Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание (1114666), страница 34
Текст из файла (страница 34)
Правила каждой категории представляютсобой отдельный список. Более подробное описание работысписков правил можно найти на страницах руководства(manpages) для ipfw(4).Каждая команда ipfwadm задает только одну категорию иодно правило. Для создания надежного брандмауэра необходимо выполнить множество команд ipfwadm; комбинацияопределенных ими правил гарантирует, что брандмауэр работает точно так, как задумывалось.
Вторая форма командыпредназначена для сокрытия адресов. Команды —1 и —s,описанные ниже, являются единственными, которые могутиспользоваться с категорией сокрытия —М.ipfwadmГлава 3. Команды Linux226ipfwadmКатегорииДля определения категории правил, к которой относится команда, необходимо указать один из следующих флагов:—A [direction]Правила учета IP-пакетов. Может быть задано направление:inТолько входящие пакеты.out Только исходящие пакеты.bothВсе пакеты; режим по умолчанию.-FПравила ретранслирующего брандмауэра.-IПравила входного брандмауэра.—М Управление сокрытием адресов. Может применятьсятолько с командами -1 и —s.-ОПравила выходного брандмауэра.КомандыЗа категорией следует команда, указывающая на предпринимаемое действие.
Если не указано другое, то в команднуюстроку может включаться только одно действие. Для команд, которые учитывают варианты поведения, доступныследующие варианты:acceptРазрешить получение, отправку или ретрансляцию пакетов, соответствующих правилу.denyЗапретить получение, отправку или ретрансляцию пакетов, соответствующих правилу.rejectЗапретить получение, отправку или ретрансляцию пакетов, соответствующих правилу, а также вернуть 1СМР-сообщение об ошибке узлу-отправителю.Существуют следующие команды:—a [policy]Добавить одно или более правил в конец списка правилдля категории.
Для правил учета пакетов поведение (policy) не указывается. Правила для брандмауэров требуютзадания варианта поведения. Когда происходит разрешение исходного и/или конечного имени в более чем одномАлфавитный перечень командадресе, добавляется правило для каждой возможнойкомбинации адресов.—с Проверить, будет ли данный IP-пакет принят (accepted),отвергнут (denied) или отклонен (rejected) указаннымтипом брандмауэра.
Параметр допустим только в категориях —О, -I и -F. Должен быть указан параметр —V.(См. ниже раздел «Настройки».)—d [policy]Удалить одну или более записей из списка правил дляданной категории. Для правил учета поведение (policy)не указывается. Аргументы этой команды должны вточности совпадать с аргументами команды добавленияили вставки, иначе соответствие не будет найдено, а правило не будет удалено. Удаляется только первое соответствующее правило из списка.—f Удалить (сбросить) все правила данной категории.—h Отобразить справку с кратким описанием синтаксисакоманд.
Используется без задания категории:% ipfwadm -h—i [policy]Вставить новое правило в начало списка правил даннойкатегории. Для правил учета поведение (policy) не указывается. Для правил брандмауэров указание вариантаповедения обязательно. Когда происходит разрешениеисходного и/или конечного имени в более чем одном адресе, добавляется правило для каждой возможной комбинации адресов.—1 Перечислить все правила данной категории. Эта команда может сочетаться с параметром —z для сброса счетчиков байт и пакетов после отображения их текущих значений. Если не задан также и параметр —х, значениясчетчиков отображаются в формате numbefK или питЬегМ с округлением до ближайшего целого.
См. такжеописание параметра —е в разделе «Параметры».-р policyИзменить заданный по умолчанию вариант поведениядля выбранного типа брандмауэра на policy. Поведениепо умолчанию вступает в силу, если пакет не соответствует ни одному из правил. Применение командыкорректно только с категориями —I, —О или —F.227ipfwadm228ipfwadmГлава 3. Команды Linux—s top tcpfin udpУстановить интервалы ожидания для сокрытия адресов.Применение корректно только с категорией —М.
