nftables 貌似不支持 ip length - ip hdrlength * 4 - tcp doff * 4 > 0 这种算术操作。
This topic created in 164 days ago, the information mentioned may be changed or developed.
 | 1 birdvdsk Dec 11, 2025 via Android 你的具体需求是什么 |
 | 2 SunBK201 OP @birdvdsk 我需要使用 nftables 把包含 payload 的 TCP 数据包 hook 到用户态的 nfqueue 进行处理,之前的做法是对全部的 TCP 数据包进行 hook ,但是性能损耗太大,所以想要加一层过滤。 |
| 3 birdvdsk Dec 11, 2025 via Android  1 可以利用 tcp 标志位,将 ACK ,PSH ,FIN 等可能携带数据的数据包使用 nftables 过滤。但是话说回来,经过 Linux 网络栈的情况下进行性能优化是比较困难的。 |
 | 4 luojiyin87 Dec 11, 2025 1 语法要换成“比较 + 加法/移位”,不必写减法链式公式。 nft add rule inet payload_queue pre ip protocol tcp \ ip length > (ip hdrlength << 2) + (tcp doff << 2) \ queue num 100 bypass |
| 5 SunBK201 OP @luojiyin87 似乎有语法错误? Error: syntax error, unexpected hdrlength, expecting ')' |
 | 8 unused Dec 11, 2025 1 th -> ih |
 | 10 xqzr Dec 11, 2025 |
 | 11 JoeSmith Dec 11, 2025 试试 eBPF 呗 |
 | 12 ysc3839 Dec 11, 2025 via Android 直接用 DPDK 吧? |
 | 13 v1 Dec 11, 2025 eBPF 解万忧 |
 | 14 maybeonly Dec 12, 2025 iptables 倒是有 -m bpf 可以做,不过 nft 说这个不优雅,不要了 要么就上 ebpf 吧,或者 nfqueue/rawsocket 用户态实现 顺便说。用命令行查看计数器这个操作也挺慢的。 |
Select Language