Next Previous Contents

8. Приложение. Различия между ipchains и ipfwadm.

Некоторые из этих изменений - результат изменений в ядре, и поэтому в ipchains есть отличия от ipfwadm.

  1. Многие параметры были повторно переопределены: заглавные буквы теперь указывают команду, а строчные буквы теперь указывают опцию.
  2. Поддерживаются произвольные цепочки, так даже встроенные цепочки обозначаются именами вместо флажков (напр. "input" вместо "-I").
  3. "-k" опция исчезла: используйте "! -y'.
  4. "-b" опция фактически вставляет/добавляет/удаляет два правила, скорее чем одно правило `bidirectional'.
  5. "-b" опцию можно использовать с "-C", чтобы сделать две проверки (в каждом направлении).
  6. "-x" опция в "-l" была заменена на "-v".
  7. Больше не поддерживаются множественные порты источника и адресата. Однако можно воспользоваться возможностью отрицать диапазоны портов.
  8. Интерфейсы могут быть определены только именем (не адресом). Старая семантика заменена в ядре 2.1.
  9. Фрагменты проверяются, не разрешены автоматически.
  10. Explicit accounting chains have been done away with.
  11. Могут быть проверены произвольные протоколы над IP.
  12. Изменено старое поведение соответствий SYN и ACK (который предварительно игнорировались для не-TCP пакетов); опция SYN не допустима для не-TCP-специфичных правил.
  13. Счетчики на 32-разрядных машинах теперь 64-разрядные, а не 32-разрядные.
  14. Поддерживаются обратные опции.
  15. Поддерживаются ICMP коды.
  16. Поддерживаются уайлдкарты интерфейсов.
  17. Исправлены манипуляции с TOS: старый код ядра просто зависал при (неправильном) управлении битом `Must Be Zero' TOS; теперь в этом и аналогичных случаях ipchains возвращает ошибку.

8.1 Краткая таблица перекрестных ссылок.

[В основном, аргументы команд в ВЕРХНЕМ РЕГИСТРЕ, а параметры опций - в нижнем]

Обратите внимание на такую вещь: маскарадинг определяется "-j MASQ'; это полностью отличается " -j ACCEPT', и не обрабатыватся как просто побочный эффект, как это делает ipfwadm.

  ================================================================
  | ipfwadm      | ipchains              | Notes
  ----------------------------------------------------------------
  | -A [both]    | -N acct               | Создает `acct' цепочку
  |              |& -I 1 input -j acct   | для входящих с исходящих
  |              |& -I 1 output -j acct  | пакетов.
  |              |& acct                 |
  ----------------------------------------------------------------
  | -A in        | input                 | Правило без действия
  ----------------------------------------------------------------
  | -A out       | output                | Правило без действия
  ----------------------------------------------------------------
  | -F           | forward               | Использ. это как [цепочка].
  ----------------------------------------------------------------
  | -I           | input                 | Использ. это как [цепочка].
  ----------------------------------------------------------------
  | -O           | output                | Использ. это как [цепочка].
  ----------------------------------------------------------------
  | -M -l        | -M -L                 |
  ----------------------------------------------------------------
  | -M -s        | -M -S                 |
  ----------------------------------------------------------------
  | -a policy    | -A [chain] -j POLICY  | (но см. -r и -m).
  ----------------------------------------------------------------
  | -d policy    | -D [chain] -j POLICY  | (но см. -r и -m).
  ----------------------------------------------------------------
  | -i policy    | -I 1 [chain] -j POLICY| (но см. -r и -m).
  ----------------------------------------------------------------
  | -l           | -L                    |
  ----------------------------------------------------------------
  | -z           | -Z                    |
  ----------------------------------------------------------------
  | -f           | -F                    |
  ----------------------------------------------------------------
  | -p           | -P                    |
  ----------------------------------------------------------------
  | -c           | -C                    |
  ----------------------------------------------------------------
  | -P           | -p                    |
  ----------------------------------------------------------------
  | -S           | -s                    | Можно указывать только
  |              |                       | один порт, не несколько.
  ----------------------------------------------------------------
  | -D           | -d                    | Можно указывать только
  |              |                       | один порт, не несколько.
  ----------------------------------------------------------------
  | -V           | <нету>                | Использ. -i [имя].
  ----------------------------------------------------------------
  | -W           | -i                    |
  ----------------------------------------------------------------
  | -b           | -b                    | Факт-ки создает 2 правила.
  ----------------------------------------------------------------
  | -e           | -v                    |
  ----------------------------------------------------------------
  | -k           | ! -y                  | Не работает, если нет
  |              |                       | опции -p tcp.
  ----------------------------------------------------------------
  | -m           | -j MASQ               |
  ----------------------------------------------------------------
  | -n           | -n                    |
  ----------------------------------------------------------------
  | -o           | -l                    |
  ----------------------------------------------------------------
  | -r [redirpt] | -j REDIRECT [redirpt] |
  ----------------------------------------------------------------
  | -t           | -t                    |
  ----------------------------------------------------------------
  | -v           | -v                    |
  ----------------------------------------------------------------
  | -x           | -x                    |
  ----------------------------------------------------------------
  | -y           | -y                    | Не работает, если нет
  |              |                       | опции -p tcp.
  ----------------------------------------------------------------

8.2 Примеры транслируемых команд ipfwadm

Старая команда: ipfwadm -F -p deny
Новая команда: ipchains -P forward DENY

Старая команда: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
Новая команда: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0

Старая команда: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0
Новая команда: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0
(Обратите внимание, что интерфейсы адресами указать нельзя: используйте имя интерфейса. На этой машине, 10.1.2.1 соответствует eth0).


Next Previous Contents