精华区文章阅读

发信人: RedAlert (爱老虎油), 信区: Linux
标  题: ipchains--HowTo
发信站: 紫丁香 (Wed Jan 19 19:25:20 2000), 转信

　
1. 介绍
　　假如你已经熟悉包过滤, 直接看 Why? 节, How? 节, 有选择的看 IP
防火链部分.
　　如果你以前使用 ipfwadm, 看介绍, How?, 附录的 ipchains 和
ipfwadm 的不同之处和使用 `ipfwadm-wrapper' script 章节。７在
Linux 中, 包过滤器内建于核心, 我们可以对包做一些微妙的处理, 大体
的原理是根据包头来决定包的命运。
2.2 为什么用?
控制. 安全. 监视
控制:
　　当你正用 Linux 机器把你的内部网连接到连接到其它网络时(就说因
特网), 你有机会决定让某些类型的包传输, 其余的禁止. 例如: 包头包
含有包的目的地址, 因此你可以阻止它传送到某些特定的外部网. 另一个
例子, 我使用 Netscape 访问 Dilbert archives. 它上面有从
doubleclick.net 来的广告, 并且 Netscape 浪费我的时间来传送广告.
可以告诉过滤器禁止送往或接收属于 doubleclick.net 地址的包,来解决
问题。
安全:
　　在混乱的因特网和你的谨慎的、秩序井然的网络之间的唯一连接是你
的 Linux 机器,能限制什么可以进入你的网络是再好不过的事情了. 例
如: 你可以允许网络中的任何包发出, 但你可能担心外部网络来的怀有恶
意的" Ping Death "(译者注: 第五节有介绍). 另一个例子: 你不允许从
外部登录到你的 Linux 主机, 即使有帐号和密码; 也许像许多人一样,你
想成为因特网的监控者, 而不是服务者或其它什么 -- 使用包过滤器拒绝
任何想进入的包, 就可以不让任何人连入。
监视:
　　有时, 错误的配置局域网上机器会造成大量的包流向外部网络, 让包
过滤器报告任何不正常的事情是一件好事; 你也许可以做点什么, 或判断
它是正常的。
2.3 怎样用?
　　一个有包过滤器的内核.
　　你需要一个有新的 IP 防火墙(IP firewall chains)的内核. 你可以
用查找"/proc/net/ip_fwchains"文件的方法,来判断正在运行的内核是否
安装了防火墙. 假如文件存在, OK。
　　如果不是这样, 你需要生成一个有 IP 防火墙的内核. 首先, 下载一
个你想要的内核. 假如你有 2.1.102 或更高版本的内核, 你不需要修补
它(它是现在的主流内核). 否则, 在 web 站点上面下载补丁, 按照下面
的详细说明配置内核. 假如你不知道如何配置内核, 不要惊慌 -- 看
Kernel-HOWTO。
2.0系列核心需要设定的选项:
　　CONFIG_EXPERIMENTAL=y
　　CONFIG_FIREWALL=y
　　CONFIG_IP_FIREWALL=y
　　CONFIG_IP_FIREWALL_CHAINS=y
2.1 或 2.2 系列核心需要设定的选项:
　　CONFIG_FIREWALL=y
　　CONFIG_IP_FIREWALL=y
　　用工具软件 ipchains 与核心交流,告诉它什么包需要过滤掉. 除非
你是程序员, 或过于好奇, 这就是你如何控制包过滤器的方法.
ipchains.
　　此工具代替了旧的防火墙工具ipfwadm. 软件包中包含了一个叫
ipfwadm-wrapper 的 shell 脚本, 它能让你在 ipchains 工具可以工作
之前(核心版本不适应 ipchains 工作的情况)控制包过滤器. 除非你想对
使用 ipfwadm 的系统快速升级, 否则你并不需要此 shell 脚本.(它速度
慢, 并且不检查参数,等等). 如果这样的话, 你不需要看更多的 HOWTO
了. 看附录 ipchains 和 ipfwadm 的不同之处和附录使用
`ipfwadm-wrapper' script 以得到更多的关于 ipfwadm 的问题。
3.我被 Routing, masquerading, portforwarding, ipautofw...搞糊度
了。
　　这个 HOWTO 是关于包过滤器的. 意思是决定一个包通过或不. 然而,
Linux 作为黑客平台, 你也许想做比这更多的事情。
　　一个问题是, 同一个工具(ipchains)用于控制伪装和传输代理工作,
尽管这些是从包过滤中分离出来的想法. (如果不认为它们相近的话, 目
前 Linux 上的工具合并在一起是不舒服的.)
