🤘🏾 🧑🏾‍🤝‍🧑🏻 👨🏾‍🤝‍👨🏽 लिनक्स क्यूओएस: यू 32 फिल्टर 👆🏽 ㊙️ ⚽️

ऐसा हुआ कि लिनक्स कर्नेल ट्रैफिक मैनेजमेंट सबसिस्टम में U32 फ़िल्टर सरल और समझ में आता है, और इसलिए इसे विस्तृत प्रलेखन की आवश्यकता नहीं है। उदाहरण के लिए, LARTC (लिनक्स एडवांस्ड रूटिंग एंड ट्रैफिक कंट्रोल) में इसके बारे में कुछ ही पैराग्राफ हैं। लेकिन वास्तव में, U32 बहुत अधिक जटिल और दिलचस्प है, लेकिन यह उपयोग करने के लिए उतना सरल नहीं है जितना यह लग सकता है। बिल्ली के नीचे उपयोग और विस्तृत स्पष्टीकरण के उदाहरण के साथ इस फिल्टर पर एक लेख है।

तुलना

और इसलिए, U32 फ़िल्टर का मुख्य कार्य यह है कि यह पैकेट से डेटा का एक ब्लॉक लेता है और दिए गए मूल्य के साथ तुलना करता है। यदि मान मेल खाते हैं, तो पैकेज पर कुछ क्रियाएं की जाती हैं। पैकेज में डेटा ब्लॉक निम्नलिखित मापदंडों द्वारा निर्दिष्ट किया गया है:

डेटा ब्लॉक का आकार। यह मापदंडों द्वारा निर्धारित किया जाता है u32 / u16 / u8। सहज रूप से, संख्याएं बिट्स में एक ब्लॉक की लंबाई हैं। कर्नेल 32 बिट ब्लॉक के साथ काम करता है। टीसी में, आप ब्लॉक की लंबाई 8, 16 और 32 बिट्स पर सेट कर सकते हैं।
बिट मास्क। यह आवश्यक है यदि आपको संपूर्ण डेटा ब्लॉक की जांच करने की आवश्यकता नहीं है, लेकिन केवल इसके व्यक्तिगत बिट्स। स्वाभाविक रूप से, मुखौटा की लंबाई ब्लॉक की लंबाई से मेल खाना चाहिए। बिटक्वांड और ऑपरेशन का उपयोग करके ब्लॉक पर मास्क लगाया जाता है, और इस ऑपरेशन के परिणाम की पहले से ही निर्धारित मूल्य के साथ तुलना की जाती है।
पैकेट की शुरुआत से परेशान। सभी ऑफसेट 32-बिट सीमा पर संरेखित होते हैं। सब कुछ उतना स्पष्ट नहीं है जितना लगता है, और हम इस बारे में बाद में बात करेंगे, लेकिन अभी के लिए यह सरलीकरण पर्याप्त है। शून्य की एक ऑफसेट, ज्यादातर मामलों में, नेटवर्क परत हेडर की शुरुआत से मेल खाती है, अर्थात। IPv4 / IPv6 पैकेट के ऊपर।

उदाहरण के लिए, निम्नलिखित tc कमांड का उदाहरण लें:

tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ u32 \ match u32 0xc0a80100 0xffffff00 at 12 \ classid 1:8

हम eth0 के अनुशासन 1: 0 के 10 के प्राथमिकता के साथ प्रकार u32 का एक फिल्टर जोड़ते हैं। और यदि तुलना सफल होती है, तो पैकेज कक्षा 1: 8 में गिर जाएगा। सातवीं पंक्ति हमारे लिए विशेष रूप से दिलचस्प है, हम इस पर विस्तार से विचार करेंगे:

