当前位置：首页 → 问答吧 → NETFILTER拦截修改数据包后的MTU问题

NETFILTER拦截修改数据包后的MTU问题

时间：2010-09-21

来源：互联网

本帖最后由 destinywangyh 于 2010-09-21 00:51 编辑

小弟最近在做一个LINUX下的局域网加密系统,用NETFILTER拦截数据包并用LIBIPQ发到用户空间加密/解密再返回,进出本机各定义了两个HOOK如下:

int init_module()
{
pr_info("i'm now in the kernel space!\n");
nfho.hook = hook_func;
nfho.hooknum = NF_INET_LOCAL_IN;
nfho.pf = PF_INET;
nfho.priority = NF_IP_PRI_MANGLE;
nfho.owner = THIS_MODULE;
nf_register_hook(&nfho);
nfhoo.hook = hook_funco;
nfhoo.hooknum = NF_INET_LOCAL_OUT;
nfhoo.pf = PF_INET;
nfhoo.priority = NF_IP_PRI_MANGLE;
nfhoo.owner = THIS_MODULE;
nf_register_hook(&nfhoo);
return 0;
}

复制代码

用户空间处理完后用ret = ipq_set_verdict(h, ipq_packet->packet_id, NF_ACCEPT, dl,tt);返回给内核空间,dl是处理后的数据包长度,tt是放修改后数据包的缓冲区.

发送接收单个小于1500的包,这样是可以成功加密通信的,但如果包大小原来已经是1500,经过加密后多了30个字节,包就因为比MTU大而发不出去.我看过WINDOWS下类似系统的实现,那里是在PtRequestComplete函数中写入:

if(Oid == OLD_GEN_MAXIMUM_FRAME_SIZE)
*(PULONG)NdisRequest->DATA.QUERY_INFORMATION.InformationBuffer=1350;

复制代码

把分片大小改成1350.

请问LINUX下有没有类似的方法去可以改变发出去的包的分片大小?只要能规定分片不大于1350,我加密后的包也就不会超过MTU了.

另外一个思路是在分片之前加密,在重组之后解密,但应该如何HOOK才能让非分片包进入到用户空间?根据这里所说,我上面的两个HOOK处理的应该都是非分片包,我在HOOK FUNCTION中写上: