
平台论坛博客文库

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-08-06 16:09 |只看该作者 |倒序浏览

防火墙部署在trunk链路上，没有用vconfig添加虚拟网卡，要实现从pc 7.7.2.5 能ping通防火墙 8.8.2.5。
我现在的做法是直接再 NF_BR_PRE_ROUTING 上去除vlan tag 再 NF_BR_POST_ROUTING上添加vlan tag
添加了之后，好像包没有发出去，请问是什么问题？

文库|博客

Tinnal

版主

论坛徽章:: 9

2楼 [报告]

发表于 2014-08-06 23:54 |只看该作者

自己去kprobe（jprobe, kretprobe)打点，看看走到那不就行了吗。
我不知道你NF_BR_PRE_ROUTING的这个点是否有收到数据包。如果你没有插入8021q模块，应该直接在netif_receive_skb就把你的包丢了，都还不到NF_BR_PRE_ROUTING。

我对Linux网络并不是很熟，也不明白最进为什么这么多非标的Vlan用法。不过我觉得，你要做Linux的非标应用，自己应该把标准的内核流程先弄清楚。发这类开放性的问题出来别人除非也正好弄过这种场景，不然没法答你。我不太可能去研究一遍Vlan和网桥相关的代码去为了回你这个贴。

你可以问一个白金兄吧。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 程序设计 › 内核源码 › 用网桥做透明防火墙，把防火墙部署在trunk链路上，如何 ...

[内核模块] 用网桥做透明防火墙，把防火墙部署在trunk链路上，如何再hook里添加和删除vlan tag [复制链接]