Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание (1114666), страница 33
Текст из файла (страница 33)
По умолчанию устанавливаются права 0755.Алфавитный перечень команд—о [owner], —owner [owner]Установить владельца нового файла. Если владелец не задан, им становится пользователь root (доступно толькопривилегированному пользователю).—s, —stripУдалить таблицы имен.ipchains command [options]Команда системного администрирования. Изменение правил для IP-брандмауэра в ядре Linux ветви 2.2. Если ядроLinux 2.2 собрано с поддержкой брандмауэринга, то заголовки всех сетевых пакетов будут проверяться на соответствиеустановленным правилам с целью определения дальнейшихдействий, выполняемых над пакетом.
Правила брандмауэрасостоят из критерия отбора и цели, а также действия, совершаемого в случае соответствия пакета критерию. Правилаобъединяются в цепи (chains) и могут применяться для создания брандмауэра или просто наложения запрета на определенные виды сетевых соединений.Правила брандмауэра, организованные в виде цепей, представляют собой упорядоченные списки правил, которыепросматриваются ядром в поисках соответствия критерию.Существует три предопределенных цепи: input, output и forward. Входящие пакеты проверяются на наборе правил цепиinput. Выходящие пакеты проверяются на наборе правилцепи output. Если входящий пакет адресован какой-либодругой системе, он проверяется на наборе правил цепи forward.
У каждой из этих цепей есть цель по умолчанию длятех случаев, когда ни одно правило не может быть применено. Цепи, определяемые пользователем, могут выступать вкачестве целей для пакетов, но они не имеют правил, применяемых по умолчанию. Если ни одно из правил цепи, определенной пользователем, не может быть применено, пакетвозвращается той цепи, из которой произошел вызов, и проверяется на соответствие следующему правилу этой цепи.Команда ipchains изменяет правила только в процессе работы ядра системы. Когда система выключается, все изменения теряются.
Можно воспользоваться командой ipchainssave для создания сценария, который позже, будучи выполненным командой ipchains-restore, восстановит настройкибрандмауэра. Такие сценарии часто называются загрузочными, и во многие дистрибутивы входят сценарии инициализации ipchains, использующие результаты работы ipchains-save.219installipchainsГлава 3.
Команды Linux220ipchainsКомандыКоманда ipchains всегда выполняется с указанием одной изследующих команд:—A chain rules, —append chain rulesДобавить новые правила (rules) к цепи (chain).—I chain number rules, —insert chain number rulesВставить правила (rules) в цепь chain в указанной позиции number.-D chain rules, —delete chain rulesУдалить правила из цепи.
Правила могут определятьсясвоими порядковыми номерами в цепи, а также общимиописаниями правил.—R chain number rule, —replace chain number ruleЗаменить правило в цепи. Заменяемое правило определяется порядковым номером number.—С chain rule, —check chain ruleСоздать сетевой пакет, соответствующий критериям указанного правила и проверить, как этот пакет будет обработан цепью.
Правило должно описывать источник, адресат, протокол и интерфейс конструируемого пакета.-L [chain], —list $PARAMETERПеречислить правила цепи. Если цепь не указана, перечислить все правила всех цепей.-ML, —masquerading —listПеречислить маскируемые соединения.—MS tcp tcpfin udp, —masquerading —set tcp tcpfin udpУстановить значение интервала ожидания (в секундах)для соединений, маскируемых сокрытием адресов. Команда —MS всегда должна иметь три аргумента, определяющие значения интервалов для сеансов TCP, для сеансовTCP, в которых были получены пакеты FIN и пакеты UDP.-F chain, —flush chainУдалить все правила из указанной цепи.-Z [chain], —zero [chain]Обнулить счетчики байт и пакетов для указанной цепи.Если цепь не указана, произойдет обнуление для всех цепей, а при использовании совместно с командой —L передобнулением перечисляются текущие значения всех счетчиков.Алфавитный перечень команд—N chain, —new-chain chainСоздать новую цепь.
Указанное имя цепи должно бытьуникальным.-X [chain], —delete-chain chainУдалить указанную цепь. Могут быть удалены только цепи, определенные пользователем, при этом не должно существовать ссылок на удаляемую цепь. Если цепь не указана, удаляются все определенные пользователем цепи.—Р chain target, —policy chain targetУстановить правило для предопределенной цепи. Цельне может являться цепью.-h [icmp]Вывести краткую справку по использованию.
Если заданаргумент icmp, перечислить доступные ICMP-типы.ЦелиЦель может являться именем цепи либо одним из следующих специальных значений:ACCEPTПропустить пакет.DENYУдалить пакет.MASQСкрыть адреса для данного пакета. Источником пакетастановится текущая система. Ответные пакеты автоматически подвергаются обратному преобразованию. Это правило доступно только для цепи forward или пользовательских цепей, в которых осуществляется ретрансляцияпакетов.
Для использования этого правила необходимаподдержка сокрытия адресов ядром (IP masquerading).REDIRECT [port]Перенаправить входящий пакет в указанный локальныйпорт, на котором работает «прозрачный» прокси-сервер.Если номер порта равен 0 или порт не определен, целевойпорт пакета выступает в качестве порта перенаправления. Правило REDIRECT может применяться либо дляцепи input, либо для определяемых пользователем цепей,которые обрабатывают входящие пакеты. Ядро должнобыть собрано с поддержкой «прозрачного» прокси-сервера.221ipchainsГлава 3. Команды Linux222ipchainsREJECTУдалить пакет и отправить ICMP-сообщение отправителю пакета с уведомлением об удалении.RETURNВернуть управление в цепь, из которой произошел вызовданной цепи, и проверить следующее правило.
