免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 808 | 回复: 3

[网络子系统] 关于SUSE11下链接跟踪表的问题 [复制链接]

论坛徽章:
2
IT运维版块每日发帖之星
日期:2016-07-27 06:20:0015-16赛季CBA联赛之福建
日期:2017-03-23 18:32:41
发表于 2016-08-24 14:54 |显示全部楼层
功能描述:
        利用netfilter框架的链接跟踪表的功能,将数据包的目的ip、目的port修改成127.0.0.1:80。
比如 curl 192.168.0.111:10010经过修改之后curl 127.0.0.1:80。
问题:
        在CentOS 6.5下测试没问题,可以实现在访问192.168.0.111:10010的时候,重定向为127.0.0.1:80。
但是在suse11下,出现问题。在转发的时候经过抓包发现,只有三次握手的第一个包syn包转发过去了,然后等待127.0.0.1:80回复的syn+ack包却没有,然后curl一直重复发syn包。
为啥子嘞?
suse的apparmor关闭了 防火墙也没有关。在加载内核转发之前,两个链接是都可以访问的。

论坛徽章:
2
IT运维版块每日发帖之星
日期:2016-07-27 06:20:0015-16赛季CBA联赛之福建
日期:2017-03-23 18:32:41
发表于 2016-08-24 16:25 |显示全部楼层
问题找到了 是在POST_ROUTING 钩子点出,在调用了nf_nat_fn之后,当定义了CONFIG_XFRM 这个宏的时候才需要ip_xfrm_me_harder调用这个函数,否则就会出现上面说的情况。但是奇怪的是centos6.5同样代码 却没有问题,等回头确定下是不是定义了这个宏。

论坛徽章:
13
15-16赛季CBA联赛之八一
日期:2016-07-08 21:00:1415-16赛季CBA联赛之同曦
日期:2017-02-15 14:26:1515-16赛季CBA联赛之佛山
日期:2017-02-20 14:19:2615-16赛季CBA联赛之青岛
日期:2017-05-07 16:49:1115-16赛季CBA联赛之广夏
日期:2017-07-30 09:13:1215-16赛季CBA联赛之广东
日期:2018-07-05 22:34:3615-16赛季CBA联赛之江苏
日期:2018-09-03 12:10:2115-16赛季CBA联赛之上海
日期:2018-09-25 03:49:2215-16赛季CBA联赛之广东
日期:2018-09-25 04:09:12
发表于 2016-08-24 17:16 来自手机 |显示全部楼层
本帖最后由 _nosay 于 2016-08-24 17:18 编辑

我以为是校验和不对呢,我以前自己构造syn报文发出去,目标机器收到不回synack报文,就是校验和算的不对。

论坛徽章:
2
IT运维版块每日发帖之星
日期:2016-07-27 06:20:0015-16赛季CBA联赛之福建
日期:2017-03-23 18:32:41
发表于 2016-08-25 09:22 |显示全部楼层
这个是用链路跟踪表修改的 不用自己去做校验和处理的回复 3# _nosay


您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP