tproxy_Linux使用TPROXY进行UDP的透明代理

最新推荐文章于 2024-05-14 10:07:46 发布
最新推荐文章于 2024-05-14 10:07:46 发布
阅读量2.3k 收藏 6
点赞数
文章标签: tproxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39820437/article/details/111752158
版权

1.为什么使用TPROXY才能代理UDP

在进行TCP的代理时,只要在NET表上无脑进行REDIRECT就好了。例如使用ss-redir,你只要把tcp的流量redirect到ss-redir监听的端口上就OK了。但是当你使用这种方法的时候,就会不正常,因为对于UDP进行redirect之后,原始的目的地址和端口就找不到了。

这是为什么呢?

ss-redir的原理很简单:使用iptables对PREROUTING与OUTPUT的TCP/UDP流量进行REDIRECT(REDIRECT是DNAT的特例),ss—redir在捕获网络流量后,通过一些技术手段获取REDIRECT之前的目的地址(dst)与端口(port),连同网络流量一起转发至远程服务器。

针对TCP连接,的确是因为Linux Kernel连接跟踪机制的实现才使获取数据包原本的dst和port成为可能,但这种连接跟踪机制并非只存在于TCP连接中,UDP连接同样存在,conntrack -p udp便能看到UDP的连接跟踪记录。内核中有关TCP与UDP的NAT源码/net/netfilter/nf_nat_proto_tcp.c和/net/netfilter/nf_nat_proto_udp.c几乎一模一样,都是根据NAT的类型做SNAT或DNAT。

那这究竟是怎么一回事?为什么对于UDP连接就失效了呢?

回过头来看看ss-redir有关获取TCP原本的dst和port的源码,核心函数是getdestaddr:

static int

getdestaddr(int fd, struct sockaddr_storage *destaddr)

{

socklen_t socklen = sizeof(*destaddr);

int error = 0;

error = getsockopt(fd, SOL_IPV6, IP6T_SO_ORIGINAL_DST, destaddr, &socklen);

if (error) { // Didn't find a proper way to detect IP version.

error = getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, destaddr, &socklen);

if (error) {

return -1;

}

}

return 0;

}

在内核源码中搜了下有关SO_ORIGINAL_DST的东西,看到了getorigdst:

static int

getorigdst(struct sock *sk, int optval, void __user *user, int *len)

{

const struct inet_sock *inet = inet_sk(sk);

const struct nf_conntrack_tuple_hash *h;

struct nf_conntrack_tuple tuple;

memset(&tuple, 0, sizeof(tuple));

lock_sock(sk);

tuple.src.u3.ip = inet->inet_rcv_saddr;

tuple.src.u.tcp.port = inet->inet_sport;

tuple.dst.u3.ip = inet->inet_daddr;

tuple.dst.u.tcp.port = inet->inet_dport;

tuple.src.l3num = PF_INET;

tuple.dst.protonum = sk->sk_protocol;

release_sock(sk);

/* We only do TCP and SCTP at the moment: is there a better way? */

if (tuple.dst.protonum != IPPROTO_TCP &&

tuple.dst.protonum != IPPROTO_SCTP) {

pr_debug("SO_ORIGINAL_DST: Not a TCP/SCTP socket\n");

return -ENOPROTOOPT;

}

We only do TCP and SCTP at the moment。Oh,shit!只针对TCP与SCTP才能这么做,并非技术上不可行,只是人为地阻止罢了。

2.TPROXY

为了在redirect UDP后还能够获取原本的dst和port,ss-redir采用了TPROXY。Linux系统有关TPROXY的设置是以下三条命令:

ip rule add fwmark 0x2333/0x2333 pref 100 table 100

ip route add local default dev lo table 100

iptables -t mangle -A PREROUTING -p udp -j TPROXY --tproxy-mark 0x2333/0x2333 --on-ip 127.0.0.1 --on-port 1080

大意就是在mangle表的PREROUTING中为每个UDP数据包打上0x2333/0x2333标志,之后在路由选择中将具有0x2333/0x2333标志的数据包投递到本地环回设备上的1080端口;对监听0.0.0.0地址的1080端口的socket启用IP_TRANSPARENT标志,使IPv4路由能够将非本机的数据报投递到传输层,传递给监听1080端口的ss-redir。IP_RECVORIGDSTADDR与IPV6_RECVORIGDSTADDR则表示获取送达数据包的dst与port。

可问题来了:要知道mangle表并不会修改数据包,那么TPROXY是如何做到在不修改数据包的前提下将非本机dst的数据包投递到换回设备上的1080端口呢?

