Linux 版 (精华区)

发信人: tcpip (俺的昵称改了), 信区: Linux
标  题: 附录:ipchainsandipfwadm的不同之处--7
发信站: 哈工大紫丁香 (Fri Sep  3 16:28:03 1999), 转信

7. 附录: ipchains and ipfwadm 的不同之处

这些改变中的一些是核心变化的结果, ipchains 的一些结果与 ipfwadm 的不同.

    1.许多变量被重新定义: 大写表示命令, 小写表示选项. 

    2.支持随心所欲的链名, 所以即使内置链也用名称代替了标志(eg. `input' 代替

 `-I').     3.`-k' 选项没有了, 用 `! -y'. 

    4.`-b' 选项用于 inserts/appends/deletes 两个规则, 比一个 `bidirectional

' 规则强.     5.`-b' 跟在 `-C' 后做两项检查 (每个方向一个). 

    6.`-l'的 `-x' 选向被 `-v'代替. 

    7.复合源和目的端口不再被支持. 希望端口范围的应用可以弥补这些. 

    8.接口只能由名称指定(不是地址). 不论如何旧的悄悄的改变了. 

    9.片断被检查, 不再自动允许通过. 

   10.对链的详细记账已经做了. 

   11.基于 IP 的任何协议可以被测试. 

   12.旧的 SYN 和 ACK 匹配方式以改变. SYN 选相对于非特殊 TCP 规则不起作用. 

   13.计数器在32位机器上是64为了, 不再是32位. 

   14.支持否定选项. 

   15.支持 ICMP 代码. 

   16.接口指定支持统配符. 

   17.TOS 操作可以被很好的检测: 在旧的核心中当你操作 TOS 的 'Must Be Zero' 

位时(不合法), 它就静静的停止了; 对于 ipchains, 当你试图这样操       作时, 它

会象棋它的情况一样报错. 

7.1 快速参考表. 

[主要的, 命令参数使用大写, 选项实用小写]

一个需要注意的地方: 用 '-j MASQ' 指定伪装; 它与 '-j ACCEPT' 完全不同, 不要认

为只是这一方面与 ipfwadm 不同.

================================================================

| ipfwadm      | ipchains              | Notes

----------------------------------------------------------------

| -A [both]    | -N acct               | Create an `acct' chain

|              |& -I 1 input -j acct   | and have output and input

|              |& -I 1 output -j acct  | packets traverse it.

|              |& acct                 |

----------------------------------------------------------------

| -A in        | input                 | A rule with no target

----------------------------------------------------------------

| -A out       | output                | A rule with no target

----------------------------------------------------------------

| -F           | forward               | Use this as [chain].

----------------------------------------------------------------

| -I           | input                 | Use this as [chain].

----------------------------------------------------------------

| -O           | output                | Use this as [chain].

----------------------------------------------------------------

| -M -l        | -M -L                 |

----------------------------------------------------------------

| -M -s        | -M -S                 |

----------------------------------------------------------------

| -a policy    | -A [chain] -j POLICY  | (but see -r and -m).

----------------------------------------------------------------

| -d policy    | -D [chain] -j POLICY  | (but see -r and -m).

----------------------------------------------------------------

| -i policy    | -I 1 [chain] -j POLICY| (but see -r and -m).

----------------------------------------------------------------

| -l           | -L                    |

----------------------------------------------------------------

| -z           | -Z                    |

----------------------------------------------------------------

| -f           | -F                    |

----------------------------------------------------------------

| -p           | -P                    |

----------------------------------------------------------------

| -c           | -C                    |

----------------------------------------------------------------

| -P           | -p                    |

----------------------------------------------------------------

| -S           | -s                    | Only takes one port or 

|              |                       | range, not multiples.

----------------------------------------------------------------

| -D           | -d                    | Only takes one port or 

|              |                       | range, not multiples.

----------------------------------------------------------------

| -V           | <none>                | Use -i [name].

----------------------------------------------------------------

| -W           | -i                    |

----------------------------------------------------------------

| -b           | -b                    | Now actually makes 2 rules.

----------------------------------------------------------------

| -e           | -v                    |

----------------------------------------------------------------

| -k           | ! -y                  | Doesn't work unless 

|              |                       | -p tcp also specified.

----------------------------------------------------------------

| -m           | -j MASQ               |

----------------------------------------------------------------

| -n           | -n                    |

----------------------------------------------------------------

| -o           | -l                    |

----------------------------------------------------------------

| -r [redirpt] | -j REDIRECT [redirpt] |

----------------------------------------------------------------

| -t           | -t                    |

----------------------------------------------------------------

| -v           | -v                    |

----------------------------------------------------------------

| -x           | -x                    |

----------------------------------------------------------------

| -y           | -y                    | Doesn't work unless 

|              |                       | -p tcp also specified.

----------------------------------------------------------------

7.2 转换 ipfwadm 命令举例 

Old command: ipfwadm -F -p deny 

New command: ipchains -P forward DENY 

Old command: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0 

New command: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0 

Old command: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0 

New command: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0

 

(注意没有与用地址指定接口等价的命令: 请使用接口名称. 在这台机器上, 10.1.2.1

 与 eth0 一致).


--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: bin@mtlab.hit.edu.cn]