<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
<p class="MsoNormal">Hello,<o:p></o:p></p>
<p class="MsoNormal">I am trying to use netfilter to program my own firewall. To
make a forwarding test to the local machine, I made a test program that change
a certain destination IP address in the PRE ROUTING HOOK to my local machine, I
changed back the source IP address in the POST ROUTING hook to the old
destination address. I computed TCP and IP checksums in this hook but I still
have a bad TCP checksum on the receiver. I can see in the POST ROUTING hook
that my checksum was changed! Below is my code<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">#include <linux/module.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/kernel.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/proc_fs.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/list.h><o:p></o:p></p>
<p class="MsoNormal">#include <asm/uaccess.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/udp.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/tcp.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/skbuff.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/ip.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/netfilter.h><o:p></o:p></p>
<p class="MsoNormal">#include <linux/netfilter_ipv4.h><o:p></o:p></p>
<p class="MsoNormal">#include <net/ip.h><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">static struct nf_hook_ops nfho;<o:p></o:p></p>
<p class="MsoNormal">static struct nf_hook_ops nfho_out;<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">unsigned int hook_func_in(unsigned int hooknum, struct
sk_buff *skb, <o:p></o:p></p>
<p class="MsoNormal"> const struct
net_device *in, const struct net_device *out,<o:p></o:p></p>
<p class="MsoNormal"> int (*okfn)(struct
sk_buff *)) {<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> u32 local =
1090627776; //my machine IP 192.168.1.65<o:p></o:p></p>
<p class="MsoNormal"> struct iphdr
*ip_header = (struct iphdr *)skb_network_header(skb);<o:p></o:p></p>
<p class="MsoNormal"> struct tcphdr
*tcp_header = (struct tcphdr *)skb_transport_header(skb);<o:p></o:p></p>
<p class="MsoNormal"> unsigned int src_port
= (unsigned int)ntohs(tcp_header->source);<o:p></o:p></p>
<p class="MsoNormal">
ip_header->daddr = local;<o:p></o:p></p>
<p class="MsoNormal"> //printk(KERN_INFO
"PRE: saddr: %pI4 %u, daddr: %pI4, %u", &ip_header->saddr,
ip_header->saddr, &ip_header->daddr, ip_header->daddr);<o:p></o:p></p>
<p class="MsoNormal"> //printk("IN
saddr: %pI4 daddr: %pI4 len: %u check: %x\n", &ip_header->saddr,
&ip_header->daddr, src_port, tcp_header->check); <o:p></o:p></p>
<p class="MsoNormal"> return
NF_ACCEPT; <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">}<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">unsigned int hook_func_out(unsigned int hooknum, struct
sk_buff *skb, const struct net_device *in, const struct net_device *out,<o:p></o:p></p>
<p class="MsoNormal"> int
(*okfn)(struct sk_buff *)) <o:p></o:p></p>
<p class="MsoNormal">{<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> struct iphdr
*ip_header = (struct iphdr *)skb_network_header(skb);<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> u32 dest =
388809389; //the old destination ip<o:p></o:p></p>
<p class="MsoNormal"> ip_header->saddr
= dest;<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> struct tcphdr
*tcp_header = (struct tcphdr *)skb_transport_header(skb);<o:p></o:p></p>
<p class="MsoNormal">
tcp_header->check = 0;<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> int len =
skb->len-20;<o:p></o:p></p>
<p class="MsoNormal"> unsigned int
src_port = (unsigned int)ntohs(tcp_header->source);<o:p></o:p></p>
<p class="MsoNormal">
tcp_header->check = csum_tcpudp_magic(ip_header->saddr,
ip_header->daddr, len, IPPROTO_TCP, csum_partial((char *)tcp_header, len,
0));<o:p></o:p></p>
<p class="MsoNormal">
ip_header->check = 0;<o:p></o:p></p>
<p class="MsoNormal"> ip_send_check
(ip_header);<o:p></o:p></p>
<p class="MsoNormal"> //to check changes<o:p></o:p></p>
<p class="MsoNormal"> printk(
"saddr: %pI4 daddr: %pI4 check: %x\n", &ip_header->saddr,
&ip_header->daddr,
tcp_header->check);<o:p></o:p></p>
<p class="MsoNormal"> int i;<o:p></o:p></p>
<p class="MsoNormal"> for (i=0;
i<skb->len; i++)<o:p></o:p></p>
<p class="MsoNormal">
printk("%x", skb->data[i]);<o:p></o:p></p>
<p class="MsoNormal">
printk("\n");<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> return
NF_ACCEPT; <o:p></o:p></p>
<p class="MsoNormal"> }<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> /* Initialization
routine */<o:p></o:p></p>
<p class="MsoNormal"> int init_module() {<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> printk(KERN_INFO
"initialize kernel module\n");<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> /* Fill in the
hook structure for incoming packet hook*/<o:p></o:p></p>
<p class="MsoNormal"> nfho.hook =
hook_func_in;<o:p></o:p></p>
<p class="MsoNormal"> nfho.hooknum =
NF_INET_PRE_ROUTING;<o:p></o:p></p>
<p class="MsoNormal"> nfho.pf =
PF_INET;<o:p></o:p></p>
<p class="MsoNormal"> nfho.priority =
NF_IP_PRI_FIRST;<o:p></o:p></p>
<p class="MsoNormal">
nf_register_hook(&nfho);
// Register the hook<o:p></o:p></p>
<p class="MsoNormal"> /* Fill in the
hook structure for outgoing packet hook*/<o:p></o:p></p>
<p class="MsoNormal"> nfho_out.hook =
hook_func_out;<o:p></o:p></p>
<p class="MsoNormal"> nfho_out.hooknum
= NF_INET_POST_ROUTING;<o:p></o:p></p>
<p class="MsoNormal"> nfho_out.pf =
PF_INET;<o:p></o:p></p>
<p class="MsoNormal"> nfho_out.priority
= NF_IP_PRI_FIRST;<o:p></o:p></p>
<p class="MsoNormal">
nf_register_hook(&nfho_out);
// Register the hook<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> return 0;<o:p></o:p></p>
<p class="MsoNormal"> }<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> /* Cleanup routine
*/<o:p></o:p></p>
<p class="MsoNormal"> void
cleanup_module() {<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">
nf_unregister_hook(&nfho);<o:p></o:p></p>
<p class="MsoNormal">
nf_unregister_hook(&nfho_out);<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> printk(KERN_INFO
"kernel module unloaded.\n");<o:p></o:p></p>
<p class="MsoNormal"> }<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Would you please help me, I spent 10 days working on this
issue and not solved yet.<o:p></o:p></p>
<p class="MsoNormal">Best,<o:p></o:p></p> </div></body>
</html>