From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Sat 19 Apr 2003 - 19:06:48 EEST
Selamlar
>> gorur paketin icerigi onemli degildir ama datayi elde etmeye calisir=20
>> ve =3D tekrar olusturmak icin elde etmek zorunda. Ornegin bir=20
>> encriyption veya =3D sikistirma varsa bunu cozmek zorunda veya bir =
ascii=20
>> binary donusup =3D gerekiyorsa yapmak zorunda cunku datanin 2. bir=20
>> yazilim tarafindan =3D
>Burasi kabul edilemeyecek, tartisilmayacak kadar yanlis olmus. Datapipe =
>hicbir encryption'u, sikistirmayi, vs. cozmek ve bilmek zorunda degil. =
>Yalnizca paket icerigini okur (icerik her ne ise) ve gonderir. Bir =
>decriyption,vs. yapilmasi gerekiyor ise bunu alici yapar/yapmali zaten.
Sanirim ya yine siz yanlis anladiniz ya ben yanlis anlattim.
Bahsettigim sey gayet dogru. Yanlis olan sizin bunu datapipe in =
kendisinin yaptigini anlamaniz. Bunu datapipe degil kernel yapar. Soyle =
aciklayayim
TCP/IP, OSI Referans modeli baz alinarak gelistirilmis bir protokoldur. =
OSI Referans modeline gore bir data ag uzerinden alinip islenebilmek =
icin 7 katmanda islem gorur. Bu katmanlari tahminimce bilirsiniz. Bu =
katmanlar data elde edilirken alttan uste dogru calisir. Ve sirasiyla su =
islemler yapilir.
Bilmeyen olursa diye islemlerin konumuzla ilgili olanlarini yaziyorum.
1. katmanda paket fiziksel ortamdan alinir
2. katmanda Mac headerlara bakilir paketin sahibi paketi alir.
3. katmanda Ip headerlari atilarak paket segmente donusturulur.
4. katmanda data hatalara karsi kontrol edilir
5 6 ve 7. katmanlar TCP Ip de Application adinda birlestirilmistir. Ve =
6. katman dedigimiz Presentation (Sunum) katmaninda Paket uzerinde =
uygulanmis olan Encryption lar Sikistirma islemleri Bir takim donusumler =
(ASCII-EBCDIC) gibi bazi donusumler yapilir ve 7. katmanda veri tum =
headerlardan arindirilmis olarak User applicationa verilir.=20
Iste datapipe dedigimiz olay bu tur bir application dir. Ve paket Tum bu =
adimlardan gecer. Ve data tekrar gonderilecegi zaman tum bu adimlar =
tersine isler. Yani agdan bir paket geldiyse datayi alip isleyecekseniz =
6. katmanda olan bu donusum islemleri ister istemez yapilmak zorundadir =
(Kernel duzeyinde calismiyorsaniz).
Netfilterde Olay boyle gerceklesmez. Bahsettigimiz kuralda Paket daha 3. =
katmana ciktigi zaman headerlar degistirilir daha yukariya cikmadan =
tekrar 2. katmana oradan 1. katman yoluyla fiziksel ortama birakilir. =
Data elde edilsin diye ust katmanlara cikmaz. Bahsettigim data elde edme =
olayi burasi.(Yazdiginiz kurallara gore degisebilir string islemi gibi). =
Cunku netfilter Kernelle butunlesik calisir bir paketin illa 7. =
katmandan gecip datanin elde edilmesi gerekmez.=20
Olayin sirri burada iste. Datapipe application olarak isledigi icin her =
gelen paket bu 7 islemden (TCP/IP modelinde 4) gececektir. Ancak =
Netfilter de bu islem nerdeyse yari yariya daha hizli yapilacaktir. =
Yoksa firewall olarak bu kadar hizli paket anahtarlama yapmasi =
imkansizdir ve tikanmalara sebep olur.
Diger konuya gelince http redirect olayinda sanirim bir sorun yok. =
Calisma mantigini ikimizde biliyoruz. Ben sadece Iptables la daha =
avantajli olur demistim bunun nedeni iste yukaridaki sebeple ayni.
Yukaridaki yazdiklarim ezbere yazdigim kendi bilgilerim. Bazi kisimlarda =
ufak hatalar yapmis olabilirim.
Saygilar.