　　伪装和代理的说明包含在被分离出去的HOWTO中, 并且自动中转和端
口中转由分离出去的工具控制, 但是,因为有许多人一直问我关于它们的
问题, 我将讲述一些有共性的问题和什么时候应该使用它们中的哪一个.
这里不讲每个设置的安全性问题.
3.1 免费宣传: WatchGuard Rules
　　你可以购买非免费的防火墙软件. 优秀的一个是 WatchGuard 的
FireBox. 它之所以优秀是因为我喜欢它, 它安全, 基于 Linux, 并且他
们支持与新的防火墙软件(aimed for 2.3)一样好的 ipchains 的继续开
发. 一句话, 当我为你工作的时候, WatchGuard 供养我. 所以请考虑他
们的产品.
http://www.watchguard.com
　　以上与技术无关, 但与人的生存有关, 所以我把它翻译出来了。
3.2 防火墙们相类似的共同设置
　　你经营 littlecorp.com. 有一个内部网, 和用一个 PPP 连接到因特
网(firewall.littlecorp.com 地址是 1.2.3.4). 你的局域网是个乙太
网, 你个人的机器叫 myhost。
3.3 私有网络: 传统的代理服务
　　此方案中, 包不会从私有网络中传送到因特网和 vice versa. 私有
网络中的IP地址应遵循RFC1597中为私有网络分配的.(象 10.*.*.*,
172.16.*.* 或192.168.*.*)
　　只有通过连接到防火墙机器这么一条路连接到因特网, 它是两个网络
之间的唯一连接. 你在防火墙机器上运行代理软件来代理 FTP, web访问,
telnet, RealAudio, Usenet News 等服务. 具体请看 firewall HOWTO.
　　需要因特网访问的所有服务必须安装在防火墙机器上.(看下面的有
限的因特网服务).
例如: 允许从私有网络中访问因特网上的 web.
　　私有网络地址为192.168.1.*, 其中 myhost 是 192.168.1.100, 防
火墙机器网卡是 192.168.1.1.
　　web 代理 (eg. "squid") 被安装在防火墙机器上并配置端口为
8080.
　　私有网络上运行的 Netscape 设置防火墙机器 8080 作为代理.
　　私有网络的 DNS 无须设置.
　　防火墙机器上的 DNS 必须设置.
　　私有网络上的机器不设置默认路由(别名网关).
　　myhost 机器上的 Netscape 访问 http://slashdot.org.
　　Netscape 使用 myhost 机器的端口 1050 连接防火墙机器的端口
8080. 请求 "http://slashdot.org". 页面.
　　代理去查找名字 "slashdot.org", 并得到地址 207.218.152.131.
它与那个地址建立一个连接(使用防火墙机器外部接口的端口 1025 ), 并
向 web 服务器 (port 80) 索取页面.
　　当它从 web 服务器得到页面后, 它把数据复制到与 Netscape 建立
的连接.
　　Netscape 提交此页面.
　　从 slashdot.org' 来看, 连接是从 1.2.3.4 (防火墙机器的拨号接
口)的端口 1025 到 207.218.152.131(slashdot.org) 的端口 80. 从
myhost 的角度来看, 连接是从 192.168.1.100 (myhost)的端口1050到
192.168.1.1(防火墙机器的乙太网卡)的端口8080.
3.4 私有网络: 透明的代理服务
　　此方案中, 包不会从私有网络中传送到因特网和 vice versa. 私有
网络中的IP地址应遵循RFC1597中为私有网络分配的.(象 10.*.*.*,
172.16.*.* 或192.168.*.*)
　　只有通过连接作为防火墙的机器这么一条路连接到因特网, 它是连接
两个网络的唯一的一台机器. 你在作为防火墙的机器上运行一个叫做透明
代理的软件来代理对外部的访问. 核心把需要向外发送的包发到透明代理
服务.
　　透明代理的意思是客户端不需要知道复杂的代理服务.
　　需要因特网访问的所有服务必须安装在作为防火墙的机器上.(看下面
的有限的因特网服务).
