редактировалие правил iptables из ядра

0

2

Добрый день, всех с праздником!

Хочу _в_ядре_ все правила на POSTROUTING проматчить по определенному ip и выставить нужный fwmark. А в POSTROUTING таблице nat по fwmark сделать SNAT или не делать.

Так вот вопрос, скажите, пожалуйста, как можно «гулять» по правилам xt_tables в ядре?
Или тут можно/нужно сделать свой hook на POSTROUTING и из него делать всю работу?

// я что-то туплю... :-\

Ссылка

←	Как увеличить видео память?

Никто не хочет запилить новость? Опубликованы видео с SREcon 2018

→

Так вот вопрос, скажите, пожалуйста, как можно «гулять» по правилам xt_tables в ядре

в net/ipv4/netfilter/ip_tables.c есть ipt_do_table() - она используется во всех хуках.

Непонятно какая цель преследуется и почему это нужно делать из ядра.

Динамические списки в виде ipset уже давно умеют задавать fwmark, они так же могут динамически менятся при помощи «iptables -j SET»

vel ★★★★★
(01.05.18 15:56:56 MSK)

Ссылка

Что? Зачем? В чем тебе не хватает функциональности юзерспейсных интерфейсов, т.е. самих утилит ip и iptables?

Deleted
(01.05.18 16:03:49 MSK)

Вроде, ещё (уже) не пятница… Скажи, что ты курил?

r3lgar ★★★★★
(01.05.18 16:11:33 MSK)

vel

в net/ipv4/netfilter/ip_tables.c есть ipt_do_table() - она используется во всех хуках.

она не экспортируется :(

Непонятно какая цель преследуется и почему это нужно делать из ядра.

~~slvrn~~

Что? Зачем? В чем тебе не хватает функциональности юзерспейсных интерфейсов?

идея не моя - друг попросил, жалуется на то, что у него каша из правил получается (~70000 правил)

metawishmaster ★★★★★
(01.05.18 16:13:54 MSK) автор топика

Ответ на: комментарий от r3lgar 01.05.18 16:11:33 MSK

Вроде, ещё (уже) не пятница… Скажи, что ты курил?

реклама табачной продукции вроде запрещена... %)

metawishmaster ★★★★★
(01.05.18 16:15:18 MSK) автор топика

Ссылка

Ответ на: комментарий от metawishmaster 01.05.18 16:13:54 MSK

она не экспортируется

Это пример рабочего кода на тот случай, если такое действие потребуется. Все таблицы правил у нас линейные, т.ч. пройтись по ним очень просто. А вот вставить/удалить правила - это очень сложный процесс.

идея не моя - друг попросил, жалуется на то, что у него каша из правил получается (~70000 правил)

Почему каша? Просто очень длинный список правил.

Как с ним бороться - я уже сказал.

vel ★★★★★
(01.05.18 16:44:30 MSK)
Последнее исправление: vel 01.05.18 16:46:19 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 01.05.18 16:44:30 MSK

вот вставить/удалить правила - это очень сложный процесс

это я успел понять %))

Как с ним бороться - я уже сказал

да, спасибо большое! :)

metawishmaster ★★★★★
(01.05.18 16:58:22 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 01.05.18 16:03:49 MSK

Что? Зачем? В чем тебе не хватает функциональности юзерспейсных интерфейсов, т.е. самих утилит ip и iptables?

Зачем это понадобилось ТС - это, конечно, вопрос к нему. Но вот один из вариантов. Например, весь функционал какого-то софта реализован в ядерном модуле, и при этом надо как-то рулить правилами фильтрации.

Кстати, а чем можно рулить netfilter удаленно. Я понимаю, конечно, что через ssh в командной строке все можно сделать. Но вот, предположим, что нужна GUI для тупых, или с каким-то особенным функционалом. Писать сервер, слушающий сокет и управляющий правилами через libnftnl?

zloy_starper ★★★
(03.05.18 08:22:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как увеличить видео память?

Development

Никто не хочет запилить новость? Опубликованы видео с SREcon 2018

→

Похожие темы