除了 iptables 之外还有数据包管理实用程序吗？ [关闭]

我正在寻找一个 Linux 实用程序，它可以根据一组规则更改网络数据包的有效负载。理想情况下，我会使用iptables和netfilter内核模块，但它们不支持通用有效负载修改：iptables会改变各种header字段（地址、端口、TOS 等），它可以match数据包内的任意字节，但它显然无法alter数据包内的任意数据。

内核模块将是一个很大的优势，因为效率是一个问题，但我很乐意探索任何其他可以完成工作的选项。

感谢您的想法！

迟来的更新：

我们选择使用NFQUEUE模块，这是 Robert Gamble 建议的 QUEUE 模块的最新实现。它看起来相当简单，具有安全性，允许我们的代码在用户空间而不是内核空间中运行。

如果我们只是想改变有效负载而不改变其大小，那么实现几乎是微不足道的。在这种情况下，我们定义一个iptables http://netfilter.org/projects/iptables/index.html规则为我们选择“有趣”的数据包并向它们发送NFQUEUE目标。我们编写一个回调函数来检查来自的数据包NFQUEUE，根据需要修改数据，并重新计算其 TCP 和 IP 标头中的校验和。

然而，我们的用例涉及向数据流中注入额外的字符。这具有增加 TCP 流中相应的 SEQ/ACK 编号的明显副作用，以及混淆数据流中的不那么明显的副作用。conntrack http://kalamazoolinux.org/presentations/20010417/conntrack.html模块足够多以至于它完全破坏了 NAT。之后lot经过研究、绞尽脑汁和实验，最权宜的解决方案是禁用这些特定数据包的连接跟踪（使用NOTRACK目标在raw表）并在我们的回调中处理它。保存你的西红柿并讨厌邮件；我一点也不自豪让您了解幕后情况，但这是在下一个冰河时代之前向客户提供可靠产品的唯一方法。这是一个好故事。但我真的很欣赏并分享你的衷心感受。

版本 2 将通过替换我们的回调和几个来利用我们新发现的启示iptables具有自定义 NAT 的规则和/或conntrack helper http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO-4.html#ss4.4。我们相信，当前的练习已经为我们提供了足够的经验来创建一个内核模块，该模块将有机地融入 netfilter 架构中，以解决我们遇到的问题。

我没用过，但是QUEUE http://www.wallinfire.net/files/netfilter-packets-alter.htmlnetfilter 目标看起来可能有效。它使用 nflink 套接字和注册到该套接字的用户空间应用程序来执行有效负载修改。

The libipq http://linux.die.net/man/3/libipq手册页包含有关如何使用它的详细信息，并提供了一个简单的示例。