　　例如: 允许从私有网络上访问因特网上的 web 站点.
　　私有网络地址为192.168.1.*, 其中 myhost 是 192.168.1.100, 防
火墙机器网卡是 192.168.1.1.
　　透明web 代理 (我相信有 "squid"的补丁程序工作于此种方式, 或试
试 "transproxy") 被安装在防火墙机器上并配置端口为 8080.
　　核心使用 ipchains 把与防火墙端口80的连接重定向到代理服务.
私有网上的 Netscape 被配置为直接连接方式.
　　私有网络的 DNS 需要设置(你需要在防火墙机器上运行DNS代理服
务).
　　防火墙机器上的 DNS 必须设置.
　　私有网络上机器的默认路由(别名网关)指向防火墙机器.
　　myhost机器上的 Netscape 访问 http://slashdot.org.
　　1.Netscape通过查找"slashdot.org", 得到它的地址为207.218.152.
131. 然后它使用端口1050与此地址建立一个连接, 并向 web 站点索取页
面.
　　当包由 myhost (port 1050) 通过防火墙送往 slashdot.org (port
80) 时, 它们重定向到代理服务重定的8080端口. 透明代理使用端口1025
与 207.218.152.131的端口80(这是原始包发往的地址)建立一个连接.
　　当代理服务收到从 web 站点传来的页面后, 通过已经建立的连接把
它复制给 Netscape.
　　Netscape 显示此页面.
　　从 slashdot.org 的角度来看,连接是由 1.2.3.4 (防火墙的拨号连
接 IP 地址)的端口 1025 到 207.218.152.131 的端口 80. 从 myhost
的角度来看，连接是从 192.168.1.100 (myhost) 端口 1050 连接到
207.218.152.131 (slashdot.org)的端口 80, 但是, 它实际是在与透明
代理服务器对话.
3.5 私有网络: 伪装
　
　　此方案中, 包不经特殊处理不会从私有网络中传送到因特网和 vice
versa. 私有网络中的IP地址应遵循RFC1597中为私有网络分配的.(象
10.*.*.*, 172.16.*.* 或192.168.*.*)
　　代使用代理服务的是我们使用核心的伪装服务. 伪装服务重写经过防
火墙的包, 所以包看起来就象从防火墙自身发出的. 然后代理服务重写返
回的包使他们看起来是发往原来的申请者.
　　伪装有分离的模块去使用 "tricky" 协议, 如同 FTP, RealAudio,
Quake 等. 为了真正掌握这些协议, "auto forwarding" 功能使用自动设
置端口中转来操纵有关端口: 看"ipportfw"(2.0 核心)或
"ipmasqadm"(2.1 核心).
　　需要因特网访问的所有服务必须安装在作为防火墙的机器上.(看下面
的有限的因特网服务).
　　例如: 允许从私有网络上访问因特网上的 web 站点.
　　私有网络地址为192.168.1.*, 其中 myhost 是 192.168.1.100, 防
火墙机器网卡是 192.168.1.1.
　　防火墙伪装从私有网络中来的任何发往因特网上某主机80端口的包.
　　私有网上的 Netscape 被配置为直接连接方式.
　　私有网络的 DNS 需要设置(你需要在防火墙机器上运行DNS代理服
务).
　　私有网络机器的 DNS 必须正确设置.
　　私有网络上机器的默认路由(别名网关)设定为指向防火墙机器.
　　myhost机器上的 Netscape 访问 http://slashdot.org.
　　1.Netscape通过查找"slashdot.org", 得到它的地址为
207.218.152.131. 然后它使用端口1050与此地址建立一个连接, 并向
web 站点索取页面.
　　当包由 myhost (port 1050) 通过防火墙送往 slashdot.org (port
80) 时, 它们被重写为由PPP地址发出, 端口是 65000. 防火墙有合法的
IP地址, 所以从 www.slashdot.com 返回的包可以找到正确的返回路径.
　　当包从 slashdot.org (端口 80)来到 firewall.littlecorp.com
(端口 65000)后, 它们被重写为发向 myhost, 端口 1050. 这是伪装的真
正奥妙: 它可以记住它重写后发出去的包, 当此包的回复包返回来时改写
它们, 再发给私有网络中的访问者.
　　Netscape 显示此页面.