मैच u32 - मिलान स्थिति की शुरुआत और पैकेट से लिए जाने वाले डेटा ब्लॉक के आकार को निर्धारित करता है।
0xc0a80100 वह मान है जिसके साथ हम पैकेट से बिट्स की तुलना करेंगे।
0xffff0000 एक बिटमास्क है जिसे पैकेट से डेटा पर सुपरइम्पोज़ किया जाएगा, और परिणाम की तुलना पहले से ही सेट की गई चीज़ों के साथ की जाएगी। यदि हमारे मूल्य और नकाबपोश डेटा ब्लॉक समान हैं, तो कुछ कार्य किए जाते हैं। सबसे अधिक बार, यह क्रिया पैकेज का वर्गीकरण होगा।
12 पर - शुरुआत से ऑफसेट, जिस पर डेटा ब्लॉक की शुरुआत स्थित है। यदि यह पैरामीटर निर्दिष्ट नहीं है, तो ऑफसेट शून्य के बराबर माना जाता है। फ़िल्टर की शुरुआत में, शून्य सीमा को एक नेटवर्क लेयर हेडर की शुरुआत माना जाता है, जैसे कि IPv4। नकारात्मक संतान भी संभव है।

इन चरणों के साथ हम स्रोत पते की जांच करते हैं (यह देखा जा सकता है यदि आप IPv4 हेडर के प्रारूप को देखते हैं), और यदि यह 192.168.1.0/24 सबनेट से संबंधित है, तो हम पैकेट को 1: 8 वर्ग में भेजते हैं। बेशक, RFC में लगातार खुदाई करना बहुत थकाऊ है, और सभी पूर्वाग्रहों को ध्यान में रखना मुश्किल है, इसलिए टीसी आमतौर पर उपयोग किए जाने वाले मामलों के लिए सिंटैक्टिक चीनी प्रदान करता है। उदाहरण के लिए, यदि आप इसे इस तरह लिखते हैं तो हमारा उदाहरण बहुत स्पष्ट हो जाता है:

 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ u32 \ match ip src 192.168.1.0/24 \ classid 1:8

आप एक कमांड में कई "मैच" मापदंडों को निर्दिष्ट कर सकते हैं, और मैच तभी सफल होगा जब सभी शर्तें पूरी हों। 192.168.1.0/24 के स्रोत पते और कक्षा 1: 1 के लिए 0x10 (इंटरएक्टिव ट्रैफ़िक) का TOS मान के साथ सभी पैकेट भेजें।

 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ u32 \ match ip src 192.168.1.0/24 \ match ip tos 0x10 0x1e \ classid 1:1

जांचें कि क्या सब कुछ सही ढंग से काम करता है:

 #   ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 (rule hit 1911 success 0) match c0a80100/ffffff00 at 12 (success 0 ) match 00100000/001e0000 at 0 (success 0 ) #   -p,  tc     #   ,   -  ~$ tc -s -pf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 (rule hit 3413 success 0) match IP src 192.168.1.0/24 (success 0 ) (success 0 ) # -       ToS $ ping -f -I 192.168.1.1 -Q 0x10 www.ya.ru PING ya.ru (93.158.134.3) from 192.168.1.1 : 56(84) bytes of data. --- ya.ru ping statistics --- 107 packets transmitted, 107 received, 0% packet loss, time 619ms rtt min/avg/max/mdev = 4.492/5.240/7.560/0.536 ms, ipg/ewma 5.842/5.403 ms #,      ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 (rule hit 354903 success 107) match c0a80100/ffffff00 at 12 (success 107 ) match 00100000/001e0000 at 0 (success 107 )

जैसा कि आप देख सकते हैं, सब कुछ उसी तरह काम करता है जैसे कि पैकेज - वांछित वर्ग में मिलता है। लेकिन अगर आप ध्यान से टीसी के आउटपुट को देखते हैं, तो कुछ बिंदु अभी भी हमारे लिए अज्ञात हैं। उदाहरण के लिए, ये गुप्त fh मान 800 :: 800 हैं। ये तथाकथित हैंडल (अंग्रेजी "हैंडल" से ट्रेसिंग) हैं - U32 के अंदर फ़िल्टर पहचानकर्ता।

एक व्यक्तिगत फ़िल्टर के प्रत्येक हैंडल में तीन हेक्साडेसिमल संख्याएँ होती हैं और एक इंटरफ़ेस के लिए U32 फ़िल्टर स्थान के भीतर अद्वितीय होती है। हमारे मामले में, यह हैंडल 800 :: 800 है। अब हम केवल अंतिम अंक - अतिरिक्त फ़िल्टर की संख्या में रुचि रखते हैं। यदि आप इसे निर्दिष्ट नहीं करते हैं, तो सिस्टम खुद इसे असाइन करता है - सबसे पुराना के बाद, 0x800 से शुरू होता है। फ़िल्टर संख्या 0x001 से 0xfff तक होती है। आप उपयुक्त पैरामीटर के साथ फ़िल्टर संख्या को मैन्युअल रूप से निर्दिष्ट कर सकते हैं:

