netfilter修改IP以后一直发不出包

tinysniper

下面是hook的代码
麻烦各位帮忙看下，怎么做

static unsigned int hook_func_postrouting(unsigned int hooknum,
        struct sk_buff *skb,
        const struct net_device *in,
        const struct net_device *out,
        int (*okfn)(struct sk_buff *))
{
    struct iphdr *iph;
    struct tcphdr *tcph;
    struct rtable *rt;
    int dest_port;
    int orig_ip;
    int datalen;
    if (!skb) {
        return NF_ACCEPT;
    } else {
        rt = skb_rtable(skb);
        iph = ip_hdr(skb);
        if (!iph) {
            return NF_ACCEPT;
        } else {
            if ( skb_linearize(skb) != 0 ) {
                printk(KERN_INFO "skb not liner\n");
                return NF_ACCEPT;
            }
            if ( iph->protocol == IPPROTO_TCP ) {
                tcph = (struct tcphdr*) (((char*) iph) + iph->ihl * 4);
                if ( !tcph ) {
                    return NF_ACCEPT;
                }
                dest_port = ntohs(tcph->dest);
                // printk(KERN_INFO "[FILTER]: from %pI4:%d to %pI4:%d\n", &iph->saddr, ntohs(tcph->source), &iph->daddr, ntohs(tcph->dest));

                if ( dest_port == 80 ) {
                    orig_ip = iph->daddr;      
                    iph->daddr = in_aton("192.168.2.116");
                    // printk(KERN_INFO "[FILTER]: modify dest ip from %pI4:%d to %pI4:%d\n", &orig_ip, dest_port, &iph->daddr, 80);

                    iph->check = 0;
                    ip_send_check(iph);
                    datalen = skb->len - iph->ihl * 4;

                    tcph->check = 0;
                    tcph->check = tcp_v4_check(datalen, iph->saddr, iph->daddr, csum_partial(tcph, datalen, 0));

                }
                    
            }
            return NF_ACCEPT;
        }
    }
}

黎明748

。。。。怎么都返回NF_ACCEPT。。还是不明白你说什么。。。

tinysniper

我只是拿来做下测试，修改了ip头的目的ip以后，包就发不出去了，感觉是tcp校验和的问题

bfdhczw

我是这么算的，你试试看。

1. static void update_chksum(struct sk_buff *skb, struct iphdr *iph, struct tcphdr *tcp)
   
2. {
   
3.         //ip
   
4.         iph->check = 0;       
   
5.         iph->check = ip_fast_csum(iph,iph->ihl);
   
6. 
   
7.         //tcp
   
8.         tcp->check = 0;
   
9.         tcp->check = csum_tcpudp_magic(iph->saddr, iph->daddr,  
   
10.             ntohs(iph->tot_len)-iph->ihl*4, IPPROTO_TCP,  
    
11.             csum_partial(tcp, ntohs(iph->tot_len)-iph->ihl*4, 0));
    
12. }

复制代码

tinysniper

回复 4# bfdhczw

1. #include <linux/module.h>
   
2. #include <linux/kernel.h>
   
3. #include <linux/init.h>
   
4. #include <linux/inet.h>
   
5. #include <linux/skbuff.h>
   
6. #include <linux/tcp.h>
   
7. #include <linux/netfilter.h>
   
8. #include <linux/netfilter_ipv4.h>
   
9. #include <linux/ip.h>
   
10. #include <linux/udp.h>
    
11. #include <net/tcp.h>
    
12. #include <net/ip.h>
    
13. 
    
14. static struct nf_hook_ops nfho_postrouting;
    
15. 
    
16. 
    
17. static void update_checksum(struct sk_buff *skb, struct iphdr *iph, struct tcphdr *tcp)
    
18. {
    
19.     iph->check = 0;
    
20.     iph->check = ip_fast_csum(iph, iph->ihl);
    
21. 
    
22.     tcp->check = 0;
    
23.     tcp->check = csum_tcpudp_magic(iph->saddr, iph->daddr,
    
24.             ntohs(iph->tot_len) - iph->ihl * 4, IPPROTO_TCP,
    
25.             csum_partial(tcp, ntohs(iph->tot_len) - iph->ihl * 4, 0));
    
26. }
    
27. 
    
28. static unsigned int hook_func_postrouting(unsigned int hooknum,
    
29.         struct sk_buff *skb,
    
30.         const struct net_device *in,
    
31.         const struct net_device *out,
    
32.         int (*okfn)(struct sk_buff *))
    
33. {
    
34.     struct iphdr *iph;
    
35.     struct tcphdr *tcph;
    
36.     struct rtable *rt;
    
37.     int dest_port;
    
38.     int orig_ip;
    
39.     int datalen;
    
40.     if (!skb) {
    
41.         return NF_ACCEPT;
    
42.     } else {
    
43.         rt = skb_rtable(skb);
    
44.         iph = ip_hdr(skb);
    
45.         if (!iph) {
    
46.             return NF_ACCEPT;
    
47.         } else {
    
48.             if ( skb_linearize(skb) != 0 ) {
    
49.                 printk(KERN_INFO "skb not liner\n");
    
50.                 return NF_ACCEPT;
    
51.             }
    
52.             if ( iph->protocol == IPPROTO_TCP ) {
    
53.                 tcph = (struct tcphdr*) (((char*) iph) + iph->ihl * 4);
    
54.                 if ( !tcph ) {
    
55.                     return NF_ACCEPT;
    
56.                 }
    
57.                 dest_port = ntohs(tcph->dest);
    
58. 
    
59.                 if ( dest_port == 80 ) {
    
60.                     orig_ip = iph->daddr;      
    
61.                     // 直接浏览器打开http://192.168.2.1，只要挂上重新算了checksum就失败
    
62.                     iph->daddr = in_aton("192.168.2.1");            
    
63.                     update_checksum(skb, iph, tcph);
    
64.                 }
    
65.                     
    
66.             }
    
67.             return NF_ACCEPT;
    
68.         }
    
69.     }
    
70. }
    
71. 
    
72. static int __init init_main(void)
    
73. {
    
74.     nfho_postrouting.hook  = hook_func_postrouting;
    
75.     nfho_postrouting.hooknum  = NF_INET_POST_ROUTING;
    
76.     nfho_postrouting.pf       = PF_INET;
    
77.     nfho_postrouting.priority = NF_IP_PRI_FIRST;
    
78. 
    
79.     nf_register_hook(&nfho_postrouting);
    
80. 
    
81.     return 0;
    
82. }
    
83. 
    
84. static void __exit cleanup_main(void)
    
85. {
    
86.     nf_unregister_hook(&nfho_postrouting);
    
87. }
    
88. 
    
89. module_init(init_main);
    
90. module_exit(cleanup_main);
    
91. 
    
92. MODULE_LICENSE("GPL");
    

复制代码

依旧有问题

我直接wget http://192.168.2.1，等于是，我压根没有修改ip，只是重新计算了一次checksum
直接就发不出包了
但是，不计算checksum的话，就完全没问题了

另外，我的内核版本有点高，我现在的内核是3.11.0

tinysniper

回复 4# bfdhczw


又抓包确认了下，还是tcp的校验和求错了
ip层的校验和没问题
   

tinysniper

谢谢各位，搞定了
skb->ip_summed忘记处理了

天外来的飞猪

你好，请问你是怎么解决的，ip_summed设置成了什么