Linux 版 (精华区)
发信人: tcpip (俺的昵称改了), 信区: Linux
标 题: 附录:ipchainsandipfwadm的不同之处--7
发信站: 哈工大紫丁香 (Fri Sep 3 16:28:03 1999), 转信
7. 附录: ipchains and ipfwadm 的不同之处
这些改变中的一些是核心变化的结果, ipchains 的一些结果与 ipfwadm 的不同.
1.许多变量被重新定义: 大写表示命令, 小写表示选项.
2.支持随心所欲的链名, 所以即使内置链也用名称代替了标志(eg. `input' 代替
`-I'). 3.`-k' 选项没有了, 用 `! -y'.
4.`-b' 选项用于 inserts/appends/deletes 两个规则, 比一个 `bidirectional
' 规则强. 5.`-b' 跟在 `-C' 后做两项检查 (每个方向一个).
6.`-l'的 `-x' 选向被 `-v'代替.
7.复合源和目的端口不再被支持. 希望端口范围的应用可以弥补这些.
8.接口只能由名称指定(不是地址). 不论如何旧的悄悄的改变了.
9.片断被检查, 不再自动允许通过.
10.对链的详细记账已经做了.
11.基于 IP 的任何协议可以被测试.
12.旧的 SYN 和 ACK 匹配方式以改变. SYN 选相对于非特殊 TCP 规则不起作用.
13.计数器在32位机器上是64为了, 不再是32位.
14.支持否定选项.
15.支持 ICMP 代码.
16.接口指定支持统配符.
17.TOS 操作可以被很好的检测: 在旧的核心中当你操作 TOS 的 'Must Be Zero'
位时(不合法), 它就静静的停止了; 对于 ipchains, 当你试图这样操 作时, 它
会象棋它的情况一样报错.
7.1 快速参考表.
[主要的, 命令参数使用大写, 选项实用小写]
一个需要注意的地方: 用 '-j MASQ' 指定伪装; 它与 '-j ACCEPT' 完全不同, 不要认
为只是这一方面与 ipfwadm 不同.
================================================================
| ipfwadm | ipchains | Notes
----------------------------------------------------------------
| -A [both] | -N acct | Create an `acct' chain
| |& -I 1 input -j acct | and have output and input
| |& -I 1 output -j acct | packets traverse it.
| |& acct |
----------------------------------------------------------------
| -A in | input | A rule with no target
----------------------------------------------------------------
| -A out | output | A rule with no target
----------------------------------------------------------------
| -F | forward | Use this as [chain].
----------------------------------------------------------------
| -I | input | Use this as [chain].
----------------------------------------------------------------
| -O | output | Use this as [chain].
----------------------------------------------------------------
| -M -l | -M -L |
----------------------------------------------------------------
| -M -s | -M -S |
----------------------------------------------------------------
| -a policy | -A [chain] -j POLICY | (but see -r and -m).
----------------------------------------------------------------
| -d policy | -D [chain] -j POLICY | (but see -r and -m).
----------------------------------------------------------------
| -i policy | -I 1 [chain] -j POLICY| (but see -r and -m).
----------------------------------------------------------------
| -l | -L |
----------------------------------------------------------------
| -z | -Z |
----------------------------------------------------------------
| -f | -F |
----------------------------------------------------------------
| -p | -P |
----------------------------------------------------------------
| -c | -C |
----------------------------------------------------------------
| -P | -p |
----------------------------------------------------------------
| -S | -s | Only takes one port or
| | | range, not multiples.
----------------------------------------------------------------
| -D | -d | Only takes one port or
| | | range, not multiples.
----------------------------------------------------------------
| -V | <none> | Use -i [name].
----------------------------------------------------------------
| -W | -i |
----------------------------------------------------------------
| -b | -b | Now actually makes 2 rules.
----------------------------------------------------------------
| -e | -v |
----------------------------------------------------------------
| -k | ! -y | Doesn't work unless
| | | -p tcp also specified.
----------------------------------------------------------------
| -m | -j MASQ |
----------------------------------------------------------------
| -n | -n |
----------------------------------------------------------------
| -o | -l |
----------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt] |
----------------------------------------------------------------
| -t | -t |
----------------------------------------------------------------
| -v | -v |
----------------------------------------------------------------
| -x | -x |
----------------------------------------------------------------
| -y | -y | Doesn't work unless
| | | -p tcp also specified.
----------------------------------------------------------------
7.2 转换 ipfwadm 命令举例
Old command: ipfwadm -F -p deny
New command: ipchains -P forward DENY
Old command: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
New command: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0
Old command: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0
New command: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0
(注意没有与用地址指定接口等价的命令: 请使用接口名称. 在这台机器上, 10.1.2.1
与 eth0 一致).
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: bin@mtlab.hit.edu.cn]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.126毫秒