　　从 slashdot.org 的角度来看,连接是由 1.2.3.4 (防火墙的拨号连
接 IP 地址)的端口 65000 到 207.218.152.131 的端口 80. 从 myhost
的角度来看，连接是从 192.168.1.100 (myhost) 端口 1050 连接到
207.218.152.131 (slashdot.org)的端口 80.
3.6 公共网络
　　此节, 你的个人网络是因特网的一部分: 包不用改动即可在两个网络
之间传送. 分配给内部网络的 IP 地址必须是申请的 IP 地址块, 这样网
络上的其它机器将知道如何向你发送包. 这意味着永久的连接.
　　包过滤器在此处的作用是, 允许什么包可以在私有网络和因特网之间
传送, 例如: 限定外部网络只能访问你的 web 服务器.
　　例如: 允许从私有网络上访问因特网上的 web 站点.
　　按申请的 IP 地址给你的网络分配.
　　防火墙被设置为允许通过.
　　Netscape 设置为直接连接.
　　正确配置 DNS.
　　把私有网络的防火墙设置为默认路由器.
　　myhost 机器上的 Netscape 访问 http://slashdot.org.
　　1.Netscape通过查找"slashdot.org", 得到它的地址为
207.218.152.131. 然后它使用端口1050与此地址建立一个连接, 并向
web 站点索取页面.
　　包通过你的防火墙, 如同通过你和 slashdot.org 之间的其它路由器
一样.
　　Netscape 显示此页面.
　　1.2.3.100 (myhost) 端口1050 与 207.128.152.131
(slashdot.org) 端口 80 之间的连接是唯一的连接.
3.7 有限的因特网服务
　　当因特网访问你内部网的服务器时, 可以采用一些哄骗的手法, 这要
好过让这些服务运行在防火墙机器上. 它们以代理或者类似伪装的方法为
外部访问服务.
　　最简单的方法是运行重定向( "redirector"), 这是一个单一的代理
服务, 它在设定的端口等待连接, 然后与内部网的一个固定的主机和端口
号连接, 在两个连接之间复制数据. "redir"程序是这种方式的一个特例.
从因特网的角度来看, 是与防火墙之间的连接. 从内部网服务器的角度来
看, 是内部网接口与防火墙之间产生连接.
　　另一种方式(需要 2.0 核心的 ipportfw 补丁, 或 2.1 及其以后的
内核)是内核中的端口中转技术. 它和 "redir" 以不同的方法做同样的服
务: 核心重写通过的包, 改变它们的目的地址和端口号使它们指向内部网
中的主机和端口号. 从因特网的角度来看, 是与你的防火墙连接. 从你的
内部网服务器的角度来看, 是因特网上机器与它的直接连接.
4. IP 防火链
　　本节描述你建立包过滤器时需要知道的知识.
4.1 包是如何通过过滤器的
　　核心开始时亦启动了三个规则表, 这些表就叫防火链或链. 三个链叫
进入(input), 外出(output), 中转(forward). 当一个包进来时(是说从
网卡进来的), 核心使用进入链来决定它的命运. 如果它通过了, 那么核
心将决定包下一步该发往何处(这一步叫路由). 假如它是送往另一台机器
的, 核心就运用中转链. 最后, 一个包发送出去之前, 核心就应用外出
链.
　　一个链就是一个规则(rules)表. 规则的意思是: 如果包头符合规则
的定义, 就按预先的设定对包做某种处理. 如果包与此规则不相符, 就与
下一个规则比较. 最后, 假如没有用于比较的规则了, 那么核心按预定的
策略决定该做什么. 在安全防护系统中, 策略通常告诉核心拒绝或丢弃此
包.
　　下面是一个包进入一台机器的完整路径.
----------------------------------------------------------------
| ACCEPT/ lo interface |
v REDIRECT |
--> C --> S --> ______ --> D --> ~~~~ --> local? -----> _______
-->
h -> a |input | e {Routing } __|____ |output |ACCEPT
e | n |Chain | m {Decision} |forward|---->|Chain |
c | i |______| a ~~~~ |Chain | ^ |_______|
k | t | s | ^ |_______| | |
s | y | q | | | | |
u | | v e v | | | v
m | | DENY/ r Local Process v | DENY/
| | v REJECT a | DENY/ | REJECT
| |DENY d | REJECT |
v | e -------+---------------------
DENY| |
------------------------------
　　这儿是每一步的详细描述:
Checksum:
　　测试包在传输中是否有误. 如果有误, 把包丢弃.
