UDP被iptables的DNAT转换目的地址后，有没有办法获取原始目的地址？

w_anthony

TCP类型的可以用getsockopt(sock, SOL_IP, SO_ORIGINAL_DST, ...)获取原始目的地址，但是UDP却不行。
我找了一些资料，看似最有用的应该是http://stackoverflow.com/questio ... irected-udp-message，我按照他说的方法做好以后测试了一下，发现获取的仍然是重定向以后的IP地址，而不是重定向之前的地址。不过那个帖子我有点看得不是很懂，他的意思是否是说，不要直接用iptables重定向，而是通过TProxy重定向，这样才能通过他说的方法得到原始目标地址呢？
请问，我遇到的这个问题，有解决方法吗？

Dannysd

1. Depends on the redirection mechanism. If you are using REDIRECT (which is NAT under the hood), then you need to use SO_ORIGINAL_DST, or libnetfilter_conntrack to query the original destination of the connection before NAT was applied. However since you can serve several connections with the same listener socket, this lookup has to be done for every packet.

复制代码

你自己发的链接上不是写得很清楚么？

w_anthony

回复 2# Dannysd


    不太了解它说的什么意思,似乎它说与重定向的机制有关。我现在的疑问是用iptables重定向这个机制，有没有办法做到呢？SO_ORIGINAL_DST只能获取TCP的原始目标地址。

w_anthony

找了很多资料，还是没有找到可以获得重定向前的目的地址的方法。
最终还是只能上socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP))，通过raw socket自己分析得到IP包头的目的地址。不过raw socket的原理是要复制一份数据出来的，效率肯定没有直接udp socket的高。

nswcfd

SO_ORIGINAL_DST在内核里被限定到TCP/SCTP，其实是可以支持UDP的。
背后是conntrack+nat，conntrack的5tuple里面有转换前的信息。
想支持UDP的话，放开内核的限制就可以了。

不想改内核的话，就像so里建议的那样，改用tproxy实现重定向（而不是使用REDIRECT）。
高版本的tproxy应该已经集成到内核里了，不过tproxy的使用很绕，好在网上也很多例子。