quetzalcoatl napisał(a)
co do pisania modulow - raczej skupilbym sie na tym, czy do samego iptables/packetfiltera nie mozna przypadkiem napisac modulow. wlasciwie to jestem pewien ze mozna, tylko nie wiem jak, nie bawilem sie tym
Pisac moduly do iptables na pewno mozna, ale zastanawia mnie jedno, czy taki nasz modul i tak nie bedzie dzialal na poziomie kernela? iptables sklada sie z dwoch czesci: iptables z przestrzeni uzytkownika i iptables z przestrzeni kernela. Poleceni iptables sluzy chyba tylko do zapisywania informacji do modulow, natomiast juz samo przetwarzanie pakietow nastepuje tylko na poziomie kernela - wiec i tak czy tak jezeli chcesz napisac cos do iptables mozesz napisac modul do firewalla ale i tak bedzie to przestrzen kernela. Jezeli chcielibysmy uniknac przestrzeni kernela wtedy iptables musialoby byc inaczej zaprojektowane - jeden maly modul na poziomie kernela i daemon w przestrzeni uzytkownika ktory bedzie przetwarzal pakiety.
Na iptables nie znam sie za dobrze, to co napisalem wynika tylko z obserwacji ;-)
UPDATE:
korzystajac z chwili wolnego czasu poszukalem troche inforamcji, na stronie netfilter.org w netfilter hacking jest taki rozdzial:
"Packet Handling in Userspace"
niestety za duzo tam nie napisali, mozna wyciagnac tylko to ze uda sie zarzadzac pakietami piszac normalne programy, sluzy do tego libipq, pisza rowniez ze jesli masz doczynienia z duzymi przepustowosciami to moze to nie dzialac dosc wydajnie:
http://www.netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO-4.html#ss4.7