CORDA é um "módulo de partida" para Linux iptables que permite que os pacotes a ser correspondido usando regras altamente flexíveis, escritos em uma linguagem de script simples concebido para o efeito. Ele foi escrito inicialmente para fornecer suporte para a próxima fase do projeto P2PWall para controlar vários estilos de tráfego de aplicações peer-to-peer, mas é muito mais amplo do que este em que é usos possíveis. Veja a página de Fundamentos para uma visão geral de estilo tutorial.
Os módulos jogo de iptables regras de permissão para tomar ações dependendo se os pacotes correspondem a determinados critérios ou não. A distribuição padrão do netfilter / iptables oferece uma gama de módulos úteis deste tipo. Estes geralmente permitem que endereços e portas etc tipos de protocolo (TCP ou UDP), origem e de destino a ser verificado.
Há também um conjunto de interessantes "extras" que podem ser compilados no kernel para fornecer algumas características correspondentes pacotes estendidos. Um tal exemplo é o módulo de "corda", que permite que os pacotes de ser compensada com base na existência da (ou de outra forma) de cordas especificado em qualquer lugar na parte de carga de dados dos pacotes. Há um certo número de outros tesouros escondidos que podem ser utilizados para prolongar significativamente as características do sistema.
Para utilizar CORDA para construir uma regra de jogo, primeiro você precisa escrever o scriptlet CORDA que codifica seus critérios de correspondência. Como exemplo, podemos olhar para o "Content-length" cabeçalho de um download HTTP e verifique se o comprimento não ultrapasse 1000000 bytes usando o seguinte script ..
Este script tem os seguintes passos a fim de fazê-lo funcionar:
1. Pesquisas da carga útil de dados do pacote para a cadeia "Content-length:", mas ignora carta caso, como ele procura.
2. Se a cadeia não for encontrado, o script pára e retorna um status "não correspondido" para netfilter.
3. Se a string é encontrada, o script leva os dígitos que o seguem, e armazena-los como uma string no registo $ n.
4. A seqüência entre $ n é convertido para um inteiro e comparado com o número 1000000. Se $ n é grande de um milhão, em seguida, o script termina e retorna um status "combinado" para iptables.
5. Caso contrário, o script termina com um status "não correspondido".
O idioma no qual os scripts como este são escritos é baseado na idéia de notação ReversePolish mas estendido para lidar com o conceito de AnchorBrackets. A linguagem está documentada em detalhes em LanguageReference.
Comentários não encontrado