　
Sanity:
　　每个防火链都有包的正常性检查, 但是进入链是最重要的. 一些畸形
的包会把规则检查搞糊度, 这些包在此被丢弃(假如发生此种情况, 会在
系统记录中写入一个信息).
　　
input chain:
　　这是防火链的第一个检查站. 如果包不被丢弃或拒绝, 则继续.
　
Demasquerade:
　　假如此包是事前发出的伪装的包的回复, 它被恢复, 并且跳过外出链
检查. 假如你不使用伪装, 你可从思想上取消图的此部分.
Routing decision:
　　通过路由表检查目的地, 来决定此包送给本地还是中转到远程机器.
Local process:
　　它是一个运行的进程, 接收经过路由判断后过来的包, 并把它发送出
去.
　
lo interface:
　　假如包是由一个本地进程为另一个本地进程产生的, 它们将通过外出
链的'lo'接口, 然后返回进入链的'lo'接口. 'lo'接口通常叫本地环路接
口.
local:
　　假如包不是由本地进程产生的, 那么将进入中转链, 否则进入外出
链.
　
forward chain:
　　任何包试图从本机到达其它的机器, 都必需被中转链检查.
output chain:
　　外出链在包外出之前检查它们.
　　使用 ipchains.
　　首先请检查 ipchains 版本是否符合要求:
　　$ ipchains --version
　　ipchains 1.3.8, 27-Oct-1998
　　ipchains 有一个详细的手册 (man ipchains), 如果你想知道细节问
题, 请看程序接口(man 4 ipfw), 或者看 2.1.X 核心代码中的
net/ipv4/ip_fw.c 文件.
　　另外有一份快速参考卡片.
　　你可以用 ipchains 做许多不同的事. 首先是管理整个链集合. 核心
以三个内置的链 input, output 和 forward 启动, 这三个链不能被删
除.
　　建立一个新的链 (-N).
　　删除一个空的链 (-X).
　　改变内置链的策略 (-P).
　　对一个链中的所有规则列表 (-L).
　　把一个链中的所有规则清空 (-F).
　　把一个链的所有规则的计数器置零 (-Z).
　　管理一个链中的规则的几个方法:
　　在一个链中增加一个规则 (-A).
　　在一个链中的某个位置插入一个规则 (-I).
　　替换一个链中某个位置的一个规则 (-R).
　　删除一个链中某个位置的一个规则 (-D).
　　删除一个链中第一个匹配的规则 (-D).
　　伪装的操作只有几个.
　　列表当前的伪装连接 (-M -L).
　　设置伪装的超时值 (-M -S). (注意: 请看 I我为什么不能设置伪装
的超时值!).
　　最后的功能, 也许是最有用的, 是让你检查, 一个特定的包通过一个
特定的链时会发生什么.
　　在一个规则上操作.
　　使用 ipchains, 实际上就是熟练地操作规则. 通常, 你将使用添加
(-A)和删除命令(-D). 其它命令是它们的简单扩充.
　　每个规则指定了遇到某些包时该如何处理它们(一个目标). 例如: 你
想丢弃从 127.0.0.1 IP 地址来的所有的 ICMP 包. 对于此中情况规则中
的协议必须是 ICMP, 源地址必须是 127.0.0.1, 我们的目标是"丢弃".
　　地址127.0.0.1 是"本地环路"接口, 即使没有真正的网络连接也存
在. 你可以用 'ping' 程序产生这样的包, (它简单的送一个类型为8的
ICMP, 乐意服务的主机将返回一个类型为0的 ICMP包). 这在测试是有用
的.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# ipchains -A input -s 127.0.0.1 -p icmp -j DENY
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
#
　　在这, 你可以看到第一个 ping 成功了('-c 1 是告诉 ping 只产生
一个包).
　　然后, 我们在'input'链中增加了一个规则, 对于从 127.0.0.1 来的
('-s 127.0.0.1'), 协议是 ICMP, ('-p ICMP') 的包, 我们将丢弃('-j
DENY').
然后测试我们的新规则, 使用第二个 ping. 程序由于等一个永远也不会
来的包, 所以显示结果会有一个停顿.
