1
У меня есть следующая функция, которая отправляет пакеты по сырым сокетам.пакет маркировки для отправки через raw-сокет
#include <unistd.h>
#include <stdio.h>
#include <sys/socket.h>
#include <netinet/ip.h>
#include <netinet/udp.h>
#include "pkt-types.h"
#include "pkt-log.h"
#include "pkt-utils.h"
int
send_packet_raw (void *data, int size)
{
log_message (LOG_DEBUG, " inside send_packet_raw");
int sd;
struct iphdr *iph = (struct iphdr *) data;
struct udphdr *udph = (struct udphdr *) (data + sizeof (struct ip));
struct sockaddr_in sin;
// needed for notify kernel to not to build header for this
int one = 1;
const int *val = &one;
// creating a socket
if ((sd = socket (PF_INET, SOCK_RAW, IPPROTO_UDP)) < 0)
{
log_message (LOG_ERROR, " problem creating a socket");
return EXITCODE_SOCK_CREATION_FAILED;
}
// setting address family
sin.sin_family = AF_INET;
// setting port
sin.sin_port = udph->dest;
// setting ip
sin.sin_addr.s_addr = iph->daddr;
// notifying kernel do not fill up the packet structure.
if (setsockopt (sd, IPPROTO_IP, IP_HDRINCL, val, sizeof (one)) < 0)
{
log_message (LOG_ERROR, "error notifying kernel about raw socket");
return EXITCODE_SOCK_KERN_NOTIF_FAILED;
}
/* setting socket option to use MARK value */
if (setsockopt (sd, SOL_SOCKET, SO_MARK, val, sizeof (one)) < 0)
{
log_message (LOG_ERROR, "error notifying kernel about MARK");
return EXITCODE_SOCK_MARK_FAILED;
}
#ifdef CHECKSUM
/* compute checksum */
udph->check = udp_checksum (data + IP_OFFSET, size - IP_OFFSET, iph->saddr, iph->daddr);
/* testing purposed */
#else
udph->check = 0x00;
#endif
/* dscp 101000 means express forwarding */
if (sendto (sd, /* our socket */
data, /* data to send */
size, /* total length of our ip packet */
0, /* routing flag, normally always zero */
(struct sockaddr *) &sin, /* socket addr */
sizeof (sin)) < 0)
{
log_message (LOG_ERROR, "sending over raw socket failed");
return EXITCODE_SOCK_SEND_FAILED;
}
else
{
/* shutdown the socket */
if(shutdown (sd, 2)) /* shutdown ok */
return EXITCODE_OK;
}
}
Теперь я устанавливаю метку из nfq_set_verdict2() из libnetfilter_queue: http://www.netfilter.org/projects/libnetfilter_queue/doxygen/group__Queue.html
int nfq_set_verdict2 ( struct nfq_q_handle * qh,
u_int32_t id,
u_int32_t verdict,
u_int32_t mark,
u_int32_t data_len,
const unsigned char * buf
)
nfq_set_verdict2 - like nfq_set_verdict, but you can set the mark.
Parameters:
qh Netfilter queue handle obtained by call to nfq_create_queue().
id ID assigned to packet by netfilter.
verdict verdict to return to netfilter (NF_ACCEPT, NF_DROP)
mark mark to put on packet
data_len number of bytes of data pointed to by buf
buf the buffer that contains the packet data
когда я получаю пакет от netfilter_queue я сделать что-то следующее:
nfq_set_verdict(..,NF_DROP,MARK,...);
process_packet();
Этот process_packet () вызывает send_packet_raw().
Ассоциированные iptable правила:
$iptables -t mangle -A PREROUTING -m mark --mark 0xa -j ACCEPT
$iptables -t mangle -A PREROUTING -p udp --dport $PORT -j NFQUEUE
$iptables -t mangle -A OUTPUT -m mark --mark 0xa -j ACCEPT
$iptables -t mangle -A OUTPUT -p udp --sport $PORT -j NFQUEUE
Я также расфасованные некоторые -j правила LOG, чтобы увидеть, если пакеты в-факта соответствия. но, как кажется, ни один пакет не гаснет или не идет, поскольку никакие записи журнала не отображаются. Не удалось понять, как найти проблему здесь.
Возможно, я что-то пропустил, но вы также попробовали запустить tcpdump (как дополнительную форму отладки), чтобы увидеть, попадает ли пакет в nic? Можно ли использовать scapy для создания (того же или подобного) пакета, чтобы узнать, не лежит ли проблема с кодом или правилами iptables? –
Благодарим вас за предложение. Я буду тестировать с помощью scapy и опубликовать дополнительные обновления. – Aftnix
Если вы не знакомы с scapy, вот интро - http://www.sans.org/reading_room/whitepapers/testing/taste-scapy_33249. –