Utilitaire Socat

Socat est un utilitaire basé sur la ligne de commande qui établit deux flux d'octets bidirectionnels et transfère les données entre eux. Parce que les flux peuvent être construits à partir d'un grand ensemble de différents types de puits et de sources de données (voir les types d'adresse) et que de nombreuses options d'adresse peuvent être appliquées aux flux, socat peut être utilisé à différentes fins.

Filan est un utilitaire qui imprime des informations sur ses descripteurs de fichiers actifs à la sortie standard. Il a été écrit pour le débogage de socat , mais pourrait également être utile à d’autres fins. Utiliser l'option -h pour trouver plus d'informations.

Procan est un utilitaire qui imprime des informations sur les paramètres du processus à la sortie standard. Il a été écrit pour mieux comprendre certaines propriétés de processus UNIX et pour déboguer socat , mais pourrait être utile à d’autres fins également.

Le cycle de vie d'une instance de socat se compose généralement de quatre phases.

les options de ligne de commande sont analysées et la journalisation est initialisée.

socat ouvre la première adresse et ensuite la deuxième adresse. Ces étapes bloquent généralement; Ainsi, en particulier pour les types d'adresses complexes comme les chaussettes, les demandes de connexion ou les boîtes de dialogue d'authentification doivent être terminées avant le démarrage de l'étape suivante.

socat surveille les descripteurs de fichiers en lecture et en écriture des deux flux via select () et, lorsque les données sont disponibles d'un côté et peuvent être écrites de l'autre côté, socat le lit et effectue des conversions de caractères si nécessaire. écrit les données dans le descripteur de fichier d'écriture de l'autre flux, puis continue d'attendre d'autres données dans les deux directions.

Lorsque l’un des flux atteint effectivement la fin de vie, la phase de fermeture commence. Socat transfère la condition EOF à l'autre flux, c.-à-d. Tente d'arrêter uniquement son flux d'écriture, ce qui lui donne une chance de se terminer normalement. Pendant un temps défini, socat continue à transférer des données dans l'autre sens, puis ferme tous les canaux restants et se termine.

Socat fournit des options de ligne de commande qui modifient le comportement du programme. Ils n’ont rien à voir avec les options d’adresse utilisées dans les spécifications d’adresses.

Avec les arguments de ligne de commande d'adresse, l'utilisateur donne des instructions socat et les informations nécessaires pour établir les flux d'octets. Une spécification d'adresse consiste généralement en un mot-clé de type adresse, zéro ou plusieurs paramètres d'adresse requis séparés par ':' du mot-clé et les uns des autres, et zéro ou plusieurs options d'adresse séparées par ','.

Le mot-clé spécifie le type d'adresse (par exemple, TCP4, OPEN, EXEC). Pour certains mots-clés, il existe des synonymes ('-' pour STDIO, TCP pour TCP4). Les mots clés sont insensibles à la casse. Pour quelques types d'adresse spéciaux, le mot-clé peut être omis: Les spécifications d'adresse commençant par un nombre sont supposées être des adresses FD (descripteur de fichier brut); si un '/' est trouvé avant le premier ':' ou ',', GOPEN (fichier générique ouvert) est supposé.

Le nombre et le type requis de paramètres d'adresse dépendent du type d'adresse. Par exemple, TCP4 requiert une spécification de serveur (nom ou adresse) et une spécification de port (numéro ou nom de service). Zéro ou plusieurs options d'adresse peuvent être données avec chaque adresse. Ils influencent l'adresse à certains égards. Les options consistent en un mot-clé d'option ou un mot-clé d'option et une valeur, séparés par '='. Les mots-clés d'options sont insensibles à la casse. Pour filtrer les options utiles avec un type d'adresse, chaque option est membre d'un groupe d'options. Pour chaque type d'adresse, un ensemble de groupes d'options est autorisé. Seules les options appartenant à l'un de ces groupes d'adresses peuvent être utilisées (sauf avec l'option -g).

Les spécifications d'adresse qui suivent le schéma ci-dessus sont également appelées spécifications d'adresse unique . Deux adresses simples peuvent être combinées avec “!!” pour former une adresse de type double pour un canal. Ici, la première adresse est utilisée par socat pour lire les données et la seconde adresse pour écrire les données. Il est impossible de spécifier une option une seule fois pour l'appliquer aux deux adresses uniques.

Habituellement, les adresses sont ouvertes en mode lecture / écriture. Lorsqu'une adresse fait partie d'une spécification à double adresse ou lorsque l'option -u ou -U est utilisée, une adresse peut être utilisée uniquement pour la lecture ou l'écriture. Considérant cela est important avec certains types d'adresses. Avec socat version 1.5.0 et supérieure, l'analyse lexicale tente de gérer les guillemets et les parenthèses de manière significative et permet d'échapper des caractères spéciaux. Si l'un des caractères ({['est trouvé, le caractère de fermeture correspondant -)}]' - est recherché; ils peuvent aussi être imbriqués. Dans ces constructions, les caractères et les chaînes de caractères spéciaux de socats:, !! ne sont pas traités spécialement. Tous ces caractères et chaînes peuvent être échappés avec \ ou dans “”

Les sections suivantes décrivent les types d'adresses disponibles avec leurs mots-clés, paramètres et sémantique.

