netfilter修改TCP數(shù)據(jù)包遇到的問題，請各位不吝賜教！

nswcfd

netfilter看到的skb，是tcp xmit buffer中skb的clone，所以修改skb->len僅僅影響這個臨時的skb。
重傳的時候，新的skb從xmit buffer的head產(chǎn)生新的clone，所以長度仍然是原來的內(nèi)容。

但是，由于skb clone只是復(fù)制skb本身，data部分在clone之間共享，
所以對data的修改，在重傳的時候是可見的。

有夢想的閑魚

在應(yīng)用層的時候給數(shù)據(jù)包留出足夠的空間來插入數(shù)據(jù)，然后根據(jù)有效數(shù)據(jù)長度在數(shù)據(jù)末尾添加數(shù)據(jù)，這樣才能保證成功的插入數(shù)據(jù)。 skb_put()移動的tail指針，skb->len長度變了，但是iph->len長度沒變。樓上的大神解釋了原因。

justuit

借樓同問，小弟也有一個類似的需求，A，B兩臺虛擬機在同一網(wǎng)段，A機器上掛載模塊給數(shù)據(jù)包添加額外數(shù)據(jù)然后發(fā)送，B機器上掛在模塊額外數(shù)據(jù)去掉，還原原來數(shù)據(jù)，并返回ack，AB一直這樣通信。但是在實現(xiàn)的時候出現(xiàn)了問題。我是使用內(nèi)核模塊將數(shù)據(jù)包queue到用戶空間，然后在用戶空間編程修改數(shù)據(jù)包，A掛載點是LOCAL_OUT，B是LOCAL_IN，A修改數(shù)據(jù)包成功，也發(fā)送出去了，但是B對應(yīng)的應(yīng)用程序收不到。奇怪的是B機器的LOCAL_IN點是收到這個數(shù)據(jù)了，也確實還原了，但是應(yīng)用程序收不到。

ps:我是用的nc建立的client server，求指教。
我估計是要修改seq和ack的，但是現(xiàn)在的問題是B的LOCAL_IN點收到了數(shù)據(jù)，但是應(yīng)用程序（nc）收不到。。

是chi不是ci

回復(fù) 13# justuit

請問你做好了嗎？我也要做一個這種類似的怎么在ip頭和tcp頭添加額外的頭部啊

justuit

回復(fù) 14# 是chi不是ci

沒有，還在查資料

justuit

大哥們我又來問問題了。。

還是和之前的一樣，內(nèi)核模塊返回NF_QUEUE，將數(shù)據(jù)包拷貝到用戶空間。在用戶空間我用libnetfilter_queue處理數(shù)據(jù)包，改變了數(shù)據(jù)包的長度，然后重新計算校驗和（IP和TCP都計算了）。我申請了新的內(nèi)存空間存放修改后的數(shù)據(jù)，然后在用戶空間調(diào)用nfq_set_verdict(qh, id, NF_ACCEPT, new_data_len, new_data)。然后我發(fā)現(xiàn),對方能接收到這個數(shù)據(jù)，但是我發(fā)出去的數(shù)據(jù)包會重傳。并且使用netstat查看時，send_q的值不為0，正好是舊數(shù)據(jù)的長度。這個問題該怎么解決呢？緩沖區(qū)中的數(shù)據(jù)沒法處理掉嗎？
----------
啊基本解決掉了，就是修改seq和ack_seq的問題

ayvuir

沒必要修改TCP包吧，不如加一個隧道

hjdhfiuqewhpiq

您好，請問您的問題解決了嗎，我最近也遇到了類似的問題

hjdhfiuqewhpiq

您好，請問您的問題解決了嗎，我最近也遇到了類似的問題