Люди! Посоветуйте, как на С программно запретить пересылку пакета, не используя iptables (или тому подобное) и не записывая 0 в ip_forward. По возможности надо не пересылать пакеты с определенными адресами. Пробовал покапаться в исходниках IpChains, ничего хорошего не получилось! Глубоко закапался.

dimanpoiuy wrote:

> Люди! Посоветуйте, как на С программно запретить пересылку пакета, не
> используя iptables (или тому подобное) и не записывая 0 в ip_forward. По
> возможности надо не пересылать пакеты с определенными адресами. Пробовал
> покапаться в исходниках IpChains, ничего хорошего не получилось! Глубоко
> закапался.
Откуда хочешь запрещать, из user space или kernel space?

--
Александр Насонов,
Независимый консультант и разработчик ПО
alnsn-mycop@yandex.ru (для более быстрого ответа удалите -мусор из адреса)

По большому счету все равно. Главное, чтобы это все работало демоном от имени пользователя

dimanpoiuy wrote:

> По большому счету все равно. Главное, чтобы это все работало демоном от
> имени пользователя
Может быть написать драйвер для псевдо-сетевого интерфейса и через него
пакеты слать? Что-то подобное есть в IPv6-IPv4 туннеле. Посмотри исходники.
Вообще-то я не силен в этих вещах, может быть есть решение получше.

--
Александр Насонов,
Независимый консультант и разработчик ПО
alnsn-mycop@yandex.ru (для более быстрого ответа удалите -мусор из адреса)

Здравствуйте, alnsn, Вы писали:

A>dimanpoiuy wrote:

>> По большому счету все равно. Главное, чтобы это все работало демоном от
>> имени пользователя
A>Может быть написать драйвер для псевдо-сетевого интерфейса и через него
A>пакеты слать? Что-то подобное есть в IPv6-IPv4 туннеле. Посмотри исходники.
A>Вообще-то я не силен в этих вещах, может быть есть решение получше.

наверно проще будет использовать стандартные средства, например файрвола..

Боюсь, что файервол здесь не пройдет, поскольку наужко проводить анализ трафика и по содержимому пакета принимать решение о дальнейшей пересылке. Думаю, что для каждого пакета добавлять или удалять правило в iptables займет много времени.

butcher wrote:

> наверно проще будет использовать стандартные средства, например файрвола..

dimanpoiuy написал же, что стандартных средств ему не надо.

--
Александр Насонов,
Независимый консультант и разработчик ПО
alnsn-mycop@yandex.ru (для более быстрого ответа удалите -мусор из адреса)

dimanpoiuy wrote:

> Боюсь, что файервол здесь не пройдет, поскольку наужко проводить анализ
> трафика и по содержимому пакета принимать решение о дальнейшей пересылке.
> Думаю, что для каждого пакета добавлять или удалять правило в iptables
> займет много времени.
А в них же есть возможность пересылать пакеты на обработку в user space и
разные там conntrack модули. Читал iptables hacking HOWTO?

--
Александр Насонов,
Независимый консультант и разработчик ПО
alnsn-mycop@yandex.ru (для более быстрого ответа удалите -мусор из адреса)

Здравствуйте, dimanpoiuy, Вы писали:

D>Боюсь, что файервол здесь не пройдет, поскольку наужко проводить анализ трафика и по содержимому пакета принимать решение о дальнейшей пересылке. Думаю, что для каждого пакета добавлять или удалять правило в iptables займет много времени.
ну это в общем-то стандартная задача файрвола — анализ и принятие решения.