Ouvre un socket IP brut. Selon la spécification de l'hôte ou l'option pf, le protocole IP version 4 ou 6 est utilisé. Il utilise <protocol> pour envoyer des paquets à <host> [adresse IP] et reçoit des paquets de l'hôte, ignore les paquets d'autres hôtes. Le protocole 255 utilise le socket brut avec l'en-tête IP faisant partie des données.

Envoie des données sortantes à l'adresse spécifiée, qui peut notamment être une adresse de diffusion ou de multidiffusion. Les paquets arrivant sur le socket local sont vérifiés si leurs adresses source correspondent aux options RANGE ou TCPWRAP. Ce type d'adresse peut par exemple être utilisé pour mettre en œuvre des communications de diffusion ou de multidiffusion symétriques ou asymétriques.

Ouvre un socket IP brut de <protocole>. Selon l'option pf, le protocole IP version 4 ou 6 est utilisé. Il reçoit un paquet d'un pair non spécifié et peut envoyer un ou plusieurs paquets de réponse à ce pair. Ce mode est particulièrement utile avec l'option fork où chaque paquet - provenant de pairs arbitraires - est géré par son propre sous-processus. Cela permet un comportement similaire aux serveurs basés sur UDP typiques tels que ntpd ou named.

Cette adresse fonctionne bien avec les homologues d'adresses IP-SENDTO (voir ci-dessus). Le protocole 255 utilise le socket brut avec l'en-tête IP faisant partie des données.

Ouvre un socket IP brut de <protocole>. Selon l'option pf, le protocole IP version 4 ou 6 est utilisé. Il reçoit des paquets de plusieurs pairs non spécifiés et fusionne les données. Aucune réponse n'est possible. Cela peut être, par exemple, adressé par des homologues d'adresses IP-SENDTO. Le protocole 255 utilise le socket brut avec l'en-tête IP faisant partie des données.

SCTP est un protocole de transport, équivalent dans un certain sens au TCP ou à l'UDP. En effet, il fournit des services similaires à TCP, assurant optionnellement la fiabilité, la remise en ordre des séquences, et le contrôle de congestion.

Établit une connexion de flux SCTP avec les <hôte> [adresse IP] et <port> [service TCP] spécifiés à l'aide de TCP / IP version 4 ou 6, selon la spécification d'adresse, la résolution de nom ou l'option pf.

Écoute sur <port> [service TCP] et accepte une connexion TCP / IP. La version IP est 4 ou celle spécifiée avec l'option d'adresse pf, l'option socat (-4, -6) ou la variable d'environnement SOCAT_DEFAULT_LISTEN_IP. L'ouverture de cette adresse est généralement bloquée jusqu'à ce qu'un client se connecte.

Crée un socket de flux en utilisant les premier et second paramètres de socket donnés et SOCK_STREAM (voir man socket \ (2)) et se connecte à l'adresse distante. Les deux paramètres de socket doivent être spécifiés par int numbers. Consulter la documentation de votre système d'exploitation et inclure les fichiers pour trouver les valeurs appropriées. L'adresse distante doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Crée un socket datagramme en utilisant les trois premiers paramètres de socket donnés (voir man socket \ (2)) et envoie les données sortantes à l'adresse distante. Les trois paramètres de socket doivent être spécifiés par int numbers. Inclure les fichiers pour trouver les valeurs appropriées. L'adresse distante doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Crée un socket de flux en utilisant les premier et second paramètres de socket donnés et SOCK_STREAM (voir man socket \ (2)) et attend les connexions entrantes sur les adresses locales. Les deux paramètres de socket doivent être spécifiés par int numbers. Inclure les fichiers pour trouver les valeurs appropriées. L'adresse locale doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Crée un socket en utilisant les trois paramètres de socket donnés (voir man socket \ (2)) et le lie à <local-address>. Reçoit les données à l'arrivée. Les trois paramètres doivent être spécifiés par int numbers. Inclure les fichiers pour trouver les valeurs appropriées. L'adresse locale doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Crée un socket en utilisant les trois paramètres de socket donnés (voir man socket \ (2)) et le lie à <local-address>. Reçoit les données à l'arrivée et renvoie les réponses à l'expéditeur. Les trois premiers paramètres doivent être spécifiés en tant que nombres int. Inclure les fichiers pour trouver les valeurs appropriées. L'adresse locale doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Crée un socket en utilisant les trois paramètres de socket donnés (voir man socket \ (2)). Envoie les données sortantes à l'adresse indiquée et reçoit les réponses. Les trois paramètres doivent être spécifiés en tant que nombres int. Inclure les fichiers pour trouver les valeurs appropriées. L'adresse distante doit être la représentation de données d'une structure sockaddr sans composants sa_family et (BSD) sa_len.

Se connecte à <port> [service TCP] sur <hôte> [adresse IP] à l'aide de TCP / IP version 4 ou 6, selon la spécification d'adresse, la résolution de nom ou l'option pf.

Écoute sur <port> [service TCP] et accepte une connexion TCP / IP. La version IP est 4 ou celle spécifiée avec l'option d'adresse pf, l'option socat (-4, -6) ou la variable d'environnement SOCAT_DEFAULT_LISTEN_IP. L'ouverture de cette adresse est généralement bloquée jusqu'à ce qu'un client se connecte.

Se connecte à <port> [service UDP] sur <hôte> [adresse IP] en ​​utilisant UDP / IP version 4 ou 6 selon la spécification d'adresse, la résolution de nom ou l'option pf.

En raison des propriétés du protocole UDP, aucune connexion réelle n'est établie. les données doivent être envoyées pour la «connexion» au serveur, et aucune condition de fin de fichier ne peut être transportée.

