Испорченные пакеты из libnetfilter_queue не доходят до пункта назначения

Испорченные пакеты из libnetfilter_queue не доходят до пункта назначения ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Испорченные пакеты из libnetfilter_queue не доходят до пункта назначения

Цитата

Сообщение Anonymous » 04 мар 2024, 07:21

I'm trying to use libnetfilter_queue to add custom options to the IP headers of certain packets.

As a test, I've tried modifying the sample program from the libnetfilter_queue documentation (nf-queue.c) to change the TTL value in the header. The packets appear in Wireshark with the modified contents, but they don't seem to actually reach the destination.

This is the modified callback function from the libnetfilter_queue example. It changes the TTL value from the default 64 to 88.

static int queue_cb(const struct nlmsghdr *nlh, void *data) { struct nfqnl_msg_packet_hdr *ph = NULL; struct nlattr *attr[NFQA_MAX+1] = {}; uint32_t id = 0, skbinfo; int queue_num; struct nfgenmsg *nfg; uint16_t plen; void *payload; struct pkt_buff *pktb; uint8_t new_ttl = 88; char buf[MNL_SOCKET_BUFFER_SIZE]; struct nlmsghdr *nlh_verdict; struct nlattr *nest; /* Parse netlink message received from the kernel, the array of * attributes is set up to store metadata and the actual packet. */ if (nfq_nlmsg_parse(nlh, attr) < 0) { perror("problems parsing"); return MNL_CB_ERROR; } nfg = mnl_nlmsg_get_payload(nlh); if (attr[NFQA_PACKET_HDR] == NULL) { fputs("metaheader not set\n", stderr); return MNL_CB_ERROR; } /* Access packet metadata, which provides unique packet ID, hook number * and ethertype. See struct nfqnl_msg_packet_hdr for details. */ ph = mnl_attr_get_payload(attr[NFQA_PACKET_HDR]); id = ntohl(ph->packet_id); queue_num = ntohs(nfg->res_id); /* Access actual packet data length. */ plen = mnl_attr_get_payload_len(attr[NFQA_PAYLOAD]); /* Access actual packet data */ payload = mnl_attr_get_payload(attr[NFQA_PAYLOAD]); /* Copy to packet buffer with extra space for mangling */ pktb = pktb_alloc(AF_INET, payload, plen, 255); /* Change TTL */ nfq_ip_mangle( pktb, 0, offsetof(struct iphdr, ttl), sizeof(((struct iphdr *)0)->ttl), &new_ttl, sizeof(new_ttl) ); /* Accept mangled packet */ nlh_verdict = nfq_nlmsg_put(buf, NFQNL_MSG_VERDICT, ntohs(nfg->res_id)); if (pktb_mangled(pktb)) { nfq_nlmsg_verdict_put_pkt(nlh_verdict, pktb_data(pktb), pktb_len(pktb)); } nfq_nlmsg_verdict_put(nlh_verdict, id, NF_ACCEPT); if (mnl_socket_sendto(nl, nlh_verdict, nlh_verdict->nlmsg_len) < 0) { perror("mnl_socket_send"); exit(EXIT_FAILURE); } return MNL_CB_OK; } To test, I've set up an nftables rule to queue packets like this:

nft add table inet test-table nft add chain inet test-table test-chain '{ type filter hook output priority 0; }' nft add rule inet test-table test-chain counter queue Then I run the program and use nc to send UDP packets like this:

Receiver: nc -u -l -p 4444
Sender: nc -u localhost 4444

Источник: https://stackoverflow.com/questions/780 ... estination

1709526109

Anonymous


I'm trying to use libnetfilter_queue to add custom options to the IP headers of certain packets.
 
As a test, I've tried modifying the sample program from the libnetfilter_queue documentation (nf-queue.c) to change the TTL value in the header. The packets appear in Wireshark with the modified contents, but they don't seem to actually reach the destination.
 
This is the modified callback function from the libnetfilter_queue example. It changes the TTL value from the default 64 to 88.
 
