Avanti Indietro Indice

8. Appendice: Differenze tra ipchains e ipfwadm

Alcune di queste modifiche sono il risultato di modifiche nel kernel, e altre dipendono dal fatto che ipchains sembra differente da ipfwadm.

  1. Molti argomenti sono stati rimappati: le maiuscole ora indicano un comando e le minuscole indicano un'opzione.
  2. Sono supportate catene arbitrarie e quindi anche le catene predefinite ora hanno un nome invece di essere solamente un opzione (eg. `input' invece di `-I').
  3. L'opzione `-k' non c'è più: si usi `! -y'.
  4. L'opzione `-b' inserire/aggiunge/cancella veramente due regole, piuttosto che una singola regola `bidirezionale'.
  5. L'opzione `-b' può essere passata a `-C' per fare due verifiche (una in ogni direzione).
  6. L'opzione `-x' a `-l' è stata rimpiazzata da `-v'.
  7. Non sono più supportate porte di provenienza e destinazione multiple. Spero che l'essere in grado di negare un intervallo di porte venga in aiuto in questi casi.
  8. Le interfacce possono essere specificate solamente attraverso il nome (non l'indirizzo). Comunque, la vecchia semantica è stata silenzionamente cambiata nei kernel della serie 2.1.
  9. I frammenti sono esaminati, non lasciati passare automaticamente.
  10. Sono state rimosse le catene specifiche per l'accounting.
  11. Possono essere testati protocolli arbitrari su IP.
  12. Il vecchio comportamente del SYN e ACK matching (che in precedenza era ignorato per i pacchetti non TCP) è cambiato; l'opzione SYN non è valida per regole non specifiche per il TCP.
  13. I contatori sono ora a 64 bit su macchine a 32 bit, non più a 32 bit.
  14. Ora sono supportate le opzioni inverse.
  15. Ora sono supportati i codici ICMP.
  16. Sono supportati i caratteri jolly nella specifica dell'interfaccia.
  17. Ora è controllata l'integrità delle manipolazioni TOS: il vecchio codice del kernel sileziosamente bloccava le manipolazioni (illegali) del bit TOS `Must Be Zero'; ipchains ora restituisce un errore se ci si prova, come anche per gli altri casi illegali.

8.1 Tabella di riferimento rapido

[ Gli argomenti dei comandi sono in MAIUSCOLO, mentre gli argomenti delle opzioni in minuscolo ]

Una cosa da notare, il masquerading è specificato da `-j MASQ'; è completamente diverso da `-j ACCEPT', e non è trattato come un mero effetto collaterale, diversamente da quanto fa ipfwadm.

===================================================================
| ipfwadm      | ipchains                | Note
-------------------------------------------------------------------
| -A [both]    | -N acct                 | Crea una catena `acct'
|              |& -I 1 input -j acct     | e fa sì che i pacchetti
|              |& -I 1 output -j acct    | in ingresso e in uscita
|              |& acct                   | la traversino.
-------------------------------------------------------------------
| -A in        | input                   | Una regola senza tattica
-------------------------------------------------------------------
| -A out       | output                  | Una regola senza tattica
-------------------------------------------------------------------
| -F           | forward                 | Si usi questo come [catena]
-------------------------------------------------------------------
| -I           | input                   | Si usi questo come [catena]
-------------------------------------------------------------------
| -O           | output                  | Si usi questo come [catena]
-------------------------------------------------------------------
| -M -l        | -M -L                   |
-------------------------------------------------------------------
| -M -s        | -M -S                   |
-------------------------------------------------------------------
| -a tattica   | -A [catena] -j TATTICA  | (si veda anche -r e -m).
-------------------------------------------------------------------
| -d tattica   | -D [catena] -j TATTICA  | (si veda anche -r e -m).
-------------------------------------------------------------------
| -i tattica   | -I 1 [catena] -j TATTICA| (si veda anche -r e -m).
-------------------------------------------------------------------
| -l           | -L                      |
-------------------------------------------------------------------
| -z           | -Z                      |
-------------------------------------------------------------------
| -f           | -F                      |
-------------------------------------------------------------------
| -p           | -P                      |
-------------------------------------------------------------------
| -c           | -C                      |
-------------------------------------------------------------------
| -P           | -p                      |
-------------------------------------------------------------------
| -S           | -s                      | Accetta solo una porta o
|              |                         | intervallo.
-------------------------------------------------------------------
| -D           | -d                      | Accetta solo una porta o
|              |                         | intervallo.
-------------------------------------------------------------------
| -V           | <nessuna>               | Si usi -i [nome].
-------------------------------------------------------------------
| -W           | -i                      |
-------------------------------------------------------------------
| -b           | -b                      | Crea 2 regole.
-------------------------------------------------------------------
| -e           | -v                      |
-------------------------------------------------------------------
| -k           | ! -y                    | Non funziona finché non
|              |                         | si specifica anche -p tcp.
-------------------------------------------------------------------
| -m           | -j MASQ                 |
-------------------------------------------------------------------
| -n           | -n                      |
-------------------------------------------------------------------
| -o           | -l                      |
-------------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt]   |
-------------------------------------------------------------------
| -t           | -t                      |
-------------------------------------------------------------------
| -v           | -v                      |
-------------------------------------------------------------------
| -x           | -x                      |
-------------------------------------------------------------------
| -y           | -y                      | Non funziona finché non
|              |                         | si specifica anche -p tcp.
-------------------------------------------------------------------

8.2 Esempi di traduzione di comandi ipfwadm

Vecchio comando: ipfwadm -F -p deny

Nuovo comando: ipchains -P forward DENY

Vecchio comando: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0

Nuovo comando: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0

Vecchio comando: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0

Nuovo comando: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0

(Si noti che questi non sono equivalenti specificando l'interfaccia tramite l'indirizzo: si usi il nome di interfaccia. In questa macchina 10.1.2.1 corrisponde a eth0).


Avanti Indietro Indice