IP 标头中有一个选项 130 - 在 RFC 1108 中指定,它为 IP 数据包添加了一些安全选项,如强制访问控制级别和类别。我的任务是尝试仅通过 Linux 系统实用程序(如 iptables)修改至少级别(从选项的第 3 个字节开始)。我尝试使用 MANGLE 表,但没有找到合适的操作。用 C 开发模块对我来说太难了。有没有办法做我尝试过的事情?只能通过 Linux 系统实用程序和内核空间,因为需要高性能
UPD。我最终用两个 iptables 模块完成了它 - ipt-so 和 iptables-OVERWRITE,它们可以在 Github 上找到。
ipt-so 模块增加了根据 130 个选项值过滤数据包的能力(因此,可以标记它们以便之后进行修改)
OVERWRITE 只是在数据包中指定的偏移量处写入指定的字节
这不是正确的方法,而且非常不稳定。另外,我不确定其性能,但这是唯一可行的方法,无需为 netfilter 实现特殊模块。