c - 使用 Netfilter 封装和解封装 IPv4 数据包

Question

我在 netfilter 框架中有两个钩子(Hook)。

一个位于 NF_IP_PRE_ROUTING 用于传入数据包，另一个位于 NF_IP_LOCAL_OUT 用于传出数据包。

传出数据包:

现在，所有从特定 IP 地址发出的 IPv4 数据包都封装在另一个 IPv4-UDP 数据包中。

我使用 pskb_expand_head API 来为封装留出更多空间。并且，然后用ip_route_output_key找到合适的rtable。使用 rtable，我重新分配 skb->dst 和 skb->dev。然后，我继续使用 NF_ACCEPT 接受数据包。

skb_dst_drop(skb);
skb_dst_set(skb, &rt->dst);
skb->dev = skb_dst(skb)->dev;

传入数据包:

现在，所有封装的数据包都被接收并根据端口号进行识别。并且，封装(IP+UDP+XYZ HEADER)被拉出。类似于传出数据包我使用 ip_route_output_key 获取 rt(rtable)。
使用 rtable 重新分配 skb->dst 和 skb->dev。然后我用 NF_ACCEPT

接受数据包

所以，碰巧我也收到碎片整理传入的数据包，我有点困惑应该如何处理它们。

我希望对数据包进行碎片整理，然后再接收整个数据包。对此有任何想法。我一直在浏览可用的功能

ip_defrag(skb, IP_DEFRAG_LOCAL_DELIVER);

但这似乎是用于在NF_IP_LOCAL_IN阶段组装数据包，但我想要在NF_IP_PRE_ROUING阶段组装数据包。

我们将不胜感激。

Answer 1

设置CONFIG_NF_DEFRAG_IPV4，定义在/net/ipv4/netfilter/Kconfig，它的钩子(Hook)ipv4_defrag_ops[]会位于 >NF_INET_PRE_ROUTING 和 NF_INET_LOCAL_OUT。并且你的钩子(Hook)的优先级应该大于 NF_IP_PRI_CONNTRACK_DEFRAG，因此，你的钩子(Hook)在 ipv4_defrag_ops[] 之后执行，它会在 NF_IP_PRE_ROUING< 为你组装阶段。之后，skb 进入你的钩子(Hook)，应该是一个组装包。