 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::1 \ u32 \ match ip src 192.168.1.0/24 \ match ip tos 0x10 0x1e \ classid 1:1

फिल्टर अपनी संख्या के क्रम में किए जाते हैं।

लिंक करना

आइए हम दो फ़िल्टर जोड़ते हैं:

 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::1 \ u32 \ match ip src 192.168.1.0/24 \ match ip tos 0x10 0x1e \ classid 1:1 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::2 \ u32 \ match ip src 192.168.1.0/24 \ match ip tos 0x08 0x1e \ classid 1:2

दोनों फिल्टर में एक ही उपसर्ग होगा - हैंडल के पहले दो नंबर (800: 0)। यदि आप कल्पना करते हैं कि संख्या के क्रम में एक के बाद एक नीचे लिखे गए हैं - हैंडल की अंतिम संख्या, आपको फ़िल्टर की एक सूची मिलती है:

 800: 0 सूची:
 :: 1 - आईपी src 192.168.1.0/24 tos 0x10 -> classid 1: 1
 :: 2 - आईपी src 192.168.1.0/24 tos 0x08 -> classid 1: 2

चूंकि एक सूची के फिल्टर में हैंडल केवल अंतिम संख्याओं में भिन्न होते हैं, सूची को पहले दो संख्याओं के हैंडल से पहचाना जा सकता है - उनके उपसर्ग (800: 0) से। जैसा कि पहले उल्लेख किया गया है, फ़िल्टर का पालन उस क्रम में किया जाता है जिसका वे अनुसरण करते हैं। यदि मैच किसी भी फ़िल्टर में सफल रहा, तो कुछ कार्रवाई की जाती है और U32 बाहर निकल जाता है। यदि हम सूची के अंत तक पहुंच जाते हैं और एक भी सफल मैच नहीं मिला है, तो U32 फ़िल्टर अशुद्ध पैकेट को शीर्ष पर लौटा देगा।

u32 सरल प्रवाह चार्ट

वर्गीकरण के अलावा, पैकेज की जांच करने के लिए कार्रवाई फिल्टर की एक अन्य सूची के लिए एक संक्रमण हो सकती है। यह "क्लासिड" के बजाय "लिंक" पैरामीटर का उपयोग करके किया जाता है (भले ही "क्लासिड" पैरामीटर निर्दिष्ट किया गया हो, यह अभी भी अनदेखा है), उदाहरण के लिए, इस तरह:

 tc filter add \ dev eth0 \ parent 1: \ prio 10 \ protocol ip \ handle ::2 \ u32 \ match ip src 192.168.1.0/24 \ link 1:

यदि पैकेट का सबनेट 192.168.1.0/24 से स्रोत का पता है, तो 1: 0 के हैंडल के साथ फ़िल्टर सूची पर एक चेक शुरू होता है। यदि इसमें कोई सफल तुलना नहीं होती है, तो हम पिछली सूची 800: 0 पर वापस लौटेंगे और इस पर जांच जारी रखेंगे। बदले में, 1: 0 सूची के फिल्टर अन्य सूचियों में संक्रमण कर सकते हैं, और तीसरे से वे, आदि। और इसलिए सात बदलाव तक (जिनके लिए यह पर्याप्त नहीं है, आप स्थूल प्रतिस्थापन TC_U32_MAXDEPTH को कर्नेल स्रोत में बदल सकते हैं)।

यह भी ध्यान में रखा जाना चाहिए कि कई सूचियों में बड़ी संख्या में फिल्टर को विभाजित करना और औसतन ऐसे संक्रमणों को व्यवस्थित करना एक बड़ी सूची के खिलाफ जांच करने की तुलना में बहुत तेज नहीं होगा। लेकिन, एक नियम के रूप में, बंधन का उपयोग एक और U32 तंत्र - हैशिंग के साथ संयोजन में किया जाता है।