Envoie des données sortantes à l'adresse spécifiée, qui peut notamment être une adresse de diffusion ou de multidiffusion. Les paquets arrivant sur le socket local sont vérifiés pour le port distant correct et si leurs adresses source correspondent aux options RANGE ou TCPWRAP. Ce type d'adresse peut par exemple être utilisé pour mettre en œuvre des communications de diffusion ou de multidiffusion symétriques ou asymétriques.

Attend un paquet UDP / IP arrivant sur <port> [service UDP] et se connecte à l'expéditeur. La version IP acceptée est 4 ou celle spécifiée avec l'option pf. En raison des propriétés du protocole UDP, aucune connexion réelle n'est établie.les données doivent d'abord être fournies par l'homologue et aucune condition de fichier ne peuvent être transportées. Cette adresse est généralement bloquée jusqu'à ce qu'un client se connecte.

Communique avec le socket homologue spécifié, défini par <port> [service UDP] sur <hôte> [adresse IP], en utilisant UDP / IP version 4 ou 6 selon la spécification d'adresse, la résolution de nom ou l'option pf. Il envoie des paquets à et reçoit des paquets de cette socket homologue uniquement. Cette adresse implémente efficacement un client de datagramme. Cela fonctionne bien avec les homologues d'adresse socat UDP-RECVFROM et UDP-RECV.

Crée un socket UDP sur <port> [service UDP] en ​​utilisant UDP / IP version 4 ou 6 selon l'option pf. Il reçoit un paquet d'un pair non spécifié et peut envoyer un ou plusieurs paquets de réponse à ce pair. Ce mode est particulièrement utile avec l'option fork où chaque paquet - provenant de pairs arbitraires - est géré par son propre sous-processus. Cela permet un comportement similaire aux serveurs basés sur UDP typiques tels que ntpd ou named. Cette adresse fonctionne bien avec les homologues d'adresse UDP-SENDTO.

Crée un socket UDP sur <port> [service UDP] en ​​utilisant UDP / IP version 4 ou 6 selon l'option pf. Il reçoit des paquets de plusieurs pairs non spécifiés et fusionne les données. Aucune réponse n'est possible. Cela fonctionne bien avec, par exemple, les homologues d'adresses UDP-SENDTO socat; il se comporte comme un serveur syslog.

Se connecte à <filename> en supposant qu'il s'agit d'un socket de domaine UNIX. Si <filename> n'existe pas, il s'agit d'une erreur. si <filename> n'est pas un socket de domaine UNIX, il s'agit d'une erreur; Si <filename> est un socket de domaine UNIX, mais qu'aucun processus n'est à l'écoute, il s'agit d'une erreur.

Écoute <nomfichier> en utilisant un socket de domaine UNIX et accepte une connexion. Si <filename> existe et n'est pas un socket, il s'agit d'une erreur. Si <filename> existe et est une socket UNIX, la liaison à l'adresse échoue. Cette adresse est généralement bloquée jusqu'à ce qu'un client se connecte. Depuis la version 1.4.3, le système de fichiers est supprimé lorsque cette adresse est fermée (voir ci-dessous).

Communique avec la paire de socket spécifiée, définie par [<filename>] en supposant qu'il s'agit d'un socket de datagramme de domaine UNIX. Il envoie des paquets et reçoit des paquets de cette homologue uniquement. Il peut être nécessaire pour une socket locale à une adresse (par exemple / tmp / sock1, qui ne doit pas exister auparavant). Ce type d'adresse fonctionne bien avec les homologues de UNIX-RECVFROM et UNIX-RECV.

Un socket de datagramme de domaine UNIX [<nomfichier>]. Reçoit un paquet et peut envoyer un ou plusieurs paquets de réponses à cette paire. Ce mode est particulièrement utile avec une fork dans laquelle chaque paquet contient des arbitrages - est géré par son propre sous-processus. Cette adresse fonctionne bien avec les homologues de UNIX-SENDTO.

Un socket de datagramme de domaine UNIX [<nomfichier>]. Reçoit les paquets de plusieurs homologues non spécifiés et fusionne les données. Aucune réponse n'est possible. Cela peut être, par exemple, adressé par les homologues de soc UNIX-SENDTO. Il existe un serveur Syslog. Groupes disponibles: FD, SOCKET, NAMED, UNIX

Communique avec le socket homologue spécifié, défini par [<filename>] en supposant qu'il s'agit d'un socket de domaine UNIX. Il essaie d'abord de se connecter et, en cas d'échec, suppose qu'il s'agit d'un socket datagramme, supportant ainsi les deux types.

Les adresses ABSTRACT sont presque identiques aux adresses UNIX associées, sauf si elles ne traitent pas les sockets basées sur le système de fichiers mais un autre espace d'adressage de domaine UNIX. Pour archiver ceci, les chaînes de données sont préfixées avec “\ 0” en interne. This feature is available (only?) Sur Linux. Les groupes peuvent choisir parmi les adresses UNIX associées, sauf que les adresses ABSTRACT ne sont pas membres du groupe NAMED.

Ouvre <filename> avec creat() et utilise le descripteur de fichier pour écrire. Ce type d'adresse nécessite un contexte en écriture seule, car un fichier ouvert avec creat ne peut pas être lu.

Les drapeaux comme O_LARGEFILE ne peuvent pas être appliqués. Si on en a besoin, utiliser OPEN avec les options create, create.

