NF_INET_POST_ROUTING處如何獲取目的mac

澤畔無材

在玩netfilter時(shí)遇到的一個(gè)問題，我本機(jī)是一個(gè)網(wǎng)關(guān)， 我的hook點(diǎn)在NF_INET_POST_ROUTING，而dnat是在NF_IP_PRE_ROUTING就處理了的。
在我的hook里檢查發(fā)往內(nèi)網(wǎng)的包，發(fā)現(xiàn)dst ip的確已經(jīng)被改正了，但是mac仍然是網(wǎng)關(guān)的mac，想問下數(shù)據(jù)包的mac是何時(shí)被改正為內(nèi)網(wǎng)機(jī)子的mac呢？在這個(gè)hook里能否獲取到真正的目標(biāo)的mac？

potato916305

mac_header = skb->mac_header.........

就會(huì)這點(diǎn)..

澤畔無材

回復(fù) 2# potato916305
直接這么看已經(jīng)在帖中說過了，看到的是網(wǎng)關(guān)的mac，并不是最后真正的目標(biāo)PC的mac。
在NF_INET_POST_ROUTING處貌似還沒有將正確的mac拷到skb里。


   

szlzzyli

在網(wǎng)關(guān)做路由轉(zhuǎn)發(fā)的時(shí)候才會(huì)由網(wǎng)關(guān)加入你要的目的MAC地址吧···

澤畔無材

回復(fù) 4# szlzzyli
對(duì)的，我的機(jī)子就是網(wǎng)關(guān)，可能帖子里沒說清楚。

   

澤畔無材

今天抽空查了下，使用neigh_lookup查找arp表就可以獲取到ip對(duì)應(yīng)的mac了~

guanglongxishui

DNAT后，在NF_INET_POST_ROUTING這個(gè)hook點(diǎn)上是不能得到內(nèi)網(wǎng)的MAC地址的。

int ip_output(struct sk_buff *skb)
{
        return NF_HOOK_COND(PF_INET, NF_INET_POST_ROUTING, skb, NULL, dev,
                           ip_finish_output,
                            !(IPCB(skb)->flags & IPSKB_REROUTED));
}

報(bào)文目的mac在被換成內(nèi)網(wǎng)mac是在ip_finish_output函數(shù)完成的，該函數(shù)是在你hook函數(shù)被執(zhí)行后執(zhí)行的。

根據(jù)路由后得到的下一跳ip地址，從arp表里查到相應(yīng)的MAC地址，替換skb的目的MAC發(fā)送出去。

liudeyi545

您好，請(qǐng)問您的問題解決了嗎？我與到了一個(gè)和您相似的問題，我想獲取本機(jī)發(fā)出去的ARP包的n原MAC地址，可是也不成功，不知道怎么辦呢？可以麻煩您幫我看一下嗎？謝謝了！我的求助帖地址： http://www.72891.cn/thread-4165048-1-1.html   謝謝您了

ken1980

在IP發(fā)送流程后會(huì)調(diào)用hh_output，通過鄰居子系統(tǒng)獲取

nu_teller

bingo回復(fù) 6# 澤畔無材