　　我们可以用两钟方法中的任何一钟删除此规则. 首先我们知道它是链
中的唯一规则, 我们可以使用编号删除, 输入:
# ipchains -D input 1
#
来删除进入链的编号1规则.
　　第二条路是 -A 命令的镜象, 但是用 -D 代替 -A. 当你不愿意去数
繁多的规则时, 这是一个有用的方法. 这种情况下, 我们使用:
# ipchains -D input -s 127.0.0.1 -p icmp -j DENY
#
　　-D (-I, -R) 的语法与 -A 完全相同. 当在一个链中有多个相同的规
则时, 只有第一个被删除.
过滤器说明.
　　我们已经看到用 '-p' 指定协议, '-s' 指定源头地址, 但是还有其
它参数, 可以让我们用来指定包的特征. 下面是详尽的说明.
指定源头和目的 IP 地址.
　　有四中方法指定源头(-s)和目的(-d) IP 地址. 最常用的方法是使用
全称, 比如 'localhost' 或 'www.linuxhq.com'. 第二中方法是指定 IP
地址, 如 '127.0.0.1'.
　　第三种和第四种方法是指定 IP 地址集, 比如 '199.95.207.0/24'
'199.95.207.0/255.255.255.0'. 这两种方式都指定了从 192.95.207.0
到 192.95.207.255 的所有 IP 地址; '/'后的数字表示 IP 地址的哪部
分(或'　位')被指定. 默认是 '/32' 或 '255.255.255.255' (与所有 IP
地址匹配). 完全指定所有 IP 地址用'/0'. 象这样:
# ipchains -A input -s 0/0 -j DENY
#
这很少使用, 上面的结果同没有指定 '-s' 一样了.
否定指定.
　　许多参数, 包括 '-s' 和 '-d' 能有它们自己的参数, 在地址之前用
'!'(读 'not')参数, 来匹配不等于给定地址的地址, 例如: ' -s !
localhost' 匹配所有不是从 localhost 来的包.
协议指定.
　　用 '-p' 来指定协议. 协议可以用编号(假如你知道 IP 的数字化协
议值)或名字'TCP', 'UDP', 'ICMP'. 大小写无关, 'tcp' 与 'TCP' 一
样.
　　协议名前面可以加前缀 '!', 来否定它, 比如: ' -p ! TCP'.
UDP 和 TCP 端口的指定.
　　对于特殊的 TCP 和 UDP 协议, 还有额外的参数可以指定, 即它们的
端口号, 或端口的范围(但是请看下面的处理片段 ). 范围用 ':' 表示,
比如 '6000:6010', 它包含从6000到6010的11个端口, 如果没有下限, 默
认是0. 如果没有上限, 默认是 65535. 所以指定1024以下端口来的 TCP
连接, 表示为 '-p TCP -s 0.0.0.0/0 :1023'. 端口号也可以用名字指
定,如 'WWW'.
　　端口指定也可以用'!'参数来否定它. 所以指定除了 WWW 外的其它
TCP 端口, 可以这样做:
-p TCP -d 0.0.0.0/0 ! www
请仔细看, 领悟它们, 很重要
-p TCP -d ! 192.168.1.1 www
-p TCP -d 192.168.1.1 ! www
上面两个是截然不同的
　　第一个指定了送到除 192.168.1.1 外的任何机器的 WWW 端口的 TCP
包.第二个定义了到 192.168.1.1 的任何端口的 TCP 连接, 除了 WWW 端
口外.
　　最后, 此例表示不是 WWW 端口, 并且不是 192.168.1.1:
　　-p TCP -d ! 192.168.1.1 ! www
指定 ICMP 类型和代码.
　　ICMP 也可以有参数, 但是它没有端口,(ICMP 有类型和代码)它们有
不同的含义.
　　你能在'-s'参数后放它们的 ICMP 名字来指定(使用 ipchains -h
icmp 来列出这些名字). 或使用 ICMP 类型和代码的数字编号, 类型跟在
'-s' 后, 代码跟在 '-d' 后.
　　ICMP 名相当长: 你只需输入足够长的字母能区分它们即可.
　　这有一点常用的 ICMP 包的介绍.
Number Name Required by
0 echo-reply ping
3 destination-unreachable Any TCP/UDP traffic.