<filename> doit être un chemin existant ou non existant. Si <filename> est un tube nommé, creat () pourrait bloquer; si <filename> fait référence à un socket, il s'agit d'une erreur.

fork un sous-processus qui établit la communication avec son processus parent et appelle le programme spécifié avec execvp (). <ligne de commande> est une commande simple avec des arguments séparés par des espaces simples. Si le nom du programme contient un '/', la partie après le dernier '/' est considérée comme ARGV [0]. Si le nom du programme est un chemin relatif, la sémantique execvp () pour trouver le programme via $ PATH s'applique. Après un démarrage réussi du programme, socat écrit les données dans stdin du processus et lit à partir de sa sortie standard via une socket de domaine UNIX générée par socketpair() par défaut. (Exemple)

Utilise le descripteur de fichier <fdnum>. Il doit déjà exister en tant que descripteur de fichier UNIX valide.

(Generic open) Ce type d'adresse essaie de gérer toute entrée de système de fichiers à l'exception des répertoires utiles. <filename> peut être un chemin relatif ou absolu. S'il existe déjà, son type est vérifié. Dans le cas d'une socket de domaine UNIX, socat se connecte; Si la connexion échoue, socat suppose un socket datagramme et utilise les appels sendto (). Si l'entrée n'est pas un socket, socat l' ouvre en appliquant le drapeau O_APPEND. S'il n'existe pas, il est ouvert avec l'indicateur O_CREAT en tant que fichier normal (exemple).

Communique avec un réseau connecté sur une interface en utilisant des paquets bruts, y compris des données de niveau de liaison. <interface> est le nom de l'interface réseau. Actuellement disponible uniquement sous Linux.

Ouvre <nomfichier> à l'aide de l'appel système open () (exemple). Cette opération échoue sur les sockets de domaine UNIX.

Essaie d'établir une connexion SSL à <port> [service TCP] sur <hôte> [adresse IP] à l'aide de TCP / IP version 4 ou 6, selon la spécification d'adresse, la résolution de nom ou l'option pf.

Ecoute tcp <port> [service TCP]. La version IP est 4 ou celle spécifiée avec pf. Lorsqu'une connexion est acceptée, cette adresse se comporte comme un serveur SSL.

Si <filename> existe déjà, il est ouvert. S'il n'existe pas, un canal nommé est créé et ouvert. À partir de la version 1.4.3 de socat, le canal nommé est supprimé lorsque l'adresse est fermée (mais voir l'option unlink-close)

Crée un canal sans nom et l'utilise pour la lecture et l'écriture. Cela fonctionne comme un écho, car tout ce qui lui est écrit apparaît immédiatement comme une donnée lue.

Se connecte à un serveur proxy HTTP sur le port 8080 à l'aide de TCP / IP version 4 ou 6 en fonction de la spécification d'adresse, de la résolution de nom ou de l'option pf et envoie une demande CONNECT pour hostname: port. Si le proxy accorde l'accès et réussit à se connecter à la cible, le transfert de données entre socat et la cible peut commencer. Le trafic n'a pas besoin d'être HTTP mais peut être un protocole arbitraire.

Génère un pseudo terminal (pty) et utilise son côté maître. Un autre processus peut ouvrir le côté esclave du pty en l'utilisant comme une ligne ou un terminal série. (Exemple). Si les deux mécanismes ptmx et openpty sont disponibles, ptmx est utilisé (POSIX).

Utilise readline GNU et l'historique sur stdio pour permettre l'édition et la réutilisation des lignes d'entrée (exemple).

En raison des restrictions de licence, la fonctionnalité readline est désactivée dans Debian. Voir BOGUES.

On peut utiliser STDIO à la place.

Se connecte via <socks-server> [adresse IP] à <hôte> [adresse IPv4] sur <port> [service TCP], en utilisant le protocole socks version 4 sur IP version 4 ou 6 selon la spécification d'adresse, la résolution de nom ou l'option pf (Exemple).

comme SOCKS4, mais utilise le protocole Socks version 4a, laissant ainsi la résolution du nom d'hôte au serveur Socks.

Utilise le descripteur de fichier 2.

Utilise le descripteur de fichier 0.

Utilise le descripteur de fichier 0 pour la lecture et 1 pour l'écriture.

Utilise le descripteur de fichier 1.

fork un sous-processus qui établit la communication avec son processus parent et appelle le programme spécifié avec system (). <shell-command> [string] ne doit pas contenir “,” ou “!!” et que les méta-caractères du shell doivent être protégés. Après le démarrage du programme, socat écrit les données dans stdin du processus et lit à partir de sa sortie standard.

Crée un périphérique TUN / TAP Linux et l'assigne éventuellement l'adresse et le masque de réseau fournis par les paramètres. L'interface réseau qui en résulte est presque prête à être utilisée par d'autres processus. socat sert son “côté fil”. Cette adresse nécessite un accès en lecture et en écriture au périphérique de clonage du tunnel, généralement / dev / net / tun, ainsi que la permission de définir des ioctl () s. Option iff-up est nécessaire pour activer immédiatement l'interface!

Ce groupe d'options contient des options appliquées à un descripteur de fichier de style UN * X, quelle que soit sa génération. Étant donné que tous les types d'adresse socat actuels sont basés sur un descripteur de fichier, ces options peuvent être appliquées à n'importe quelle adresse.

Ces options fonctionnent sur les entrées du système de fichiers.

