c - libiptc : adding nat rule with mark based match?-6ren

c - libiptc : adding nat rule with mark based match?

转载作者：塔克拉玛干更新时间：2023-11-03 00:48:33

我正在使用 libiptc -library 以编程方式操作 iptables 以添加类似于下面的 nat 规则。

Rule : iptables -t nat -A POSTROUTING -m mark --mark 0x2/0x3 -j SNAT --to 1.1.1.1

代码如下所示。

我理解 iptable nat 规则 = ipt_entry(IP header )+ ipt_entry_match(匹配)+ ipt_entry_target(目标)。

// function to create Mark based match 
    struct ipt_entry_match* get_mark_target() {

        struct ipt_entry_match *match;
        struct xt_mark_info *m;
        size_t size;
        size =   IPT_ALIGN(sizeof(struct ipt_entry_match))
            + IPT_ALIGN(sizeof(struct xt_mark_info));

        match = calloc(1, size);
        match->u.match_size = size;
        strncpy(match->u.user.name, "mark", sizeof(match->u.user.name));
        m = (struct xt_mark_info*)match->data;
        m->mark = m->mask = 0xff;
        return match;
    }

//function : to create final ipt_enrty  


  static struct ipt_entry*
    make_entry(const char * iaddr, const char * rhost, const char *chain_target)
    {
   int r = 0;
    struct ipt_entry * e;
    struct ipt_entry_match *match = get_mark_target();
    struct xt_mark_info *m = NULL;
    struct ipt_entry_target *target = NULL;

    e = calloc(1, sizeof(struct ipt_entry));
    //m = calloc(1, sizeof(*m));
    //m->mark = 0xff;
    e->ip.proto = IPPROTO_IP;
    e->nfcache = NFC_IP_DST_PT;
    if (!strcmp(chain_target, "SNAT")) {
        e->ip.src.s_addr = inet_addr(rhost);
        e->ip.smsk.s_addr = INADDR_NONE;
        //e->ip.smsk.s_addr = INADDR_NONE;
        printf("\n SNAT");
        target = get_snat_target(iaddr, 0);
    } else {
        printf("\n DNAT");
        e->ip.dst.s_addr = inet_addr(rhost);
        e->ip.dmsk.s_addr = INADDR_NONE;
        target = get_dnat_target(iaddr, 0);
    }
    e->nfcache |= NFC_UNKNOWN;
    e = realloc(e, sizeof(struct ipt_entry)
            + match->u.match_size + target->u.target_size);
    memcpy(e->elems, match, match->u.match_size);
    memcpy(e->elems + match->u.match_size, target, target->u.target_size);
    e->target_offset = sizeof(struct ipt_entry)
        + match->u.match_size;
    e->next_offset = sizeof(struct ipt_entry)
        + match->u.match_size + target->u.target_size;
#if 0
    e = realloc(e, sizeof(struct ipt_entry) + sizeof(*m));
    //+ target->u.target_size);
    //memcpy(e->elems , target, target->u.target_size);
    memcpy(e->elems , m, sizeof(*m));
    e->target_offset = sizeof(struct ipt_entry);
    e->next_offset = sizeof(struct ipt_entry) + sizeof(*m);
#endif
    free(target);
    //free(m);
    return e;
    }


    static int
    insert_nat_rule (char *src, char *dest, int op, const char *target)
    {
        struct ipt_entry *entry;
        struct xtc_handle *h;
        int ret = 1;
        const char *chain, *table = "nat";
        char *match_mask;

        h = iptc_init (table);
        if (!h) {
            fprintf (stderr, "Could not init IPTC library: %s\n", iptc_strerror (errno));
            goto out;
        }
        if (!strcmp(target, "SNAT")) {
            chain = "POSTROUTING";
        } else  if (!strcmp(target, "DNAT")) {
            chain = "PREROUTING";
        } else {
            //invlid target
            return 0;
        }
        entry = make_entry(src, dest, target);
        if (op) {
            if (!iptc_append_entry (chain, (struct ipt_entry *) entry, h)) {
                fprintf (stderr, "Could not insert a rule in iptables (table %s): "
                                 "%s\n", table, iptc_strerror (errno));
                goto out;
            }
        } else {
            match_mask = (unsigned char *)malloc(entry->next_offset);
            memset(match_mask, 0xFF, entry->next_offset);

            if (!iptc_delete_entry (chain, (struct ipt_entry *) entry,
                                            match_mask, h)) {
                fprintf (stderr, "Could not delete a rule in iptables (table %s): "
                                 "%s\n", table, iptc_strerror (errno));
                goto out;
            }
        }

        if (!iptc_commit (h)) {
            fprintf (stderr, "Could not commit changes in iptables (table %s): %s\n"
                            , table, iptc_strerror (errno));
            goto out;
        }

        ret = 0;
    out:
        if (entry) free(entry);
        if (h) iptc_free (h);

        return ret;
    }

在执行上面的程序时，我们得到一个错误消息“套接字的协议(protocol)类型错误”。如果没有基于标记的匹配，这个工作正常，我可以毫无问题地添加 1 到 1 SNAT 规则。为基于标记的匹配尝试了多种结构，但这似乎不起作用。

有什么明显的我想念的吗？将感谢您的投入。谢谢。

最佳答案

通过艰难的方式学习，iptables 使用不同的结构来匹配和目标。 API 使用“revision”字段来区分用于此特定匹配/目标的结构。

所以在下面添加一行，让我的生活更轻松。

match->u.user.revision = 1;

关于c - libiptc : adding nat rule with mark based match?，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34302445/

文章推荐： c++ - 节点与树中另一个节点的距离最大

文章推荐： android - Facebook Messenger 如何绘制聊天头？ (安卓)

文章推荐： c++ - 是否有平台不将 std::time_t 表示为 unix 时间？

文章推荐： java - 如何从 .conf 运行 jar？

linux - 不是这样的文件或目录 libiptc.so.0
我有 linux - debian wheezy PRETTY_NAME="Debian GNU/Linux 7 (wheezy)" NAME="Debian GNU/Linux" VERSION_I
c++ - 如何在 C++ 中使用 libiptc 丢弃数据包？
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。关闭 9 年前。这个问题似乎是题外话，因为它缺乏足够的信息来诊断问题。更详细地描述您的问题或inclu
c - libiptc : adding DNAT rule with destination IP
我正在尝试制作一个 c 程序来使用 libiptc 创建端口转发规则。 static int insert_forward_rule(const char *table, const char *ch
c - libiptc : adding nat rule with mark based match?
我正在使用 libiptc -library 以编程方式操作 iptables 以添加类似于下面的 nat 规则。 Rule : iptables -t nat -A POSTROUTING -m m

塔克拉玛干

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

c - libiptc : adding nat rule with mark based match?