IpTables Rope

ROPE là một "trận đấu" module cho Linux iptables cho phép các gói tin phải được xuất hiện bằng cách sử dụng quy tắc linh hoạt cao, được viết trong một mục đích thiết kế ngôn ngữ kịch bản đơn giản. Nó được viết ban đầu để cung cấp hỗ trợ cho giai đoạn tiếp theo của dự án P2PWall cho việc kiểm soát các phong cách khác nhau của lưu lượng truy cập ứng dụng peer-to-peer, nhưng là rộng hơn nhiều so với điều này trong đó là khả năng sử dụng. Xem trang Khái niệm cơ bản cho một cái nhìn tổng quan hướng dẫn phong cách.
Các mô-đun trận đấu của iptables cho phép quy định để có những hành động tùy thuộc vào việc các gói tin phù hợp với các tiêu chí nhất định hay không. Sự phân bố chuẩn của netfilter / iptables cung cấp một loạt các module hữu ích của loại hình này. Những thông thường cho phép các loại giao thức (TCP hoặc UDP), nguồn và địa chỉ đích và cổng vv để được kiểm tra.
Ngoài ra còn có một bộ thú vị "phụ trội" hơn có thể được biên dịch vào hạt nhân để cung cấp một số tính năng phù hợp gói mở rộng. Một ví dụ là module "chuỗi", cho phép các gói tin phải được xuất hiện trên cơ sở của sự tồn tại (hoặc không) của chuỗi được chỉ định bất cứ nơi nào trong phần tải trọng dữ liệu của gói tin. Có một số kho báu ẩn khác có thể được sử dụng để mở rộng đáng kể các tính năng của hệ thống.
Để sử dụng ROPE để xây dựng một quy tắc trận đấu, trước tiên bạn cần phải viết các scriptlet ROPE mã hóa các tiêu chí phù hợp của bạn. Như một ví dụ, chúng ta có thể tìm "Content-length" header của một download HTTP và kiểm tra xem chiều dài không vượt quá 1000000 bytes sử dụng các kịch bản sau đây ..
Kịch bản này có các bước sau đây để làm cho nó làm việc:
1. Tìm kiếm các tải trọng dữ liệu của gói tin cho chuỗi "Content-length:", nhưng bỏ qua trường hợp thư như nó tìm kiếm.
2. Nếu chuỗi không được tìm thấy, kịch bản dừng lại và trả về một "không phù hợp" trạng thái để netfilter.
3. Nếu chuỗi được tìm thấy, các kịch bản có các chữ số mà theo nó, và lưu trữ chúng như là một chuỗi trong sổ đăng ký $ n.
4. Các chuỗi trong $ n được chuyển đổi sang một số nguyên và so sánh với số 1000000. Nếu $ n là lớn hơn 1000000 sau đó kịch bản kết thúc và trả về một "phù hợp với" trạng thái để iptables.
   5. Nếu không, các kịch bản kết thúc với một "không phù hợp" trạng thái.
Các ngôn ngữ trong đó kịch bản như thế này được viết dựa trên ý tưởng của ReversePolish ký hiệu nhưng mở rộng để xử lý các khái niệm về AnchorBrackets. Các ngôn ngữ được ghi chi tiết trong LanguageReference.