https://opennet.ru/openforum/vsluhforumID1/96272.html Уважаемые форумчане!<br>Можно ли с помощью iptables изменить содержимое TCP пакета?<br>Поясню для чего это надо. Есть некоторая мультимедийная система, которая по TCP протоколу договаривается с другой, такой же, об обмене информацией. И при этом они присылают свои IP адреса в теле TCP пакета. После этого обмена они просто начинают кидаться друг в друга UDP пакетами по присланным адресам. <br>Так вот, когда системы находятся в реальном Интернете с белыми адресами, проблем не возникает. Они обменялись реальными адресами и начали кидаться UDP пакетами по этим же реальным адресам.<br>Но так получается, что одну систему надо запрятать за NAT, не спрашивайте почему, просто надо. Тут и начинается самое интересное, теперь эта система передаёт другой системе не реальный белый IP адрес, а адрес локальной сети, в которой находится, например 172.16.77.2. В результате другая система начинает кидать свои UDP пакеты в Интернет на этот не реальный адрес, и, понятно, что они уходят в никуда и до первой системы не доходят.<br>На разделе https://opennet.ru/openforum/vsluhforumID1/96272.html#8 Thu, 03 Sep 2015 04:24:22 GMT &gt; Система такая...<br>&gt; http://www.avaya.com/ru/product/avaya-scopia-xt-video-conferencing/ <br><br>The Avaya Scopia&#174; XT Series fully supports NAT and firewall traversal, enabling you to place the unit<br>[b]behind a NAT router or firewall and connect with other endpoints seamlessly[/b]. This section describes the<br>available methods to incorporate NAT and firewall traversal with XT Series:<br><br>Читать доки пробовал?<br>https://downloads.avaya.com/css/P8/documents/100179342<br> https://opennet.ru/openforum/vsluhforumID1/96272.html#7 Thu, 03 Sep 2015 03:18:48 GMT Подними vpn между точками. Скорее всего нужно использовать stuns в таких случаях. Он там должен быть в настройка.<br> https://opennet.ru/openforum/vsluhforumID1/96272.html#6 Wed, 02 Sep 2015 17:38:13 GMT &gt; по моему мнению нужно добавить в конфигурацию мультимедийной системы возможность вписывать <br><br>Увы, не я добавляю функционал.<br><br>Сдаётся мне, что всё это нормально делает модуль ядра nf_conntrack_h323.<br>Завтра буду пробовать.<br> https://opennet.ru/openforum/vsluhforumID1/96272.html#5 Wed, 02 Sep 2015 16:58:32 GMT &gt; вообще говоря система еба^W странная <br>&gt; нууу обменялись они пакетами по tcp с адресами - udp это ка <br>&gt; гбы другой протокол, как нат вообще узнает куда кинуть udp пакет <br>&gt; который прилетел снаружи если небыло исходящего???<br>&gt; а вариант что помимо адреса может передаваться порт? как тогда вообще?<br>&gt; что за система то можно узнать?<br><br>Куда кидать UDP, они как раз в ходе TCP сессии и договариваются. Естественно, с адресом передаётся и порт. Типа так...<br><br>А - имеет белый адрес 8.8.8.8 (адреса вымышленные, все совпадения случайны)<br>Б - имеет белый адрес 8.8.4.4 <br><br>TCP сессия:<br>А-&gt;Б. Слушаю тебя на UDP 8.8.8.8:3240<br>Б-&gt;А А я тебя слушаю на UDP 8.8.4.4:4350<br><br>Ну а дальше А херачит UDP на 8.8.4.4:4350 (на Б), а Б на 8.8.8.8:3240<br><br>Вот когда эти адреса реальные, то проблем и не возникает. Но стоит узел А засунуть в локалку за NAT, то адрес у него будет уже не 8.8.8.8, а 172.16.77.4. А 8.8.8.8 - это будет сам NAT.<br><br>Ну и обмен будет уже, соответственно, другой...<br><br>А-&gt;Б. Слушаю тебя на UDP 172.16.77.4:3240<br>Б- https://opennet.ru/openforum/vsluhforumID1/96272.html#4 Wed, 02 Sep 2015 16:28:57 GMT &gt;[оверквотинг удален]<br>&gt; не доходят.<br>&gt; На разделе LAN и WAN стоит маршрутизатор (Gentoo, iptables, NAT). Вот на <br>&gt; нём и надо провести это мероприятие, перехватить TCP пакет, в теле <br>&gt; которого содержится комбинация AC104D02 (hex-представление адреса 172.16.77.2) и заменить <br>&gt; её другой, с реальным IP адресом, на который и будут потом <br>&gt; бросаться UDP пакеты.<br>&gt; Отловить этот пакет я могу при помощи расширения iptables -m string --hex-string <br>&gt; "AC104D02".<br>&gt; А вот как его не только отловить, но и заменить эти 4 <br>&gt; байта другими?<br><br>Помоему организация этого дела в корне не правильна...<br><br>по моему мнению нужно добавить в конфигурацию мультимедийной системы возможность вписывать IP адрес белого маршрутизатора, что бы именно этот адрес отправлялся другой системе, а уж как это занатить и куда форварднуть пусть смотрят шлюзы.<br> https://opennet.ru/openforum/vsluhforumID1/96272.html#3 Wed, 02 Sep 2015 16:20:37 GMT вообще говоря система еба^W странная<br>нууу обменялись они пакетами по tcp с адресами - udp это ка гбы другой протокол, как нат вообще узнает куда кинуть udp пакет который прилетел снаружи если небыло исходящего???<br>а вариант что помимо адреса может передаваться порт? как тогда вообще?<br>что за система то можно узнать?<br><br> https://opennet.ru/openforum/vsluhforumID1/96272.html#2 Wed, 02 Sep 2015 15:55:57 GMT &gt; шо это за протокол?<br>&gt; так навскидку в голову не приходит <br>&gt; гугл грит http://serverfault.com/questions/318960/easy-way-to-edit-the-traffic-coming-from-a-tcp-host-linux <br>&gt; ну или самому helper для nf/conntrack писать <br><br>H.323. Система видеоконференцсвязи. Сейчас копаю ядро на предмет netfilter, смотрю, там есть приблуда для него. Пытаюсь вникнуть.<br> https://opennet.ru/openforum/vsluhforumID1/96272.html#1 Wed, 02 Sep 2015 13:58:30 GMT шо это за протокол?<br><br>так навскидку в голову не приходит<br>гугл грит http://serverfault.com/questions/318960/easy-way-to-edit-the-traffic-coming-from-a-tcp-host-linux<br><br>ну или самому helper для nf/conntrack писать<br><br>