हैशिंग

इससे पहले, हमने फ़िल्टर सूचियों को देखा। लेकिन वास्तव में वे हैश टेबल नामक एक बड़ी संरचना का हिस्सा होते हैं। हैश तालिका, इस मामले में, कोशिकाओं का एक आयामी सरणी (बाल्टी की अंग्रेजी सरणी) है, जिनमें से प्रत्येक एक फ़िल्टर सूची संग्रहीत करता है।

हैंडल में, पहला नंबर हैश टेबल नंबर है, और दूसरा सेल नंबर है। हैश टेबल नंबर 0x000 से 0xfff तक और सेल नंबर 0x00 से 0xff तक होता है। कोशिकाओं की संख्या 1 से 256 तक हो सकती है, और इसमें दो की शक्ति होनी चाहिए (आप दूसरा मान सेट नहीं कर सकते - टीसी एक त्रुटि संदेश देगा)। 0x800 नंबर वाली हैश टेबल को रूट कहा जाता है और इसमें एक सेल होता है, यह अपने आप बनता है। एक पैकेज चेक हमेशा सेल 800: 0 में सूची को देखकर शुरू होता है।

आप इस तरह अतिरिक्त हैश टेबल बना सकते हैं:

 tc filter add \ dev eth0 \ parent 1: pref 10 \ protocol ip \ handle 1: \ u32 divisor 1

जहां "हैंडल 1:" हैश तालिका की संख्या निर्धारित करता है, और "भाजक 1" - इसमें कोशिकाओं की संख्या (इस मामले में, नंबर 1 के साथ हैश तालिका में केवल एक सेल है जिसमें फ़िल्टर 1: 0 की सूची स्थित होगी)।

हम सूची के माध्यम से जंप का उपयोग करके स्रोत पते और ToS फ़ील्ड द्वारा वर्गीकरण के साथ अपने उदाहरण का विस्तार करेंगे:

 #   prio     ~$ tc q add \ dev eth0 \ root \ est 0.1s 10s \ handle 1: \ prio bands 8 # - 1:    ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle 1: \ u32 \ divisor 1 #   -  ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::1 \ u32 \ match ip src 192.168.1.0/24 \ link 1: #    ToS  - 1: ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::1 \ u32 \ ht 1: \ match ip tos 0x08 0x1e \ classid 1:3 ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::2 \ u32 \ ht 1: \ match ip tos 0x10 0x1e \ classid 1:1 # ,  ,      #,     ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::2 \ u32 \ match ip src 192.168.1.0/24 \ classid 1:7 #   ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 1: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 1::1 order 1 key ht 1 bkt 0 flowid 1:3 (rule hit 0 success 0) match 00080000/001e0000 at 0 (success 0 ) filter parent 1: protocol ip pref 10 u32 fh 1::2 order 2 key ht 1 bkt 0 flowid 1:1 (rule hit 0 success 0) match 00100000/001e0000 at 0 (success 0 ) filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::1 order 1 key ht 800 bkt 0 link 1: (rule hit 33900 success 0) match c0a80100/ffffff00 at 12 (success 0 ) filter parent 1: protocol ip pref 10 u32 fh 800::2 order 2 key ht 800 bkt 0 flowid 1:7 (rule hit 3583 success 0) match c0a80100/ffffff00 at 12 (success 0 ) #   ,      #ToS   192.168.1.0/24,      ~$ ping -fc10 -I 192.168.1.1 -Q 0x08 8.8.8.8 ~$ ping -fc15 -I 192.168.1.1 -Q 0x10 www.kernel.org ~$ ping -fc25 -I 192.168.1.1 -Q 0xaa www.habrahabr.ru #    ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 1: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 1::1 order 1 key ht 1 bkt 0 flowid 1:3 (rule hit 50 success 10) match 00080000/001e0000 at 0 (success 10 ) filter parent 1: protocol ip pref 10 u32 fh 1::2 order 2 key ht 1 bkt 0 flowid 1:1 (rule hit 40 success 15) match 00100000/001e0000 at 0 (success 15 ) filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::1 order 1 key ht 800 bkt 0 link 1: (rule hit 578192 success 0) match c0a80100/ffffff00 at 12 (success 50 ) filter parent 1: protocol ip pref 10 u32 fh 800::2 order 2 key ht 800 bkt 0 flowid 1:7 (rule hit 547850 success 25) match c0a80100/ffffff00 at 12 (success 25 )

