ROPE is een "match module" voor Linux iptables waarmee pakketten aan te passen met behulp van zeer flexibele regels, geschreven in een eenvoudig doel ontworpen scripttaal. Het werd aanvankelijk geschreven om steun voor de volgende fase van het P2PWall project voor het regelen van verschillende stijlen van peer-to-peer-applicatie verkeer te bieden, maar is veel breder dan dit in dat het mogelijk is toepassingen. Zie de Basics pagina voor een tutorial-stijl overzicht.
De wedstrijd modules van iptables regels maken om acties afhankelijk van de vraag of pakketten aan bepaalde criteria of niet nemen. De standaard distributie van Netfilter / iptables biedt een scala aan handige modules van dit type. Deze doorgaans toestaan types protocol (TCP of UDP), de bron en de bestemming adressen en poorten etc worden gecontroleerd.
Er is ook een reeks interessante "extra's" dan kan worden gecompileerd in de kernel om een aantal uitgebreide pakket matching functies. Een voorbeeld is de "string" module waardoor pakketten aan te passen op basis van het bestaan (of anderszins) van bepaalde strings waar ook data payload gedeelte van de pakketten. Er zijn een aantal andere verborgen schatten die kunnen worden gebruikt om de kenmerken van het systeem aanzienlijk te verlengen.
Om ROPE gebruiken om een match regel op te bouwen, moet u eerst om het touw scriptlet dat codeert je match criteria te schrijven. Als voorbeeld, kunnen we kijken naar de "Content-length 'header van een HTTP-download en controleer of de lengte niet meer dan 1000000 bytes met behulp van de volgende script ..
Dit script heeft de volgende stappen om het te laten werken:
1. Zoekopdrachten de gegevens lading van het pakket voor de string "Content-length", maar negeert brief geval als het zoekt.
2. Als de string niet wordt gevonden, stopt het script en een status "niet geëvenaard" te netfilter.
3. Indien de string wordt gevonden, het script neemt de cijfers dat het volgen en slaat ze als een string in het register $ n.
4. De string $ n wordt omgezet in een integer en vergeleken met het nummer 1000000. Als $ n groot is dan 1.000.000 vervolgens het script beëindigd en een status "matched" naar IPTables.
5. Anders, het script eindigt met de status "niet geëvenaard".
De taal waarin scripts zoals deze geschreven is gebaseerd op het idee van ReversePolish notatie maar uitgebreid tot het begrip AnchorBrackets verwerken. De taal wordt in detail gedocumenteerd in LanguageReference.
Reacties niet gevonden