这个问题在内核中时如何实现的,还待研究,但是确定是TPROXY做了某些工作。

TPROXY主要功能:

重定向一部分经过路由选择的流量到本地路由进程(类似NAT中的REDIRECT)

在非本地IP上起监听。监听后就可以转发了(神奇吧)

TPROXY要解决的两个重要的问题

1.套接字如何监听到非本地IP地址。

先用setsockopt函数为套接字设置IP_TRANSPARENT标识,再去监听0.0.0.0地址这样的方式来实现监听任意IP。

2.如何获取的原始目标的端口 。

先调用setsockopt (s, IPPROTO_IP, IP_RECVORIGDSTADDR, &n, sizeof(int))函数为套接字设置IP_RECVORIGDSTADDR标识,然后通过recvmsg函数从tproxy那边接受发过来的msghdr结构体信息,并循环遍历cmsghdr成员最终获取到原始目标的地址和端口,也就是说tproxy会向msghdr(附属数据结构)填入原始目标ip和端口信息,再通过sendmsg函数发送给代理应用。

weixin_39820437
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 实现透明代理使用开源项目 tproxy-example)
Ronz 的博客
12-28 6110
一、透明代理概述 根据百度百科的资料:透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改变你的 request fields(报文),并会传送真实IP,多用于路由器的NAT转发中。 透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行着一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据然后拷贝给客户端。理论上透明代理可以对任何协
tproxy_Istio的流量劫持和Linux透明代理实现
weixin_39938935的博客
12-30 757
一般情况下,如果一个程序需要使用代理服务器,那么需要在运行的时候设置一下参数,或者,在Linux下,大部分的程序支持http_proxy这个环境变量,设置这个环境变量,意味着程序将使用设置值作为代理。这样的问题在于,设置代理这个操作是不透明的,也就是说,客户端必须要知道代理的存在,需要手动设置将流量导入到代理,如果程序本身不支持代理,或者我们不希望执行所有程序的时候都手动设置代理,那么就需要一个相...
tproxy_TPROXY使用介绍
weixin_39844426的博客
12-20 1343
1、TPROXY是什么你可能听说过TPROXY,它通常配合负载均衡软件HAPrxoy或者缓存软件Squid使用。在所有"Proxy"类型的应用中都一个共同的问题,就是后端的目标服务器上看到的连接的Source IP都不再是用户原始的IP,而是前端的"Proxy"服务器的IP。拿HAProxy举例来说,假设你有3台后端Web服务器提供服务,前端使用HAProxy作为负载均衡设备。所有用户的HTTP访...
推荐开源项目:Quilkin——游戏服务器通信的UDP代理专家
最新发布
gitblog_00044的博客
05-14 369
推荐开源项目:Quilkin——游戏服务器通信的UDP代理专家 项目地址:https://gitcode.com/googleforgames/quilkin 项目介绍 Quilkin是由Google Forgames开发并开源的一款非透明UDP代理工具,专为大规模多人在线游戏服务器部署设计。它旨在提供安全、访问控制、遥测数据和监控指标等功能,而无需游戏客户端和服务器直接集成这些复杂功能。现在,Q...
Linux TPROXY
weixin_30644369的博客
07-17 511
利用iptables TPROXY target,可以在skb进入到协议栈之前,将skb关联到一个本地监听的socket,并且设置skb的fwmark。可以利用fwmark配置高级路由功能将非本地流量送到本地lo interface,从而能进入本地协议栈的处理。skb随后通过ip_rcv进入本地协议栈处理后,可以直接利用已关联的socket进行处理,而不需像普通的处理流程那样,使用skb中的tcp...
hev-socks5-tproxy:适用于 Linux 的简单、轻量级的 socks5 透明代理。 (TCPUDP over TCPIPv4IPv6)
08-04
HevSocks5Tproxy HevSocks5Tproxy 是一个简单、轻量级的 Linux 透明代理。 特征 IPv4/IPv6。 (双栈) 重定向 TCP 连接。 重定向 UDP 数据包。 (基于 TCP 的 UDP) 如何建造 Linux : git clone --recursive git://github.com/heiher/hev-socks5-tproxy cd hev-socks5-tproxy make 安卓: mkdir hev-socks5-tproxy cd hev-socks5-tproxy git clone --recursive git://github.com/heiher/hev-socks5-tproxy jni cd jni ndk-build 如何使用 配置 main : socks5 : port : 1080 a
haproxy透明代理配置TPROXY1
08-04
Haproxy 使用 tproxy 实现透明代理实验环境Server1 为代理服务器,有两个网卡用于对外服务gw 10.0.0.254 用于内网通讯Server
UDP.rar_Linux c++ udp _linux UDP
09-23
以上是基于Linux系统使用C++进行UDP编程的一些核心知识点,实践中还需要结合实际需求进行详细设计和优化。通过学习并实践"UDP.rar"中的源代码,开发者能够深入理解UDP编程的原理和技巧,为构建高效、可靠的网络应用...