Voir aussi les options user, group et mode.

Les options du groupe OPEN permettent de définir des indicateurs avec l'appel système open (). Par exemple l'option creat définit le drapeau O_CREAT.

Voir aussi les options append et nonblock.

Ces options sont généralement appliquées à un descripteur de fichier UN * X, mais leur sémantique n'a de sens que pour un fichier prenant en charge l'accès aléatoire.

Les options de ce groupe modifient les propriétés du processus au lieu d'affecter un seul canal de données. Pour les adresses EXEC et SYSTEM et pour les adresses de type LISTEN et CONNECT avec l'option FORK, ces options s'appliquent aux processus enfants au lieu du processus socat principal.

En raison de restrictions de licence, la fonctionnalité readline est désactivée dans Debian (voir BOGUES).

Ces options s'appliquent au type d'adresse readline.

Ce groupe contient des options qui fonctionnent au niveau des données. Ces options ne s'appliquent qu'aux données “brutes” transférées par socat, mais pas aux données de protocole utilisées par des adresses comme PROXY.

Ces options sont destinées à tous les types de sockets, par exemple IP ou UNIX. La plupart sont appliqués avec un appel à setsockopt ().

Force l'utilisation de la version ou du protocole IP spécifié. <string> peut être quelque chose comme “ip4” ou “ip6”. La valeur résultante est utilisée comme premier argument pour les appels à socket() ou à socketpair(). Cette option affecte la résolution des adresses et la syntaxe requise pour les options de liaison et de plage. |

Ces options s'appliquent aux adresses basées sur un domaine UNIX.

Ces options peuvent être utilisées avec les sockets IPv4 et IPv6.

Ces options ne peuvent être utilisées que sur des sockets IPv6. Voir les options IP pour les options pouvant être appliquées aux sockets IPv4 et IPv6.

Ces options peuvent être appliquées aux sockets TCP. Ils fonctionnent en appelant setsockopt () avec les paramètres appropriés.

Ces options peuvent être appliquées aux sockets de flux SCTP.

Nous trouvons ici des options liées au mécanisme du port réseau et qui peuvent donc être utilisées avec les adresses client et serveur UDP, TCP et SCTP.

Lorsqu'on utilise des adresses de type SOCKS, certaines options spécifiques aux chaussettes peuvent être définies.

Options pouvant être fournies avec des adresses de type HTTP. La seule adresse HTTP actuellement implémentée est la connexion proxy.

Ces options vérifient si un client connecté doit avoir accès. Ils peuvent être appliqués à l'écoute et à la réception des sockets réseau. Les options tcp-wrappers appartiennent à ce groupe.

Après avoir accepté une connexion, teste si le pair est à portée . Pour les adresses IPv4, la plage d'adresses prend la forme adresse / bits, par exemple 10.0.0.0/8 ou adresse: masque, par exemple 10.0.0.0:255.0.0.0 (exemple); pour IPv6, il s'agit de [ip6-address / bits], par exemple [:: 1/128]. Si l'adresse du client ne correspond pas, socat émet un avertissement et continue d'écouter / recevoir.

Utilise la bibliothèque libwrap (tcpd) de Wietse Venema pour déterminer si le client est autorisé à se connecter. Les fichiers de configuration sont /etc/hosts.allow et /etc/hosts.deny par défaut, voir “man 5 hosts_access” pour plus d'informations. L'option <name> (type string) est transmise aux fonctions wrapper en tant que nom de processus démon (exemple). S'il est omis, le nom de base de l'invocation de socats (argv [0]) est transmis. Si les deux options tcpwrap et range sont appliquées à une adresse, les deux conditions doivent être remplies pour autoriser la connexion.

Options spécifiques aux prises d'écoute.

Options pour les adresses avec plusieurs connexions via des processus enfants.

Options pour les adresses qui appellent un programme.

Les adresses EXEC ou SYSTEM invoquent un programme utilisant un processus enfant et transfert de données entre programme et programme. Le mécanisme de communication interprocessus peut être influencé par les options suivantes. Par défaut, un socketpair () is created et à stdin et assigné stdout du enfant Processus, TANDIS Que stderr is du Hérité Processus socat et le Qué enfant utiliser les Processus Descripteurs de 0 et 1 FICHIERS verser Communiquer avec le socat principale Processus.

Pour les adresses qui fonctionnent sur un tty (par exemple, stdio, fichier: / dev / tty, exec: …, pty), les paramètres de terminal définis dans le mécanisme UN * X option d'adresse.

Ces options sont les suivantes:

Ces options s'appliquent aux types aux adresses openssl et openssl-listen.

Options permettant de réessayer certains systèmes, notamment les tentatives de connexion.

Options qui contrôlent les adresses des périphériques d'interface TUN / TAP Linux.

Cette section explique les différents types de données que peuvent prendre les paramètres d'adresse et les options d'adresse.