static int queue_cb(const struct nlmsghdr *nlh, void *data) {     struct nfqnl_msg_packet_hdr *ph = NULL;     struct nlattr *attr[NFQA_MAX+1] = {};     uint32_t id = 0, skbinfo;     int queue_num;     struct nfgenmsg *nfg;     uint16_t plen;     void *payload;     struct pkt_buff *pktb;     uint8_t new_ttl = 88;     char buf[MNL_SOCKET_BUFFER_SIZE];     struct nlmsghdr *nlh_verdict;     struct nlattr *nest;     /* Parse netlink message received from the kernel, the array of      * attributes is set up to store metadata and the actual packet.      */     if (nfq_nlmsg_parse(nlh, attr) < 0) {         perror("problems parsing");         return MNL_CB_ERROR;     }     nfg = mnl_nlmsg_get_payload(nlh);     if (attr[NFQA_PACKET_HDR] == NULL) {         fputs("metaheader not set\n", stderr);         return MNL_CB_ERROR;     }     /* Access packet metadata, which provides unique packet ID, hook number      * and ethertype. See struct nfqnl_msg_packet_hdr for details.      */     ph = mnl_attr_get_payload(attr[NFQA_PACKET_HDR]);     id = ntohl(ph->packet_id);     queue_num = ntohs(nfg->res_id);     /* Access actual packet data length. */     plen = mnl_attr_get_payload_len(attr[NFQA_PAYLOAD]);     /* Access actual packet data */     payload = mnl_attr_get_payload(attr[NFQA_PAYLOAD]);     /* Copy to packet buffer with extra space for mangling */     pktb = pktb_alloc(AF_INET, payload, plen, 255);     /* Change TTL */     nfq_ip_mangle(         pktb,         0,         offsetof(struct iphdr, ttl),         sizeof(((struct iphdr *)0)->ttl),         &new_ttl,         sizeof(new_ttl)     );     /* Accept mangled packet */     nlh_verdict = nfq_nlmsg_put(buf, NFQNL_MSG_VERDICT, ntohs(nfg->res_id));     if (pktb_mangled(pktb)) {         nfq_nlmsg_verdict_put_pkt(nlh_verdict, pktb_data(pktb), pktb_len(pktb));     }     nfq_nlmsg_verdict_put(nlh_verdict, id, NF_ACCEPT);     if (mnl_socket_sendto(nl, nlh_verdict, nlh_verdict->nlmsg_len) < 0) {         perror("mnl_socket_send");         exit(EXIT_FAILURE);     }     return MNL_CB_OK; }  To test, I've set up an nftables rule to queue packets like this:
 
nft add table inet test-table nft add chain inet test-table test-chain '{ type filter hook output priority 0; }' nft add rule inet test-table test-chain counter queue  Then I run the program and use nc to send UDP packets like this:
 [list] [*]Receiver: nc -u -l -p 4444 [*]Sender: nc -u localhost 4444 

Источник: [url]https://stackoverflow.com/questions/78094172/mangled-packets-from-libnetfilter-queue-do-not-reach-destination[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Проблемы при использовании python queue.queue () с несколькими потоками

Последнее сообщение Anonymous « 01 май 2025, 15:16
Добавлено в форуме Python

Anonymous » 01 май 2025, 15:16 » в форуме Python

Минимальный воспроизводимый раздел - это кодовый блок в нижней части тела вопроса над ссылкой OneDrive. Я вставил комментарии, чтобы помочь вам понять, что делается и как это связано с полным кодом.
Целью моей программы Python является ввод ввода...

0 Ответы

22 Просмотры

Последнее сообщение Anonymous
01 май 2025, 15:16
Проблемы при использовании python queue.queue () с несколькими потоками

Последнее сообщение Anonymous « 01 май 2025, 15:22
Добавлено в форуме Python

Anonymous » 01 май 2025, 15:22 » в форуме Python

Минимальный воспроизводимый раздел - это кодовый блок в нижней части тела вопроса над ссылкой OneDrive. Я вставил комментарии, чтобы помочь вам понять, что делается и как это связано с полным кодом.
Целью моей программы Python является ввод ввода...

0 Ответы

18 Просмотры

Последнее сообщение Anonymous
01 май 2025, 15:22
SIP-сообщения не доходят до Asterisk, когда приложение iOS VoIP работает в фоновом режиме

Последнее сообщение Anonymous « 31 окт 2024, 07:20
Добавлено в форуме IOS

Anonymous » 31 окт 2024, 07:20 » в форуме IOS

Я работаю над приложением VoIP для iOS, используя jssip, WebRTC и Asterisk (SIP через TCP). Мое приложение использует push-уведомления VoIP
(pushkit + callKit) для обработки входящих вызовов. У нас есть система, которая регистрирует данные вызова в...

0 Ответы

15 Просмотры

Последнее сообщение Anonymous
31 окт 2024, 07:20
SIP-сообщения не доходят до Asterisk, когда приложение iOS VoIP работает в фоновом режиме

Последнее сообщение Anonymous « 31 окт 2024, 09:54
Добавлено в форуме IOS

Anonymous » 31 окт 2024, 09:54 » в форуме IOS

Я работаю над приложением VoIP для iOS, используя jssip, WebRTC и Asterisk (SIP через TCP). Мое приложение использует push-уведомления VoIP
(pushkit + callKit) для обработки входящих вызовов. У нас есть система, которая регистрирует данные вызова в...

0 Ответы

10 Просмотры

Последнее сообщение Anonymous
31 окт 2024, 09:54
SIP-сообщения не доходят до Asterisk, когда приложение iOS VoIP работает в фоновом режиме

Последнее сообщение Anonymous « 01 ноя 2024, 00:52
Добавлено в форуме IOS

Anonymous » 01 ноя 2024, 00:52 » в форуме IOS

Я работаю над приложением VoIP для iOS, используя jssip, WebRTC и Asterisk (SIP через TCP). Мое приложение использует push-уведомления VoIP
(pushkit + callKit) для обработки входящих вызовов. У нас есть система, которая регистрирует данные вызова в...

0 Ответы

15 Просмотры

Последнее сообщение Anonymous
01 ноя 2024, 00:52

Вернуться в «Linux»