लेकिन "लिंक" पैरामीटर का उपयोग करके, आप केवल सेल नंबर 0. में स्थित सूचियों को फ़िल्टर करने के लिए जा सकते हैं। फिर, अन्य कोशिकाओं में सूचियों की जांच कैसे कर सकते हैं? ऐसा करने के लिए, हैश पैरामीटर और हैश तंत्र का उपयोग किया जाता है। U32 में हैशिंग का अर्थ यह है कि सिस्टम उस सूची में सेल की संख्या प्राप्त करता है जिसमें वह पैकेट से मिले डेटा पर आधारित होता है। चेक की संख्या कम करने के लिए यह आवश्यक है। एक सूची के विपरीत, जिनमें से देखने का समय रैखिक रूप से इसमें फिल्टर की संख्या पर निर्भर करता है, हैशिंग एक निरंतर समय (इसके अलावा, एक बहुत ही कम) के लिए किया जाता है। बड़ी संख्या में फ़िल्टर का उपयोग करते हुए, हैशिंग आपको केवल सूचियों और संक्रमणों का उपयोग करने की तुलना में अधिक से अधिक प्रदर्शन के एक आदेश को प्राप्त करने की अनुमति देता है।

हम हैशिंग का उपयोग करके अपने पिछले उदाहरण को फिर से लिखते हैं:

 # -   1:  32  ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle 1: \ u32 \ divisor 32 #        ToS ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle 1:08:1 \ u32 \ ht 1:08 \ match u32 0 0 \ classid 1:3 ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle 1:10:1 \ u32 \ ht 1:10 \ match u32 0 0 \ classid 1:1 #     192.168.1.0/24  #   - 1:      ToS ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::1 \ u32 \ match ip src 192.168.1.0/24 \ link 1: \ hashkey mask 0x001f0000 at 0 #   ,    #     ~$ tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle ::2 \ u32 \ match ip src 192.168.1.0/24 \ classid 1:7 #     ToS ~$ ping -fc10 -I 192.168.1.1 -Q 0x08 8.8.8.8 ~$ ping -fc30 -I 192.168.1.1 -Q 0x10 www.kernel.org ~$ ping -fc50 -I 192.168.1.1 -Q 0xaa www.habrahabr.ru #     ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 1: ht divisor 32 filter parent 1: protocol ip pref 10 u32 fh 1:8:1 order 1 key ht 1 bkt 8 flowid 1:3 (rule hit 10 success 10) match 00000000/00000000 at 0 (success 10 ) filter parent 1: protocol ip pref 10 u32 fh 1:10:1 order 1 key ht 1 bkt 10 flowid 1:1 (rule hit 30 success 30) match 00000000/00000000 at 0 (success 30 ) filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::1 order 1 key ht 800 bkt 0 link 1: (rule hit 30135 success 0) match c0a80100/ffffff00 at 12 (success 90 ) hash mask 001f0000 at 0 filter parent 1: protocol ip pref 10 u32 fh 800::2 order 2 key ht 800 bkt 0 flowid 1:7 (rule hit 27250 success 50) match c0a80100/ffffff00 at 12 (success 50 )

हमारे उदाहरण में हैशिंग एल्गोरिथ्म पर विचार करें। यह एल्गोरिथ्म कर्नेल संस्करण 2.6 में पेश किया गया था और अभी तक नहीं बदला गया है (कर्नेल संस्करण 2.4 में एल्गोरिथ्म अलग है)।