Exemples: 127.0.0.1, [:: 1], www.dest-unreach.org, dns1 |

On peut saisir du texte avec la bibliothèque readline et il sera envoyé en TCP à www.domain.org sur le port 80 (www).

socat -d -d READLINE,history=$HOME/.http\_history TCP4:www.domain.org:www,crnl

Tout ce qui arrive sur le port 80 (www) de la machine locale est envoyé vers www.domain.org et inversement.

socat TCP4-LISTEN:www TCP4:www.domain.org:www

socat -u TCP4-LISTEN:3334,reuseaddr,fork OPEN:/tmp/in.log,creat,append

(sleep 5; echo yes; sleep 5; echo $PASSWORD; sleep 2; echo ; echo "screen-length disable"; sleep 2; echo "dis cur") | socat - EXEC:"ssh $USERNAME@xx.xxx.xxx.xxx2.33",setsid,pty,ctty

socat - TCP4:www.domain.org:80

transfère des données entre STDIO (-) et une connexion TCP4 au port 80 de l'hôte www.domain.org. Cet exemple se traduit par une connexion interactive similaire à telnet ou netcat. Les paramètres du terminal stdin ne sont pas modifiés, on peut donc fermer le relais avec ^ D ou abandonner avec ^ C.

socat -d -d READLINE,history=$HOME/.http\_history TCP4:www.domain.org:www,crnl

Ceci est similaire à l'exemple précédent, mais on peut éditer la ligne en cours de manière bash (READLINE) et utiliser le fichier d'historique .http_history; socat imprime des messages sur la progression (-d -d). Le port est spécifié par nom de service (www) et les caractères de terminaison de ligne réseau (crnl) corrects au lieu de NL sont utilisés.

socat TCP4-LISTEN:www TCP4:www.domain.org:www

Installe un simple redirecteur de port TCP. Avec TCP4-LISTEN, il écoute le port local “www” jusqu'à ce qu'une connexion arrive, l'accepte, puis se connecte à l'hôte distant (TCP4) et commence le transfert de données. Il n'acceptera pas une deuxième connexion.

socat -d -d -lmlocal2 TCP4-LISTEN:80,bind=myaddr1,reuseaddr,fork,su=nobody,range=10.0.0.0/8 TCP4:www.domain.org:80,bind=myaddr2

TCP port forwarder, chaque côté lié à une autre adresse IP locale (bind). Cet exemple gère un nombre presque arbitraire de connexions parallèles ou consécutives en générant un nouveau processus après chaque accept (). Il offre un peu de sécurité en faisant appel à l'utilisateur après avoir fui; il ne permet que les connexions du réseau privé 10 (gamme); à cause de reuseaddr, cela permet un redémarrage immédiat après la fin du processus maître, même si certains sockets enfants ne sont pas complètement arrêtés. Avec -lmlocal2, socat se connecte à stderr jusqu'à ce que la boucle d'acceptation soit atteinte. La journalisation supplémentaire est dirigée vers syslog avec facilité local2.

socat TCP4-LISTEN:5555,fork,tcpwrap=script EXEC:/bin/myscript,chroot=/home/sandbox,su-d=sandbox,pty,stderr

un serveur simple qui accepte les connexions (TCP4-LISTEN) et fork's un nouveau processus enfant pour chaque connexion; chaque enfant agit comme un seul relais. Le client doit correspondre aux règles pour le nom du processus démon “script” dans /etc/hosts.allow et /etc/hosts.deny, sinon l'accès lui est refusé (voir “man 5 hosts_access”). Pour exécuter le programme, le processus enfant chroote vers / home / sandbox , su vers user sandbox, puis démarre le programme / home / sandbox / bin / myscript . Socat et myscript communiquent via un pseudo tty (pty); Le stderr de myscript est redirigé vers stdout, donc ses messages d'erreur sont transférés via socat au client connecté.

socat EXEC:"mail.sh target@domain.com",fdin=3,fdout=4 TCP4:mail.relay.org:25,crnl,bind=alias1.server.org,mss=512

mail.sh est un script shell, distribué avec socat , qui implémente un simple client SMTP. Il est programmé pour “parler” SMTP sur ses FD 3 (in) et 4 (out). Les options fdin et fdout indiquent à socat d'utiliser ces FD pour communiquer avec le programme. Comme mail.sh hérite de stdin et de stdout alors que socat ne les utilise pas, le script peut lire un corps de courrier à partir de stdin. Socat fait de alias1 votre adresse source locale (bind), prend en charge la terminaison de ligne réseau correcte (crnl) et envoie au plus 512 octets de données par paquet (mss).

socat -,escape=0x0f /dev/ttyS0,rawer,crnl

ouvre une connexion interactive via la ligne série, par exemple pour dialoguer avec un modem. rawer définit les paramètres de terminal de la console et de ttyS0 sur des valeurs praticables, crnl les convertit pour corriger les caractères de nouvelle ligne. escape permet de terminer le processus socat avec le contrôle de caractère-O.

socat UNIX-LISTEN:/tmp/.X11-unix/X1,fork SOCKS4:host.victim.org:127.0.0.1:6000,socksuser=nobody,sourceport=20

avec UNIX- LISTEN , socat ouvre une socket de domaine UNIX d'écoute /tmp/.X11-unix/X1 . Ce chemin correspond à l'affichage local de XWindow: 1 sur votre machine, les connexions client XWindow à DISPLAY =: 1 sont donc acceptées. Socat parle ensuite avec le serveur SOCKS4 host.victim.org qui pourrait autoriser des connexions basées sur le port source en raison d'une faiblesse liée à FTP dans ses filtres IP statiques. Socat prétend être appelé par socksuser nobody, et demande à être connecté au port de bouclage 6000 (seules les configurations sockd faibles le permettent). Donc, nous obtenons une connexion au serveur XWindow des victimes et, si cela ne nécessite pas de cookies MIT ou d'authentification Kerberos, nous pouvons commencer à travailler. Il ne peut y avoir qu'une seule connexion à la fois, car TCP ne peut établir qu'une seule session avec un ensemble donné d'adresses et de ports.

socat -u /tmp/readdata,seek-end=0,ignoreeof -

c'est un exemple de transfert de données unidirectionnel (-u). Socat transfère les données du fichier / tmp / readdata (adresse implicite de GOPEN), en commençant à la fin actuelle (seek-end = 0 permet à socat de commencer la lecture à la fin du fichier en cours; ) en mode “tail -f” (ignoreeof). Le “fichier” peut également être une socket de domaine UNIX en écoute (n'utiliser pas d’option de recherche).