Если RETURN является целью предопределенной цепи, то используется правило по умолчанию для этой цепи.Параметры определения правилСледующие параметры служат для создания правил, которые применяются с вышеперечисленными командами. Правила обычно состоят из критериев отбора и целей, к которым происходит переход (—j) при совпадении. Со многимикритериями отбора может использоваться отрицание, определяемое восклицательным знаком (!). Такие правила будутвыбирать все пакеты, кроме тех, что удовлетворяют указанному критерию.-р [!] пате, —protocol [\}$PARAMETERОтбор пакетов протокола пате. Значение пате можетбыть строковым именем или соответствующим числом(из файла /etc/protocols).
Наиболее часто встречаютсязначения tcp, udp, icmp, а также ключевое слово all. Число 0 идентично all, это значение является стандартным,если иное не определяется явно данным параметром.—s [!] address[/mask] [!] [port], —source [!] address[/mask][!] [port]Отбор пакетов, приходящих с указанного адреса и порта.Адрес может указываться в виде имени узла, имени сетиили в виде IP-адреса. Необязательный параметр mask определяет сетевую маску и может быть представлен в классическом формате (например, /255.255.255.0) или в современной, более краткой форме (например, /24). Необязательный параметр port определяет порт TCP, UDP илиICMP. Порт может быть указан только в том случае, еслибыл использован параметр -р с указанием протокола tcp,udp или icmp. Для задания включающего диапазона портов или значений ICMP, которые будут использованы приотборе пакетов, применяется двоеточие (например, 20:25для портов с 20 по 25).
Если отсутствует первое значениеport, принимается значение по умолчанию, а именно 0.Если отсутствует второе значение, оно принимается равным 65535.Алфавитный перечень команд-d [!] address[/mask] [!] [port], —destination [!]address[/mask] [!] [port]Отбор пакетов с определенным адресом назначения (address). Синтаксис параметра идентичен синтаксису параметра —s.—j target, —jump targetПереход к специальной цели или к определенной пользователем цепи.
Если этот параметр для правила не указан,соответствие пакета правилу лишь увеличивает счетчикидля правила, а пакет передается для проверки на соответствие следующему правилу.—i [!] пате, —interface nameОтбор пакетов интерфейса пате[+]. пате - это сетевойинтерфейс системы (например, ethO или рррО). Символ«+» может использоваться для создания маски. Так, значению ррр+ соответствуют все имена интерфейсов, начинающиеся с ррр.[!] -f, [!]—fragment $PARAMETERПравило отбирает все, кроме первого, фрагменты разбитого на части пакета.—source-port [l]portОтбор пакетов с указанным значением исходного порта.Синтаксис задания портов см.
в описании параметра -s.—destination-port [I]portОтбор пакетов с указанным значением целевого порта.Синтаксис задания портов см. в описании параметра —s.—icmp-type [!] typeОтбор пакетов, которые имеют указанный (по имени илиномеру) тип ICMP.Параметры—b, —bidirectionalДобавить правило в цепи input и output, чтобы на соответствие этому правилу проверялись как входящие, так иисходящие пакеты.—V, —verboseРежим подробной диагностики.223ipchains224ipchainsГлава 3.
Команды Linux—n, —numericОтображать все IP-адреса и номера портов в численномвиде. По умолчанию, где возможно, отображаются имена.-1, —logПри соответствии пакета правилу создавать соответствующую запись в системном журнале.—t andmask xormask, —TOS andmask xormaskИзменить поле Type of Service (Тип службы) в заголовкепакета. Поле пакета TOS - первое, над которым выполняется операция логического умножения AND на восьмибитную маску andmask, затем результат используется в качестве первого операнда для XOR xormask, где xormask также восьмибитная маска.
Правила, которые могут повлиять на наименее значимый бит (LSB) поля TOS, не применяются.-х, —exactПроизводить подстановку чисел при перечислении (-L).Отображать точные значения счетчиков байт и пакетоввместо округленных.[!] -у, —synОтбор только входящих запросов на ТСР-соедкнение, т.е.запросов с установленным битом SYN и сброшенными битами АСК и FIN. Таким образом, входящие TCP-соединения блокируются, но не затрагиваются исходящие соединения.—line-numbersИспользуется совместно с командой —L. Добавлять номерстроки в начало каждого правила в перечислении, определяя, таким образом, позицию правила в цепи.—no-warningsОтключить выдачу предупреждений.ipchains-restore ipchains-restore [options]Команда системного администрирования.
Восстановить набор правил брандмауэра, ipchains-restore использует длявосстановления правил брандмауэра в каждой цепи команды, сгенерированные ipchains-save. Часто применяется всценариях инициализации для восстановления набора правил при загрузке системы.Алфавитный перечень командПараметры—f225pchains-restoreПринудительное обновление существующих цепей.-v Отображать правила по мере добавления.—р Если целью правила является несуществующая цепь,создать ее.ipchains-save [chain] [option]ipchains-saveКоманда системного администрирования.
Вывести правилаIP-брандмауэра, хранящиеся в памяти ядра, на стандартный вывод. Если цепь не указана, отображаются правила извсех цепей. Вывод обычно перенаправляется в файл, который затем может быть использован совместно с ipchains-restore для восстановления значений.Параметр—v Отображать правила дополнительно в стандартный поток ошибок (stderr), облегчая их просмотр при перенаправлении вывода.ipfwadm category command parameters [options]ipfwadm -M [-1-s] [options]Управление брандмауэром и работа с правилами, ведениеучетных записей и сокрытие IP-адресов для ядер Linuxветви 2.0. В ветви 2.2 эта команда заменена на ipchains, aipchains - на iptables в ветви 2.4.Существуют четыре категории правил: учет IP-пакетов,входной брандмауэр, выходной брандмауэр и ретранслирующий брандмауэр.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
