IpTables Rope

мотузка "Модуль матч" для Linux Iptables що дозволяє виконувати фільтрацію пакетів, використовуючи гнучкі правила, написані в простій спеціально розроблений мови сценаріїв. Вона була написана спочатку, щоб забезпечити підтримку для наступного етапу проекту P2PWall для управління різні стилі рівний-рівному трафіку додатків, але набагато ширше, ніж це в його можливі застосування. Дивіться сторінку Основи для огляду підручник стилі.
Матч модулі IPTables дозволяють правила приймати дії залежно від співпадають пакети певним критеріям чи ні. Стандарт розподіл NETFILTER / Iptables надає широкий спектр корисних модулів цього типу. Вони, як правило, дозволяють типи протоколів (TCP або UDP), адреси джерела і призначення і портів тощо повинні бути перевірені.
Існує також безліч цікавих "Додатково", чим може бути в ядрі, щоб забезпечити деякі розширені функції відповідний пакет. Одним з таких прикладів є модуль "рядок", що дозволяє пакетам бути узгоджені на основі існування (або іншим чином) із зазначених рядків у будь-якому місці в корисному навантаженні даних частини пакетів. Є цілий ряд інших прихованих цінностей які можуть бути використані, щоб значно розширити можливості системи.
Для того, щоб використовувати мотузку, щоб створити правило матч, в першу чергу необхідно написати мотузкового скріптлет, який кодує ваші критерії відповідності. Як приклад, ми могли б шукати "Content-Length" заголовка HTTP-завантаження і перевірте, що довжина не перевищує 1000000 байт, використовуючи наступний сценарій ..
Цей сценарій має наступні кроки для того, щоб зробити його роботу:
1. Пошуки корисних даних пакета для рядка "Content-Length:", але ігнорує регістр букв, а він шукає.
2. Якщо рядок не знайдена, сценарій зупиняє і повертає "не відповідає" статус Netfilter.
3. Якщо рядок знайдена, сценарій приймає цифри, які слідують, і зберігає їх у вигляді рядка в регістр $ п.
4. Рядок в $ N перетворюється в ціле число і порівнюється з числом 1000000. Якщо $ п велике, ніж 1000000, то сценарій завершується і повертає "узгоджений" статус Iptables.
   5. В іншому випадку, скрипт припиняє з "не збігаються" статус.
Мова, якою скрипти, як це написано на основі ідеї позначень ReversePolish але розширена для обробки концепцію AnchorBrackets. Мова детально задокументовані в LanguageReference.