_buff *skb)
{
return NF_HOOK_COND(PF_INET, NF_INET_POST_ROUTING, skb, NULL, dev,
ip_finish_output,
!(IPCB(skb)->flags & IPSKB_REROUTED));
}

报文目的mac在被换成内网mac是在ip_finish_output函数完成的，该函数是在你hook函数被执行后执行的。

根据路由后得到的下一跳ip地址，从arp表里查到相应的MAC地址，替换skb的目的MAC发送出去。