udp.rar_linux c++ u_linux udp服务器
09-24
标题中的“udp.rar_linux c++ u_linux udp服务器”暗示了这是一个关于使用C++在Linux操作系统上实现UDP(用户数据报协议)服务器的项目。在这个项目中,开发者将创建一个简单的UDP回送程序,即客户端向服务器发送...
udp.rar_linux UDP_linux c udp_linux udp arm_udp linux
09-20
Linux环境下,我们可以使用标准的socket API来编写UDP程序。首先,通过`socket()`函数创建一个socket描述符,然后用`bind()`函数绑定本地的IP地址和端口号。对于服务器端,`recvfrom()`用于接收数据,并可以获取...
Udp.rar_Linux c++ udp _linux UDP_udp收发
09-21
本文将详细介绍如何使用C++在Linux环境下实现UDP的发送和接收功能。 一、UDP协议特点 1. 无连接:UDP在发送数据前不需要建立连接,因此它的开销小,速度快。 2. 不保证可靠性:UDP不保证数据包的顺序、不丢失、不...
tproxy透明代理帮助文档
12-27
tproxy透明代理帮助,里面详细介绍了Tproxy的规则及socket设置及相关的用法功能,希望对你有所帮助。
tproxy-example, 如何使用TPROXY代理tcp连接的示例.zip
09-18
tproxy-example, 如何使用TPROXY代理tcp连接的示例 tproxy示例Linux的防火墙是其中最强大的网络工具之一。 我最喜欢的特性之一是tproxy目标,它的名称意味着你可以以代理不同类型的连接。在寻找如何使用TPROXY的例子时,我突然出现了。 我唯一能找到的例子就是像Squid这样
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
02-01
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
TCP_UDP.rar_linux UDP
09-24
标题中的“TCP_UDP.rar_linux UDP”表明我们即将探讨的是在Linux操作系统环境中,TCP(传输控制协议)与UDP(用户数据报协议)之间的区别。这两种协议是网络通信中的基础部分,尤其在TCP/IP协议栈中占有核心地位。 ...
TPROXY - Transparent proxy - UDP program - RHEL6
chen_jianjian的专栏
02-26 2313
udp_tproxy.c /*  * # iptables -t mangle -N DIVERT  * # iptables -t mangle -A PREROUTING -p udp -m socket -j DIVERT  * # iptables -t mangle -A DIVERT -j MARK --set-mark 1  * # iptables -t mang
tproxy_配置 TPROXY 失败,各位给点意见?
weixin_30495789的博客
01-30 923
最近尝试配置树莓派做透明代理,按说明配置完 TPROXYUDP 协议的转发一直没有成功,调查后发现失败的原因是本地的 ss-redir 一直收不到内核 TPROXY 转发过来的数据包,iptables 是使用 ss-nat 进行配置的,尝试过:1、完全清理掉 iptables 再配置,失败2、自己写了个小程序替代 ss-redir,也收不到3、不使用 ss-nat,手动添加 iptables...
tproxy_Iptables+Tproxy+RedSocks(TCP/UDP)透明代理原理浅析
weixin_35950365的博客
01-30 4355
这两天闲着没事简单研究了下关于透明代理的方面的东西,有一些感想来记录下。先来简单说下透明代理的大体流程:1.用户将流量发送的网关服务器2.网关通过设置iptables、ip路由策略方式将感兴趣的流量截获并重定向代理应用程序3.代理应用程序通过某些方式获取原始目标的IP地址和port等信息 最后根据需求来定制实现不同的协议代理(如socks5)...一、第一步没什么好说 直接跳过 。二、 流量转发主...
iptables目标TPROXY
redwingz的博客
06-26 1939
TPROXY目标帮助信息如下。 如下配置,将目的端口80的报文设置标记1,并且送到本机监听在30080的套接口。 配置如下的IP路由策略,将标记为1的报文,送到本机回环设备lo处理,本机接收: 应用层程序,需要设置套接口IP层选项IP_TRANSPARENT(SOL_IP, IP_TRANSPARENT),以接收代理报文。函数xt_register_targets注册目标结构tproxy_tg_reg。 配置检查函数如下,对于IPv4协议,启用报文重组功能,透明代理仅支持TCP和UDP协议。 目标处理函数如
uint32_t udp_buff = {0}; udp_buff = count ++ UDP_buff[12] = udp_buff;
06-06
这段代码中存在一些语法错误。首先,`uint32_t udp_buff = {0};`应改为`uint32_t udp_buff = 0;`。其次,`UDP_buff[12] = udp_buff;`应改为`udp_buff[12] = udp_buff;`。另外,`count`变量的类型和值未定义,可能需要先声明和初始化。最终代码应该类似于: ``` uint32_t count = 0; uint32_t udp_buff = 0; udp_buff = count++; udp_buff[12] = udp_buff; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值