Все триаргумента являются обязательными и представляют собой значения интервалов ожидания в секундах для TCPсеансов, TCP-сеансов после получения пакета FIN иUDP-сеансов. Если указан 0, то текущее значение аргумента сохраняется.—z Обнулить счетчики байт и пакетов для всех правил вданной категории. Команда может использоваться совместно с командой —1.НастройкиС командами —а, —i, —d и —с могут быть указаны следующиепараметры. Обратное отмечается специально. Несколько параметров можно задать в одной командной строке ipfwadm.—D address[/mask] {port...]Спецификация пункта назначения (необязательная).Синтаксис, значения по умолчанию и прочие требованияприведены в описании команды -S.
Типы ICMP не могутуказываться с -D.—Р protocolПротокол правила или пакета; корректные значения: tcp,udp, icmp или all. По умолчанию — all, т. е. все протоколы. -Р не может использоваться совместно с командой —с.-S address[/mas&] [port...]Исходный IP-адрес, указанный в виде имени узла, именисети или IP-адреса. Исходный адрес и маска по умолчанию имеют вид 0.0.0.0/0. Если указан параметр —S, также должен быть указан и параметр —Р. Необязательнаямаска задается как маска сети либо как число единиц влевой части двоичного представления маски (например,маска 24 эквивалентна 255.255.255.0). По умолчаниюзначение маски равно 32.
Может быть определено одноили несколько необязательных значений port, указывающих, к каким типам ICPM-портов должно применятьсяправило. По умолчанию port имеет значение all. Портымогут быть указаны в записях файла /etc/services. Синтаксис для указания диапазона портов следующий:lowport:highportНапример:-S 172.29.16.1/24 ftp:ftp-dataАлфавитный перечень команд—V addressАдрес сетевого интерфейса, через который получен пакет(для категории -I) либо через который посылается пакет(для категории —О), address может быть представлен в виде имени узла или IP-адреса и по умолчанию равен 0.0.0.0,что соответствует адресу любого интерфейса.
Параметр-V обязателен к использованию с командой -с.-V 172.29.16.1—W патеИдентично —V, но вместо адреса указывается имяустройства:-W рррОПараметры—b Двунаправленный режим. Правило действует на входящие и исходящие IP-пакеты. Параметр можно применять только с командами —а, —i и —d.—е Расширенный вывод. Используется совместно с командой —1 для отображения адреса интерфейса и любых настроек правил. При перечислении правил для брандмауэров отображаются счетчики байт и пакетов, а такжемаски типов сервисов TOS (Type of Service). В случаеприменения с категорией —М отображается информация, связанная с числами дельта-последовательностей.—k Работать с TCP-пакетами подтверждений, т.
е. только спакетами, содержащими установленный флаг АСК. Приработе со всеми прочими протоколами этот параметр игнорируется, его использование корректно только с командами —а, —i и —d.—m Пропустить для ретрансляции пакеты со скрытыми адресами таким образом, будто их отправителем являетсялокальный узел. Происходит распознавание реверсныхпакетов и автоматическое раскрытие адресов в обходретрансляционного брандмауэра. Этот параметр действителен только для правил ретрансляционных брандмауэров с поведением accept. Ядро должно быть собрано сключом CONFIG_IP_MASQUERADE.-п Численный вывод. Отображать IP-адреса и номера портов в численном формате.-о Вести записи в системном журнале о пакетах, которые соответствуют данному правилу. Параметр можно применять только с командами —а, —i и —d. Ядро должно бытьсобрано с ключом CONFIG_IP_FIREWALL_VERBOSE.229ipfwadmГлава 3.
Команды Linux230ipfwadm-r [port]Перенаправить пакеты в локальный сокет, даже еслиадресатом является удаленный узел. Если указан порт О(значение по умолчанию), используется порт адресатапакета. Этот параметр действителен только для правилвходных брандмауэров с поведением accept.
Ядродолжно быть собрано с ключом CONFIG_IP_TRANSPARENT_PROXY.—t andmask xormaskОпределить маски, применяемые для изменения поляTOS в заголовке пакета IP. Когда пакет принимается (соскрытыми адресами или без) правилом брандмауэра,происходит поразрядная операция (TOS AND andmask)XOR xormask. Маски задаются 8-битными шеетнадцатеричными числами. Применение параметра корректнотолько с командами —а, —i и —d и не имеет смысла с правилами учета пакетов или с правилами брандмауэров,для которых выбрано поведение deny или reject.—v Подробный вывод. Отображается детальная информация о правиле или пакете - добавляемом, удаляемомили проверяемом.