nftables 如何匹配的 TCP 中存在 Payload 数据包?

你的具体需求是什么

@birdvdsk 我需要使用 nftables 把包含 payload 的 TCP 数据包 hook 到用户态的 nfqueue 进行处理，之前的做法是对全部的 TCP 数据包进行 hook ，但是性能损耗太大，所以想要加一层过滤。

可以利用 tcp 标志位，将 ACK ，PSH ，FIN 等可能携带数据的数据包使用 nftables 过滤。但是话说回来，经过 Linux 网络栈的情况下进行性能优化是比较困难的。

语法要换成“比较 + 加法/移位”，不必写减法链式公式。

nft add rule inet payload_queue pre ip protocol tcp \
ip length > (ip hdrlength << 2) + (tcp doff << 2) \
queue num 100 bypass

@luojiyin87 似乎有语法错误？ Error: syntax error, unexpected hdrlength, expecting ')'

@birdvdsk 我也有想到，但是只用 flag 可能有漏报吧

试着读一下 payload 呢
@th,0,8 & 0 == 0

th -> ih

@unused 这个方法刚刚我也发现了，但是 ih 似乎需要比较新的 nftables 版本，旧版本不支持🥲

TCP 头，长度不固定。没有 @ih 应该不好匹配...
这些规则，曾用于：将选项 MSS 替换为 NOP （相当于，删除 MSS ）
tcp flags syn @th,160,8 set 1 continue
tcp flags syn @th,168,8 set 1 continue
tcp flags syn @th,176,8 set 1 continue
tcp flags syn @th,184,8 set 1

试试 eBPF 呗

直接用 DPDK 吧？

eBPF 解万忧

iptables 倒是有 -m bpf 可以做，不过 nft 说这个不优雅，不要了
要么就上 ebpf 吧，或者 nfqueue/rawsocket 用户态实现
顺便说。用命令行查看计数器这个操作也挺慢的。