 (sleep 5; echo PASSWORD; sleep 5; echo ls; sleep 1) | socat - EXEC:'ssh -l user server',pty,setsid,ctty

Exécute une session ssh sur un serveur. Utilise un pty pour la communication entre socat et ssh, rend ssh contrôlant tty (ctty), et en fait le propriétaire d'un nouveau groupe de processus (setsid), donc ssh accepte le mot de passe de socat.

socat -u TCP4-LISTEN:3334,reuseaddr,fork OPEN:/tmp/in.log,creat,append

implémente un collecteur de messages simple basé sur le réseau. Pour chaque client se connectant au port 3334, un nouveau processus enfant est généré (option fork). Toutes les données envoyées par les clients sont ajoutées au fichier /tmp/in.log. Si le fichier n'existe pas, c'est socat creat. L'option reuseaddr permet le redémarrage immédiat du processus du serveur.

socat PTY,link=$HOME/dev/vmodem0,rawer,wait-slave EXEC:"ssh modemserver.us.org socat - /dev/ttyS0,nonblock,rawer"

génère un pseudo terminal (PTY) sur le client accessible sous le lien symbolique $HOME/dev/vmodem0 . Une application qui attend une ligne série ou un modem peut être configurée pour utiliser $HOME/dev/vmodem0 ; son trafic sera dirigé vers un modemserver via ssh où une autre instance de socat le lie à /dev/ttyS0 .

socat TCP4-LISTEN:2022,reuseaddr,fork PROXY:proxy:www.domain.org:22,proxyport=3128,proxyauth=user:pass

démarre un redirecteur qui accepte les connexions sur le port 2022 et les dirige via le démon proxy écoutant sur le port 3128 (proxyport) sur le proxy hôte, en utilisant la méthode CONNECT, où ils sont authentifiés en tant que “utilisateur” avec “pass” (proxyauth). Le proxy doit établir des connexions pour héberger www.domain.org sur le port 22 à ce moment-là.

socat - OPENSSL:server:4443,cafile=server.crt,cert=client.pem

est un client OpenSSL qui tente d'établir une connexion sécurisée à un serveur SSL. Option cafile spécifie un fichier qui contient des certificats de confiance: nous faisons confiance au serveur uniquement lorsqu'il présente l'un de ces certificats et preuves qu'il possède la clé privée associée. Sinon, la connexion est terminée. Avec cert, un fichier contenant le certificat client et la clé privée associée est spécifié. Cela est nécessaire si le serveur souhaite une authentification client; beaucoup de serveurs Internet ne le font pas.

La première adresse ('-') peut être remplacée par presque toute autre adresse socat.

socat OPENSSL-LISTEN:4443,reuseaddr,pf=ip4,fork,cert=server.pem,cafile=client.crt PIPE

est un serveur OpenSSL qui accepte les connexions TCP, présente le certificat à partir du fichier server.pem et force le client à présenter un certificat vérifié par rapport à cafile.crt.

La deuxième adresse («PIPE») peut être remplacée par presque toutes les autres adresses socat.

Pour obtenir des instructions sur la génération et la distribution des clés et des certificats OpenSSL, consulter le fichier socat docu socat-openssl.txt.

echo |socat -u - file:/tmp/bigfile,create,largefile,seek=100000000000 

crée un fichier sparse de 100 Go; Cela nécessite un type de système de fichiers qui le supporte (ext2, ext3, reiserfs, jfs, pas minix, vfat). L'opération d'écriture de 1 octet peut être longue (reiserfs: quelques minutes; ext2: “non”), et le fichier résultant peut consommer de l'espace disque uniquement avec ses inodes (reiserfs: 2 Mo; ext2: 16 Ko).

socat tcp-l:7777,reuseaddr,fork system:’filan -i 0 -s >&2’,nofork

écoute les connexions TCP entrantes sur le port 7777. Pour chaque connexion acceptée, appelle un shell. Ce shell a ses stdin et stdout directement connectés au socket TCP (nofork). Le shell démarre filan et lui permet d'imprimer les adresses de socket à stderr (votre fenêtre de terminal).

echo -en "\0\14\0\0\c" |socat -u - file:/usr/bin/squid.exe,seek=0x00074420

fonctionne comme un éditeur binaire primitif: il écrit les 4 octets 000 014 000 000 dans l'exécutable / usr / bin / squid à l'offset 0x00074420 (c'est un patch du monde réel pour exécuter l'exécutable squid de Cygwin sous Windows, réel par mai 2004) .

socat - tcp:www.blackhat.org:31337,readbytes=1000

Se connecte à un service inconnu et empêche d'être inondé.

socat -U TCP:target:9999,end-close TCP-L:8888,reuseaddr,fork

fusionne les données provenant de différents flux TCP sur le port 8888 avec un seul flux à cibler: 9999. L'option end-close empêche les processus fils séparés par la deuxième adresse de terminer la connexion partagée à 9999 (close \ (2) dissocie simplement l'inode qui reste actif tant que le processus parent est actif; shutdown \ (2) active terminer la connexion).

