Модификация проходящего траффика

Если речь про HTTP/HTTPS — то поставь прозрачный Squid и просто сделай свой ICAP-сервер.

Знаю о Squid'e. Забыл уточнить,что нужно обрабатывать ВЕСЬ траффик.

в Job

Простите, что? :)

Напишите ТЗ в Job - кто-нибудь выполнит его вам за $

Спасибо, но я хочу сделать это сам. Тем более, что я не прошу написать вместо меня код, а лишь спрашиваю «направление» поиска и изучения

тогда теги почисть

Какая-то каша. netmap это способ бысто передать (профильтровать) пакеты через user-space приложение. netmap-ipfw это уже сам firewall, который, вроде как вам не нужен, если вам нужно:

организовать поток пакетов через свое приложение

Для чего вам нужен IP-aliasing не понятно, и ещё непонятнее то, что в случаее с netmap-ipfw он вам получается не нужен.

netmap это большне скорости 10 Гбит/с, а у вас wifi, близко не валялось. ИМХО, получайте пакеты через iptables NFQUEUE и хватит вам.

BSD: http://www.enderunix.org/docs/en/pfil_hook.html Linux: http://phrack.org/issues/61/13.html

уау, спасибо большое.

Fetterless

entfettet.

Тебе нужен netfilter. Модуль ядра пишется довольно несложно.

Огромное спасибо за ссылку :)

Окей, впринципе, после гугления тоже пришел к этому варианту. Я правильно понял, что это все дело желательно сделать как модуль ядра, т.к. передача от ядра в user-space очень ресурсозатратна? (например тот же iptables NFQUEUE, который как вариант советовали выше). А сообщения между ядром и userspace базируются на сообщениях, посылаемых через NETLINK сокет, по этому нету такой важной штуки как zero-copy.

Есть ли какие то успехи у вас ?

Да, всё примерно так. Копирование не очень ресурсозатратно, но при большой нагрузке аукнется. Zero copy нет по причинам безопасности, но при большом желании можно смапить в процесс страницы из ядра. А вообще интересно узнать подробнее о самой задаче.

Задача состоит в том, чтобы сделать свою реализацию IPSec для построения VPN'a. Знаю, что можно нарыть уже готовые исходники, но хочется именно свою реализацию.

Работа продвигается медленно, но уверенно, т.к. занимаюсь этим в свободное время (от работы, друзей и т.п.)

Интересно, молодец!

Код выкладываться будет? Просто сам работаю в ISP и ищу такое же решение

Найдите себе книжку «Understanding Linux Network Internals» и внимательно посмотрите на фигуру 18.1

Если вы собираетесь вставлять в проходящие пакеты какие-то свои служебные заголовки связанные с шифрованием, то нужно внимательно относиться к моменту фрагментации. IPSec не зря так глубоко интегрирован в стэк, в отличие от прочих VPN.

Например на хуке NF_IP_POST_ROUTING вставлять ничего нельзя, ибо фрагментация данных уже завершена. Можно лишь зашифровать payload и поправить checksum - эдакая stealth-security без всяких служебных заголовков, относящихся к шифрованию.

Это первое, что приходит в голову, если вы хотите реализовать прямо-таки IPSec-IPSec

Думаю, вряд ли :)

Не поверите - как раз уже почитываю ее. Кстати, фигура 18.1 - схема касательно ext3

почему ?)