firewall - 如何在 FreeBSD 上使用 pf 获取重定向连接的原始目标 IP？

Question

当我使用 -j REDIRECT 规则在 Linux 上重定向与 iptables 的连接时，接收重定向连接的程序可以执行 getsockopt(sockfd, SOL_IP, SO_ORIGINAL_DST, &val, &len); 获取连接的原始、预重定向目标 IP。当我在 FreeBSD 上使用 rdr 规则重定向与 pf 的连接时，如何执行相同的操作？

Answer 1

昨天刚在 MacOS 上解决了这个问题，没有在 FreeBSD 上测试，我认为是类似的。

您需要来自 net/pfvar.h 的 pfioc_natlook 结构。

一般步骤是:

• 将pfioc_natlook初始化为pnl
• 用客户端套接字的IP和端口(saddr，sxport)，代理服务器的绑定(bind)IP和端口(daddr，dxport)填充pnl
• open('/dev/pf')，获取其fd
• do ioctl(fd, C.DIOCNATLOOK, *pnl)，那么pnl的rdxport和rdaddr将是连接的原始端口和IP

任何对此问题仍然感兴趣的人可以检查这个要点:https://gist.github.com/gkoyuncu/f8aad43f66815dac7769

我用golang(CGO包装器)做了一个迷你POC程序，它可以在MacOS上运行:https://github.com/monsterxx03/pf_poc