"हैशकी" पैरामीटर में निर्दिष्ट "एट" पर एक 32-बिट शब्द लें। चूंकि हमारा ऑफसेट शून्य है, इसलिए पहले आईपी पैकेट के 32 बिट्स को लिया जाता है।
उसी पैरामीटर से एक बिटमास्क लागू करें। बिटमास्क "0x001f0000" है, जो टीओएस क्षेत्र की स्थिति से मेल खाता है।
परिणाम को कम से कम महत्वपूर्ण बिट्स की दिशा में n- बिट्स द्वारा शिफ्ट करें। N का मान मास्क से परिकलित किया जाता है और इसमें कम से कम महत्वपूर्ण शून्य बिट्स की संख्या के बराबर होता है। हमारे मुखौटे में, कम से कम महत्वपूर्ण शून्य बिट्स की संख्या 16 है, जिसका अर्थ है कि इन 16 बिट्स द्वारा नकाबपोश डबल शब्द को स्थानांतरित किया जाएगा। उसके बाद, ToS मान निचले पांच अंकों में दिखाई देगा।
परिणामी मूल्य पर 0xff मास्क लगाएँ। इस मामले में, यह कुछ भी नहीं बदलेगा। अन्य मामलों में, यह नाबालिग को छोड़कर सभी ओकटेट्स को रीसेट करेगा।
और अंत में, यदि लक्ष्य तालिका में 256 से कम सेल हैं, तो परिणाम के आधार पर संख्या k के बराबर एक बिट मास्क लगाया जाता है। K का मान हैश तालिका में मौजूद कोशिकाओं से कम है जिसे संक्रमण किया जाएगा। हमारी लक्ष्य तालिका में 32 कोशिकाएँ हैं, जिसका अर्थ है कि k का मान 31 होगा। इस मास्क को लगाने के बाद, हमारा परिणाम कोशिकाओं की संख्या से अधिक नहीं होने की गारंटी है।

दुर्भाग्य से, tc इस मामले में ऑफ़सेट के लेखन को सरल बनाने के लिए कोई साधन प्रदान नहीं करता है, इसलिए यह "hashkey ip tos" जैसा कुछ लिखने के लिए काम नहीं करेगा। एक और कठिनाई यह निर्धारित करती है कि किस बॉक्स में फ़िल्टर डालना है। केवल एक ही तरीका है - मैन्युअल रूप से हैश को पढ़ने के लिए (टीसी में "नमूना" पैरामीटर है, जो आपको वांछित सेल में फिल्टर लगाने के लिए स्वचालित रूप से हैश की गणना करने की अनुमति देता है, लेकिन हैशिंग एल्गोरिथ्म अभी भी कर्नेल 2.4 और अधिक हाल के कर्नेल के लिए उपयुक्त नहीं है)।

विस्थापन

सब कुछ सरल होगा यदि हेडर की एक निश्चित लंबाई है। लेकिन, दुर्भाग्य से, यह ऐसा नहीं है - हेडर में अतिरिक्त वैकल्पिक तत्व हो सकते हैं, जिससे अगले स्तरों के हेडर के क्षेत्रों की तुलना करना बहुत मुश्किल हो जाता है। सौभाग्य से, इसके लिए U32 भी प्रदान करता है। इस फ़ंक्शन को "हेडर ऑफ़सेट्स" कहा जाता है और इसे पैकेज से ही अगले हेडर के ऑफसेट का पता लगाने के लिए डिज़ाइन किया गया है।

लेकिन पहले, आइए U32 फ़िल्टर की दो नई अवधारणाओं से परिचित हों: निरंतर ऑफसेट (संक्षिप्तता के लिए, हम इसे "अनुमति" के रूप में और अस्थायी विस्थापन के रूप में नामित करेंगे (हम इसे "टेम्पोफ़" के रूप में नामित करेंगे)। परमिशन वैल्यू को हमेशा "लिंक" पैरामीटर का उपयोग करके किए गए अगले और आगे के बदलावों के दौरान सभी ऑफसेट में जोड़ा जाता है, और नए परमिट और टेम्पोफ मानों की गणना करने के लिए उपयोग किया जाता है। टेंपरेचर वैल्यू केवल संकेत दिए गए ऑफसेट में अगले संक्रमण के दौरान ही जोड़ा जाता है यदि मापदंडों में "nexthdr +" कीवर्ड का उपयोग किया जाता है और आगे के बदलावों से प्रभावित नहीं होता है। जब आप पिछली सूची पर वापस आते हैं, तो मान वापस लुढ़क जाते हैं।