socat - UDP4-DATAGRAM:192.168.1.0:123,sp=123,broadcast,range=192.168.1.0/24 

envoie une diffusion au réseau 192.168.1.0/24 et reçoit les réponses des serveurs de temps. Ignore les paquets NTP des hôtes situés en dehors de ce réseau.

socat - SOCKET-DATAGRAM:2:2:17:x007bxc0a80100x0000000000000000,bind=x007bx00000000x0000000000000000,setsockopt-int=1:6:1,range=x0000xc0a80100x0000000000000000:x0000xffffff00x0000000000000000 

est sémantiquement équivalent à l'exemple précédent, mais tous les paramètres sont spécifiés sous forme générique. la valeur 6 de setsockopt-int correspond à la valeur Linux pour SO_BROADCAST.

socat - IP4-DATAGRAM:255.255.255.255:44,broadcast,range=10.0.0.0/8

envoie une diffusion au(x) réseau(x) local(aux) à l'aide du protocole 44. Accepte les réponses de la plage d'adresses privées uniquement.

socat - UDP4-DATAGRAM:224.255.0.1:6666,bind=:6666,ip-add-membership=224.255.0.1:eth0 

transfère des données de stdin vers l'adresse de multidiffusion spécifiée en utilisant UDP. Les ports locaux et distants sont tous deux 6666. Indique à l'interface eth0 d'accepter également les paquets de multidiffusion du groupe donné. Plusieurs hôtes sur le réseau local peuvent exécuter cette commande, de sorte que toutes les données envoyées par l'un des hôtes seront reçues par toutes les autres. Il existe de nombreuses raisons possibles d'échec, notamment les filtres IP, les problèmes de routage, la mauvaise sélection de l'interface par le système d'exploitation, les ponts ou un commutateur mal configuré.

socat TCP:host2:4443 TUN:192.168.255.1/24,up

établit un côté d'un réseau virtuel (mais pas privé!) avec host2 où un processus similaire peut s'exécuter, avec UDP-L et tun address 192.168.255.2. Ils peuvent se joindre à l'aide des adresses 192.168.255.1 et 192.168.255.2. Le streaming par exemple. via TCP ou SSL ne garantit pas de conserver les limites des paquets et peut donc provoquer une perte de paquets.

socat PTY,link=/var/run/ppp,rawer INTERFACE:hdlc0

contourner le problème que pppd nécessite un périphérique série et peut donc ne pas être en mesure de travailler sur une ligne synchrone représentée par un périphérique réseau. socat crée un PTY pour rendre pppd heureux, se lie à l'interface réseau hdlc0 et peut transférer des données entre les deux appareils. Utiliser ensuite pppd sur le périphérique /var/run/ ppp.

socat -T 1 -d -d TCP-L:10081,reuseaddr,fork,crlf SYSTEM:"echo -e \"\\\"HTTP/1.0 200 OK\\\nDocumentType: text/plain\\\n\\\ndate: \$\(date\)\\\nserver:\$SOCAT\_SOCKADDR:\$SOCAT\_SOCKPORT\\\nclient: \$SOCAT\_PEERADDR:\$SOCAT\_PEERPORT\\\n\\\"\"; cat; echo -e \"\\\"\\\n\\\"\""

crée un serveur HTTP echo simple: chaque client HTTP qui se connecte obtient une réponse HTTP valide contenant des informations sur l'adresse et le port du client tels qu'ils sont vus par l'hôte du serveur, l'adresse de l'hôte (pouvant varier sur les serveurs multi-hôtes) demande du client.

   
  socat -d -d UDP4-RECVFROM:9999,so-broadcast,so-timestamp,ip-pktinfo,ip-recverr,ip-recvopts,ip-recvtos,ip-recvttl!!- SYSTEM:’export; sleep 1’ |grep SOCAT 

attend un paquet UDP entrant sur le port 9999 et imprime les variables d'environnement fournies par socat. Sur les systèmes basés sur BSD, il faudra remplacer ip-pktinfo par ip-recvdstaddr, ip-recvif. SOCAT_IP_DSTADDR est particulièrement intéressant: il contient l'adresse cible du paquet, qui peut être une adresse unicast, multicast ou broadcast.

Socat utilise un mécanisme de journalisation qui permet de filtrer les messages par gravité. Les sévérités fournies sont plus ou moins compatibles avec la priorité syslog appropriée. Avec une ou quatre occurrences de l'option de ligne de commande -d, la priorité la plus basse des messages émis peut être sélectionnée. Chaque message contient un caractère majuscule unique spécifiant la gravité des messages (l'un des caractères F, E, W, N, I ou D).

Les messages de journal peuvent être écrits dans stderr, dans un fichier ou dans syslog.

En sortie, socat donne le statut 0 s'il est terminé en raison d'un dépassement EOF ou d'un délai d'inactivité, avec une valeur positive en cas d'erreur et une valeur négative en cas d'erreur fatale.

Les variables d'entrée transportent des informations de l'environnement vers socat, les variables de sortie sont définies par socat pour être utilisées dans des scripts et des programmes exécutés.

Dans les variables de sortie commençant par “SOCAT”, ce préfixe est en fait remplacé par le nom en majuscule de l'exécutable ou la valeur de l'option -lp.