Linux HOWTO


Использование ipchains


Сначала убедитесь, что ваша версия ipchains соответствует той версии, о которой рассказывается в этом документе:

$ ipchains --version ipchains 1.3.9, 17-Mar-1999

Обратите внимание, что я рекомендую 1.3.4 (у которого нет никаких длинных опций, типа `--sport'), или 1.3.8 или выше; они очень устойчивы.

Ipchains имеет довольно подробный man (man ipchains), а если вам нужны подробности, вы можете проверить программный интерфейс (man 4 ipfw), или файл net/ipv4/ip_fw.c в исходных текстах ядра 2.1.x, который является (очевидно) авторитарным.

Имеется также превосходный краткий справочник Скотта Бронсона в пакете с исходными текстами в форматах A4 и US Letter Postscript(TM).

С ipchains можно делать множество вещей. Во-первых, управлять целыми цепочками. Изначально у вас есть три встроенных цепочки: input, forward и output, которые вы не можете удалять.

  1. Создать новую цепочку (-N).
  2. Удалить пустую цепочку (-X).
  3. Изменить стратегию для встроенной цепочки (-P).
  4. Выдать список правил цепочки (-L).
  5. Удалить правила из цепочки (-F).
  6. Обнулить счетчики пакетов и байтов во всех правилах цепочки (-Z).

Имеется несколько способов управлять правилами внутри цепочки:

  1. Добавить новое правило к цепочке (-A)
  2. Вставить новое правило в определенную позицию цепочки (-I)
  3. Заменить правило в определенной позиции цепочки (-R)
  4. Удалить правило в определенной позиции цепочки (-D)
  5. Удалить первое правило в цепочке, удовлетворяющее условию (-D)

Есть несколько операций для маскарадинга, которые находятся в ipchains из-за отсутствия более подходящего места для их размещения:

  1. Вывести текущие параметры маскарадинга (-M -L)
  2. Установить значения таймаутов для маскарадинга (-M -S)

(Но см. ``Я не могу установить таймауты маскарадинга!").

Последняя (и, возможно, наиболее полезная) функция позволяет вам проверить, что случилось бы с данным пакетом, если бы он должен был пересечь данную цепочку.




Начало  Назад  Вперед



Книжный магазин