netfilter模块修改forward报文

fengfengdiandia

我有两台机器 A 和 B，B 无法直接上网，需要通过 A 来上网，A 上有两块网卡 eht0 和 eth1。
eth0 的 IP 为 10.0.2.15，eth1 的 IP 为 192.168.56.101，B 的网关是 A 的 eth1 网卡的 IP。
在 A 上设置好 iptables 策略后，B 可以访问外网。

现在我希望在 A 上截获 B 机器的报文并修改内容，我的做法简略如下：
1.在三次握手后，B 在浏览器中访问网址成功时，查找某个特定标签准备进行修改 （例如查找 html 中的 title 标签）。
2.利用 skb_tailroom 函数获取 tailroom 大小
3.如果要插入的内容长度小于 tailroom，调用 skb_put 函数扩大 skb。
4.在标签 title 处插入内容，并修改 Content-Length 长度。
5.重新计算 IP 和 TCP 的校验和。


问题描述：
B 能收到 A 修改后的报文，不过接着好像丢弃了，之后 A 不停的重发修改的那个报文。
我怀疑是校验和什么地方计算有问题（会不会修改 NF_INET_FORWARD 与 修改 NF_INET_LOCAL_IN 和 NF_INET_LOCAL_OUT 的校验和算法有什么区别呢？）。


P.S.
1. 在机器 A 上修改 A 的报文是没有问题的，其中包括有 seq 和 ack number 的重新计算。
2. 在机器 A 上修改 B 的请求头是没有问题的。
3. 在机器 A 上修改 B 的响应头和响应体时出现 [问题描述] 中提到的问题。


请教 CU 的诸位大神小伙伴们，大家有遇到过修改 NF_INET_FORWARD 这个 hook 点的问题么？如果有的话，又是怎样解决这个问题的？

zhangkaiyang

你用wireshake在A的eth1网卡上抓包看看效验和有没有错误~

Godbach

回复 1# fengfengdiandia

你这个需求是修改 repsonse 吗。

完整的 response 都是在一个报文里面吗？


   

fengfengdiandia

回复 2# zhangkaiyang
感谢回复！

由于修改了报文，校验和算出后和之前并不一样，我把 wireshark 的判断校验和的复选框中的对勾去掉了，之所以去掉是因为在我正常访问网站时抓包也提示校验和错误。

   

fengfengdiandia

回复 3# Godbach
感谢版主回复！

是的，响应头和响应体在一个报文中。

修改请求头没有问题。

请问版主，这种情况可能是什么引起的？

   

nswcfd

内容的变化有没有把content-length的长度变化考虑进去，比如原来长度是两位数（50），修改之后变成了三位数（150）？
这样，整体应该增加150-50+3-2=151字节。

fengfengdiandia

回复 6# nswcfd
感谢回复！

代码中有此种情况的处理，且测试工作正常。

   

Godbach

回复 5# fengfengdiandia


B 上能抓到 A 修改后的报文吗？


   

Godbach

回复 5# fengfengdiandia

其实这里还有一个问题（也许和你现在的问题关系不大）
就是你修改了 response 的长度，那么后续的 ACK 以及 FIN 的 ack_seq 应该就和原先 server 端记录的不一样了，这个需要一个转换，否则 TCP 关闭是会有一些错误。


   

fengfengdiandia

回复 9# Godbach
嗯，长度改变后，代码中有重新计算 seq 和 ack 处理~

P.S.
修改 local_in 和 prerouting 就没有问题，无论是改变报文内容长度还是别的什么，都OK。（代码内部有 seq 和 ack 的重计算处理部分，以及 Content-Length 的计算，包括6楼 nswcfd 所说的 Content-Length 存在进位的情况）

只是在修改 forward 有这个奇怪的问题。