ROPEは、単純な目的に設計されたスクリプト言語で記述された非常に柔軟なルールを使用してパケットを一致させることができるLinuxのiptablesのための「照合モジュール」です。これは、ピア·ツー·ピアアプリケーショントラフィックの様々なスタイルを制御するためのP2PWallプロジェクトの次の段階のサポートを提供するために最初に書かれていますが、それは可能な使用だでこれよりもはるかに広いですしました。チュートリアル形式の概要については、基本ページを参照してください。
iptablesのマッチのモジュールは、ルールは、パケットが特定の条件に一致するか否かに応じてアクションを実行することができます。のnetfilter / iptablesの標準的な分布は、このタイプの有用なモジュールの範囲を提供します。これらは、典型的には、プロトコルタイプ(TCPまたはUDP)、送信元アドレスと宛先アドレスとポートなどを確認することを可能にします。
いくつかの拡張パケットマッチング機能を提供するために、カーネルにコンパイルすることができるよりも面白い「エキストラ」のセットもあります。その一例は、パケットがどこでもパケットのデータペイロード部分に指定された文字列のexistance(またはその他)に基づいて照合することができ、「文字列」モジュールです。大幅にシステムの機能を拡張するために使用することができ、他の隠された財宝の数があります。
一致ルールを構築するためにロープを使用するには、まず自分の一致基準を符号化ROPEスクリプトレットを記述する必要があります。例として、我々はHTTPダウンロードの「コンテンツ長」ヘッダを探し、長さは次のスクリプトを使用して、1000000バイトを超えていないことを確認できました..
このスクリプトは、それを動作させるためには、以下のステップがあります。
1.検索文字列のためのパケットのデータペイロード「コンテンツの長さを: "が、それは検索時に大文字小文字を無視します。
2.文字列が見つからない場合、スクリプトが停止し、netfilterのに「一致しない」状態を返します。
文字列が見つかった場合、スクリプトはそれに続く数字を取り、レジスタ$ Nの文字列として保存し3。
$ nは1000000よりも大きい場合4. $ nの列を整数に変換し、番号1000000と比較され、スクリプトは終了とiptablesに「一致する」状態を返します。
5.それ以外の場合は、スクリプトは「一致しない」状態で終了します。
このようなスクリプトが書かれている言語はReversePolish表記の考え方に基づいていますが、AnchorBracketsの概念を処理するために拡張されます。言語はLanguageReferenceに詳細に記載されています。
コメントが見つかりません