एक छोटे काल्पनिक उदाहरण पर विचार करें। सूची 1: 0 को निष्पादित करते समय अनुमति को शून्य होने दें, और हमारे पास एक सफल मैच है; और नया परमिट मूल्य 20 के बराबर हो गया है, जबकि हम सूची 2: 5 के निष्पादन के लिए आगे बढ़े। इस स्थिति में, मान 20 को 2: 5 सूची के फ़िल्टर्स में सभी संकेतित ऑफ़सेट्स में जोड़ दिया जाएगा। यदि 2: 5 सूची में, हमारे पास 3:12 सूची में संक्रमण के साथ एक और सफल मैच होगा, और लगातार ऑफ़सेट 8 में बदल जाएगा, तो नया परमिट का मूल्य 28 हो जाएगा। और जब सूची 3:12 निष्पादित की जाती है, तो मूल्य 28 पहले ही सभी ऑफसेटों में जोड़ दिया जाएगा। यदि सूची 3:12 में कोई सफल तुलना नहीं है, तो U32 सूची 2: 5 पर वापस जाएगा और परमिट फिर से 20 होगा। यदि और कोई सफल तुलना नहीं होगी, और हम सूची 1: 0 पर लौट आएंगे, फिर परमिट फिर से बराबर हो जाएगा शून्य शून्य। वास्तव में, हम केवल शून्य चिह्न को स्थानांतरित करते हैं, जिसके सापेक्ष हम आगे के संकेत देते हैं। परमिट और टेम्पोफ मान शुरू में शून्य हैं।

RFC पर एक नज़र डालें और IPv4 हेडर प्रारूप देखें। हमारे लिए सौभाग्य से, इसका एक विशेष क्षेत्र है, जिसका मूल्य दोहरे शब्दों में शीर्षक की लंबाई के बराबर है। और हम इसके लिए इस जानकारी का उपयोग कर सकते हैं। अगले स्तर के हेडर की स्थिति की गणना करने के लिए।

यह इस तरह किया जाता है:

 tc filter add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ u32 \ match ip src 192.168.1.0/24 \ match protocol 0x01 0xff \ link 1: \ offset at 0 mask 0x0f00 shift 6 plus 0 eat

आइए अंतिम पंक्ति पर विस्तार से विचार करें और क्या होता है:

