[歡迎進(jìn)入討論] 關(guān)于syn-proxy的一些問題

dreamice

雙方數(shù)據(jù)傳輸?shù)模╟lient）ACK和SYN（server）的正確轉(zhuǎn)換

＝＝》你這個(gè)誤解了透明代理的意思。tcp連接的過程中，完全是proxy來處理的，不涉及到server；只有真正的數(shù)據(jù)包，才會(huì)轉(zhuǎn)過去；同理，proxy和server要通信，那就是他們而這的tcp連接過程，不涉及到client。
如果握手都要轉(zhuǎn)那么遙遠(yuǎn)的話，就太復(fù)雜了，實(shí)際上也沒有必要。

Godbach

你的意思數(shù)據(jù)部分的傳輸時(shí)，proxy截獲server發(fā)過來的數(shù)據(jù)，然后組裝自己的報(bào)文，再發(fā)給client？

dreamice

原帖由 Godbach 于 2009-3-13 16:23 發(fā)表
你的意思數(shù)據(jù)部分的傳輸時(shí)，proxy截獲server發(fā)過來的數(shù)據(jù)，然后組裝自己的報(bào)文，再發(fā)給client？

是的，server過來的數(shù)據(jù)，也會(huì)被截獲，然后發(fā)給client。

由攔截的含義可知，至于tcp建立，那完全不涉及到server與client的直接進(jìn)行。

Godbach

看來是我想的復(fù)雜了。
我以為Firewall只是把client的報(bào)文做一下ACK的修改，然后轉(zhuǎn)發(fā)這個(gè)報(bào)文就可以了。
相反，對于server過來的報(bào)文，也做一下SEQ的修改，接著轉(zhuǎn)發(fā)就OK了。

dreamice

原帖由 Godbach 于 2009-3-13 16:31 發(fā)表
看來是我想的復(fù)雜了。
我以為Firewall只是把client的報(bào)文做一下ACK的修改，然后轉(zhuǎn)發(fā)這個(gè)報(bào)文就可以了。
相反，對于server過來的報(bào)文，也做一下SEQ的修改，接著轉(zhuǎn)發(fā)就OK了。

你這樣做的話，如果client太多，沒辦法控制的，會(huì)造成proxy維護(hù)一個(gè)龐大的表，性能一下就拖下來了。。。

Godbach

原帖由 dreamice 于 2009-3-13 16:36 發(fā)表


你這樣做的話，如果client太多，沒辦法控制的，會(huì)造成proxy維護(hù)一個(gè)龐大的表，性能一下就拖下來了。。。

呵呵，是啊。我就覺得按照我的想法，內(nèi)核是需要維護(hù)一個(gè)比較大的表的。

那你現(xiàn)在說的這種透明方式在那個(gè)版本的內(nèi)核支持啊。

它對SYN包也是要進(jìn)行Cookie驗(yàn)證的吧。

richardhesidu

原帖由 dreamice 于 2009-3-13 16:11 發(fā)表


是的，2.6.28版內(nèi)核支持這個(gè)東東，我做國squid的完全透明代理。
其實(shí)內(nèi)核實(shí)現(xiàn)了握手這一系列機(jī)制，無非就是我上面說的增加了對非本地IP的目的和源包的處理，以及握手機(jī)制。

God兄考慮得太復(fù)雜了，你首先 ...

dreamice 兄說一下具體實(shí)現(xiàn)的代碼內(nèi)核那一部分吧。

Godbach

原帖由 richardhesidu 于 2009-3-13 16:40 發(fā)表

dreamice 兄說一下具體實(shí)現(xiàn)的代碼內(nèi)核那一部分吧。

恩�？磥韺�syn-proxy的理解已經(jīng)遠(yuǎn)遠(yuǎn)落后了啊。

dreamice

原帖由 richardhesidu 于 2009-3-13 16:40 發(fā)表

dreamice 兄說一下具體實(shí)現(xiàn)的代碼內(nèi)核那一部分吧。

2.6.28版本的代碼里面已經(jīng)實(shí)現(xiàn)了，具體部分主要涉及到tcp握手機(jī)制的部分、還有一個(gè)setsockopt的選項(xiàng)以及路由部分。
其實(shí)這種機(jī)制在2.2版本的內(nèi)核已經(jīng)實(shí)現(xiàn)了，只是當(dāng)時(shí)可能考慮到安全的問題，在2.4版內(nèi)核又去掉了。
常規(guī)的路由策略，對與源IP不是本地的包，是沒辦法路由出去的，包在協(xié)議棧會(huì)被drop掉，所以內(nèi)核修改了這一部分的源碼實(shí)現(xiàn)；
另外setsockopt部分的設(shè)定，可以允許一個(gè)socket監(jiān)聽目的地址不是本地的包。
大致就是這樣一些支持，當(dāng)然了，要讓一個(gè)包被攔截到本地，還需要策略路由的支持。

說起來還是蠻復(fù)雜的，涉及到的知識(shí)點(diǎn)也就是上面這些，具體就參考代碼吧。

Godbach

看來dreamice兄已經(jīng)研究的比較熟了啊