Некоторые из этих изменений - результат изменений в ядре, и поэтому
в ipchains есть отличия от ipfwadm.
- Многие параметры были повторно переопределены: заглавные буквы теперь
указывают команду, а строчные буквы теперь указывают опцию.
- Поддерживаются произвольные цепочки, так даже встроенные цепочки
обозначаются именами вместо флажков (напр. "input" вместо "-I").
- "-k" опция исчезла: используйте "! -y'.
- "-b" опция фактически вставляет/добавляет/удаляет два правила, скорее чем
одно правило `bidirectional'.
- "-b" опцию можно использовать с "-C", чтобы сделать две проверки (в каждом
направлении).
- "-x" опция в "-l" была заменена на "-v".
- Больше не поддерживаются множественные порты источника и адресата.
Однако можно воспользоваться возможностью отрицать диапазоны портов.
- Интерфейсы могут быть определены только именем (не адресом). Старая
семантика заменена в ядре 2.1.
- Фрагменты проверяются, не разрешены автоматически.
- Explicit accounting chains have been done away with.
- Могут быть проверены произвольные протоколы над IP.
- Изменено старое поведение соответствий SYN и ACK (который предварительно
игнорировались для не-TCP пакетов); опция SYN не допустима для
не-TCP-специфичных правил.
- Счетчики на 32-разрядных машинах теперь 64-разрядные, а не 32-разрядные.
- Поддерживаются обратные опции.
- Поддерживаются ICMP коды.
- Поддерживаются уайлдкарты интерфейсов.
- Исправлены манипуляции с TOS: старый код ядра просто зависал при
(неправильном) управлении битом `Must Be Zero' TOS; теперь в этом и
аналогичных случаях ipchains возвращает ошибку.
[В основном, аргументы команд в ВЕРХНЕМ РЕГИСТРЕ, а параметры опций - в нижнем]
Обратите внимание на такую вещь: маскарадинг определяется "-j MASQ';
это полностью отличается " -j ACCEPT', и не обрабатыватся как просто
побочный эффект, как это делает ipfwadm.
================================================================
| ipfwadm | ipchains | Notes
----------------------------------------------------------------
| -A [both] | -N acct | Создает `acct' цепочку
| |& -I 1 input -j acct | для входящих с исходящих
| |& -I 1 output -j acct | пакетов.
| |& acct |
----------------------------------------------------------------
| -A in | input | Правило без действия
----------------------------------------------------------------
| -A out | output | Правило без действия
----------------------------------------------------------------
| -F | forward | Использ. это как [цепочка].
----------------------------------------------------------------
| -I | input | Использ. это как [цепочка].
----------------------------------------------------------------
| -O | output | Использ. это как [цепочка].
----------------------------------------------------------------
| -M -l | -M -L |
----------------------------------------------------------------
| -M -s | -M -S |
----------------------------------------------------------------
| -a policy | -A [chain] -j POLICY | (но см. -r и -m).
----------------------------------------------------------------
| -d policy | -D [chain] -j POLICY | (но см. -r и -m).
----------------------------------------------------------------
| -i policy | -I 1 [chain] -j POLICY| (но см. -r и -m).
----------------------------------------------------------------
| -l | -L |
----------------------------------------------------------------
| -z | -Z |
----------------------------------------------------------------
| -f | -F |
----------------------------------------------------------------
| -p | -P |
----------------------------------------------------------------
| -c | -C |
----------------------------------------------------------------
| -P | -p |
----------------------------------------------------------------
| -S | -s | Можно указывать только
| | | один порт, не несколько.
----------------------------------------------------------------
| -D | -d | Можно указывать только
| | | один порт, не несколько.
----------------------------------------------------------------
| -V | <нету> | Использ. -i [имя].
----------------------------------------------------------------
| -W | -i |
----------------------------------------------------------------
| -b | -b | Факт-ки создает 2 правила.
----------------------------------------------------------------
| -e | -v |
----------------------------------------------------------------
| -k | ! -y | Не работает, если нет
| | | опции -p tcp.
----------------------------------------------------------------
| -m | -j MASQ |
----------------------------------------------------------------
| -n | -n |
----------------------------------------------------------------
| -o | -l |
----------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt] |
----------------------------------------------------------------
| -t | -t |
----------------------------------------------------------------
| -v | -v |
----------------------------------------------------------------
| -x | -x |
----------------------------------------------------------------
| -y | -y | Не работает, если нет
| | | опции -p tcp.
----------------------------------------------------------------
Старая команда: ipfwadm -F -p deny
Новая команда: ipchains -P forward DENY
Старая команда: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
Новая команда: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0
Старая команда: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0
Новая команда: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0
(Обратите внимание, что интерфейсы адресами указать нельзя: используйте имя
интерфейса. На этой машине, 10.1.2.1 соответствует eth0).
Вперед
Назад
Содержание
Виртуальные VPS серверы в РФ и ЕС
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