ऑफसेट - इंगित करता है कि जब हम मिलान सफल होता है तो हम परमिटऑफ या टेम्पोफ मान बदल रहे हैं।
एक एकल शब्द "एट" पैरामीटर में निर्दिष्ट ऑफसेट पर लिया जाता है। हमारे मामले में, यह शून्य है, इसलिए पैकेट के पहले 16 बिट्स को लिया जाएगा। "पर" पैरामीटर का मान दो से कई तक कम हो जाता है।
पैकेट से प्राप्त मूल्य पर एक बिटमास्क लगाया जाता है। हमारे पास यह 0x0f00 के बराबर है, जो IPv4 हेडर लंबाई क्षेत्र की स्थिति से मेल खाता है। मान लीजिए कि हमारे पास इस क्षेत्र में मान 5 है (बाइनरी प्रतिनिधित्व 0101 में)। द्विआधारी प्रारूप में, पिछले संचालन का परिणाम "0000.0101.0000.000000" के बराबर होगा।
हम जानते हैं कि आईपी हेडर की लंबाई फ़ील्ड का मान डबल शब्दों में हेडर की लंबाई के बराबर है। इसलिए, किसी तरह प्राप्त मूल्य को बाइट्स में बदलना आवश्यक है। मामला इस तथ्य से जटिल है कि परिणामस्वरूप, आवश्यक बिट्स अतिरिक्त रूप से ऑफसेट हैं। हम मान को स्थानांतरित करते हैं ताकि यह निचले ओकटेट्स में दिखाई दे - हम इसे 8 बिट्स द्वारा निचले बिट्स में स्थानांतरित करते हैं और "0000.0000.0000.0101" प्राप्त करते हैं। अब हम इसे 4 से गुणा करते हैं, क्योंकि हेडिंग का आकार दोहरे शब्दों में इंगित किया गया है। गुणन को 2 बिट्स द्वारा उच्च बिट्स की दिशा में एक शिफ्ट द्वारा प्रतिस्थापित किया जाता है। शिफ्ट के बाद, हमें "0000.0000.0001.0100" मिलता है। हमें सही मूल्य मिला। एक में दोनों पारी संचालन का मिश्रण। नतीजतन, बाइट्स में हेडर की लंबाई प्राप्त करने के लिए, हमें कम से कम महत्वपूर्ण बिट्स की दिशा में प्रारंभिक नकाबपोश मूल्य को छह बिट्स से स्थानांतरित करने की आवश्यकता होगी। यह "शिफ्ट" पैरामीटर का उपयोग करके किया जाता है। सभी ऑपरेशन के बाद, हमें 20 का मान मिला।
प्लस पैरामीटर का मान प्राप्त मूल्य में जोड़ा जाता है। हमारे मामले में, यह 0 है, इसलिए कुछ भी नहीं जोड़ा गया है। आप इस पैरामीटर को निर्दिष्ट भी नहीं कर सकते।
ईट पैरामीटर कहता है कि परिकलित मान को पर्मोफ़ मूल्य में जोड़ा जाता है। अन्यथा, अस्थायी मान की गणना की जाएगी।
परिणामस्वरूप, 1: 0 सूची से फ़िल्टर की जाँच करते समय, शून्य ऑफ़सेट अगले हेडर की शुरुआत के अनुरूप होगा, और हम ICMP हेडर फ़ील्ड के मिलान के आधार पर फ़िल्टर का निर्माण कर सकते हैं, उदाहरण के लिए, संदेश प्रकार मान की जाँच करना। यदि आप अस्थायी मान को बदलते हैं, तो आपको इसे स्पष्ट रूप से तथाकथित सूची में निर्दिष्ट करना चाहिए, जिससे ऑफ़सेट निर्दिष्ट करने के लिए "नेक्स्टड्र +" कीवर्ड का उपयोग किया जा सके।

उसके बाद, हम ICMP संदेश प्रकार के साथ फ़िल्टर को 1: 0 सूची में जोड़ सकते हैं। उदाहरण के लिए, टाइप इको-अनुरोध के ICMP पैकेट कक्षा 1: 8 पर भेजे जाएंगे।

 ~$tc f add \ dev eth0 \ parent 1: \ pref 10 \ protocol ip \ handle 1::1 \ u32 \ ht 1: \ match u8 0x08 0xff \ classid 1:8 #    ~$ sudo tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 1: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 1::1 order 1 key ht 1 bkt 0 flowid 1:8 (rule hit 0 success 0) match 08000000/ff000000 at 0 (success 0 ) filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::1 order 1 key ht 800 bkt 0 link 1: (rule hit 48553 success 0) match c0a80100/ffffff00 at 12 (success 0 ) match 00010000/00ff0000 at 8 (success 0 ) offset 0f00>>6 at 0 eat #  - ~$ ping -fc5 -I 192.168.1.1 www.ixbt.com #      ~$ tc -sf ls dev eth0 filter parent 1: protocol ip pref 10 u32 filter parent 1: protocol ip pref 10 u32 fh 1: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 1::1 order 1 key ht 1 bkt 0 flowid 1:8 (rule hit 5 success 5) match 08000000/ff000000 at 0 (success 5 ) filter parent 1: protocol ip pref 10 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 10 u32 fh 800::1 order 1 key ht 800 bkt 0 link 1: (rule hit 149972 success 0) match c0a80100/ffffff00 at 12 (success 5 ) match 00010000/00ff0000 at 8 (success 5 ) offset 0f00>>6 at 0 eat

बस इतना ही। मूल में आपको कुछ और जानकारी मिलेगी - एक ड्राई गाइड और तुलनाओं की सूची (समान सिंटैक्टिक शुगर)।

मूल - u32 फ़िल्टर। - लेखक, दुर्भाग्य से, मेरे लिए अज्ञात है, लेकिन सब कुछ रसेल स्टीवर्ट को इंगित करता है।

लिनक्स क्यूओएस: यू 32 फिल्टर

तुलना

लिंक करना

हैशिंग

विस्थापन

More articles: