我不知道如何解决我的问题。
是否可以使用ipq_set_verdict()重定向捕获的数据包?
我想将未经授权的用户重定向到登录页面。
请参阅我的代码:
接受数据包,我的浏览器打开请求页面(未更改目标地址)
void main(){ struct ipq_handle * h;
if (!(h = ipq_create_handle(0, PF_INET))) {
//error
return;
};
if ((ipq_set_mode(h, IPQ_COPY_PACKET, BUFSIZE)) < 0) {
// error
return;
};
struct iphdr* ip_pack;
ipq_packet_msg_t* eth_pack;
__u32 ip_auth_server = inet_addr("192.168.177.1");
unsigned char buf[68000];
if ((ipq_read(h, buf, BUFSIZE, 0)) < 0) {
//error
return;
}
switch (ipq_message_type(buf)) {
case NLMSG_ERROR:
//error
break;
case IPQM_PACKET:
{
eth_pack = ipq_get_packet(buf);
ip_pack = (struct iphdr*) eth_pack->payload;
redirect_server_auth(ip_auth_server, ip_pack, eth_pack->packet_id, h, eth_pack->payload, eth_pack->data_len);
}
}
u_int16_t ip_checksum(u_int32_t init, const u_int8_t* buf, size_t len) {
u_int32_t sum = init;
u_int16_t* shorts = (u_int16_t*) buf;
while (len > 1) {
sum += *shorts++;
len -= 2;
}
if (len == 1)
sum += *((u_int8_t*) shorts);
while (sum >> 16)
sum = (sum >> 16) + (sum & 0xFFFF);
return ~sum;
}
u_int16_t tcp_checksum(const struct iphdr* iph, const struct tcphdr* tcph,
size_t len) {
u_int32_t cksum = 0;
cksum += (iph->saddr >> 16) & 0x0000ffff;
cksum += iph->saddr & 0x0000ffff;
cksum += (iph->daddr >> 16) & 0x0000ffff;
cksum += iph->daddr & 0x0000ffff;
cksum += htons(iph->protocol & 0x00ff);
cksum += htons(len);
return ip_checksum(cksum, (unsigned char*) tcph, len);
}
void handle_packet(unsigned char* pkt, size_t len, __u32 dest_addr, int port_dest) {
struct iphdr* iph = (struct iphdr*) pkt;
struct tcphdr* tcph = (struct tcphdr*) (pkt + iph->ihl * 4);
iph->daddr = dest_addr;
// syslog(LOG_DEBUG, "PORT");
//syslog(LOG_DEBUG, tcph->dest); //tcph->dest = htons(80);
iph->check = 0;
iph->check = ip_checksum(0, pkt, iph->ihl * 4);
tcph->check = 0;
tcph->check = tcp_checksum(iph, tcph, len - (iph->ihl * 4));
}
void redirect_server_auth(__u32* ip_srv, struct iphdr* ip_pack,
unsigned long packet_id, ipq_handle* handle,
unsigned char* buf, int size_buf) {
syslog(LOG_DEBUG, "RENAME IP AND SEND PACK ACCEPT %s", inet_ntoa(
*((struct in_addr*) & ip_pack->daddr)));
handle_packet(buf, size_buf, *ip_srv, 80);
syslog(LOG_DEBUG, "RENAME IP AND SEND PACK ACCEPT %s", inet_ntoa(
*((struct in_addr*) & ip_pack->daddr)));
int v = ipq_set_verdict(handle, packet_id, NF_ACCEPT, size_buf, buf);
if (v < 0) {
syslog(LOG_DEBUG, "problems");
syslog(LOG_DEBUG, ipq_errstr());
}
}
我期待着你的帮助。谢谢你的时间。
答案 0 :(得分:0)
首先,libipq被视为已弃用,请改用libnefilter_queue。
然后无法使用set_verdict重定向数据包,从我得到的只能使用DROP ACCEPT或REJECT判断。但您可以使用nfq_set_verdict2()修改数据有效负载/标头。这似乎就是你已经在做的事情。
我不是100%确定你想要做什么:如果未经过身份验证,请将浏览器重定向到另一个(登录)网页?
如果是这样,您应该发出包含身份验证位置的301 HTTP答案,而不是修改数据包目标。在这种情况下,您应该在应用层执行此操作。
但是我仍然不确定你真正想做什么,你能更准确地了解你的系统(如何以及谁进行身份验证?何时?以及如何检查客户端是否已经过身份验证?)