5 redirect routing if not running routing daemon
8 echo-request ping
11 time-exceeded traceroute
　　注意: 目前, ICMP 名的前面不能用'!'.
　　绝对不能封闭 ICMP 类型 3 的信息!(看下面的 ICMP Packets )
指定一个接口.
　　The `-i' option specifies the name of an interface to match.
An interface is the physical device the packet came in on, or is
going out on. You can use the ifconfig command to list the
interfaces which are `up' (ie. working at the moment).
　　用 '-i' 参数指定接口名字. 接口是包进进出出的物理设备. 你可以
使用 ifconfig 命令看哪些接口目前在工作.
　　用于包进入(包通过进入链 )的接口被认为是进入接口, 同样地, 用
于包外出(包通过外出链)的接口被认为是外出接口. 用于包中转的接口也
被认为是外出接口; 这是我随心所欲的决定.
　　指定一个目前不存在的接口是完全合法的. 规则直到此接口工作时,
才起作用. 这种指定是非常有用, 对于 PPP 及其类似的连接.
　　作为一个特例, 一个结尾是'+'的接口将适合所有此类接口(无论它们
是否工作). 例如: 设定一个规则适合所有的 PPP 连接, 可以用 -i ppp+
来指定接口.
　　接口可以使用否定符'!'来匹配不是指定接口来的包.
仅指定 TCP SYN 包.
　　有时希望 TCP 连接是单方向的, 不是其它的. 例如: 你也许想连接
一个外部的 WWW 服务器, 但不想接收来自外部服务器的连接.
　　不成熟的做法是阻止来自外部服务器的 TCP 包进入. 但不幸的是,
TCP 连接时需要包进入双方才能正常工作.
　　解决的办法是仅阻止请求连接的包. 这些包叫 SYN(从技术上说, 这
些包被设置了 SYN 标志, FIN 和 ACK 标志被取消, 但是我们叫它们为
SYN 包). 仅阻止这些包, 我们可以停止它们连接的企图.
　　'-y' 标志用于此: 它仅对 TCP 协议有效. 例如, 指定从
192.168.1.1 来的连接:
-p TCP -s 192.168.1.1 -y
　　此参数可以使用 '!' 否定参数, 意味着除了请求连接外的所有包.
处理片段.
　　有时, 一个过于大的包无法一次传输. 当这种情况发生时, 包被分解
成片段, 作为多个包传送. 片段传送完成后, 再将片段合成为原来的包.
　　片段产生的问题是, 上面的指定中的一些(个别的, 源端口, 目的端
口, ICMP 类型, ICMP 代码, TCP SYN 标志)需要系统核心看一下包的开
始部分, 以得到信息, 但这些信息只包含在包分解后的第一个片段中.
　　假如你的机器是与外部网相连的唯一通道, 你可以告诉 Linux 核心
合并经过它的片段, 在编译核心时回答 IP: always defragment set to
'y'. 这将使问题简单化.
　　否则, 理解过滤器如何对待片段是相当重要的. 所有过滤器在包中找
信息, 但包中没有, 它便判断包不符合规则. 这意味第一个片段象其它包
一样通过, 第二个及其以后的不能通过. 这样的话, 规则 -p TCP -s
192.168.1.1 www 便永远不能匹配这些片段(除第一个外). -p TCP -s
192.168.1.1 ! www 也不能.
　　然而, 你可以为第二个及后续片段包指定一个特别标准, 使用 '-f'.
明显的, 用它来指定 TCP 或 UDP 端口, ICMP 类型, ICMP 代码或 TCP
SYN 是不合法的.
　　可以在它前面使用否定符'!', 来指定一个规则不适用于第二个及其
后续的片段包.
　　通常, 让第二个和后续的片段通过是安全的, 由于过滤器已经拒绝了
第一个片段, 这样可以防止片段重新组合, 然而, 现已知道靠简单的发送
片段可以导致机器死机. 如何做, 你自己看吧.
　　需要注意的: 过滤器把畸变的包(TCP, UDP 和 ICMP 包太短, 以致于
过滤器无法读端口, 代码和类型)与片段包一样看待. 只有 TCP 片段包
在位置8开始, 可以被防火墙拒绝.
　　下面的规则拒绝发往 192.168.1.1 的任何片段包.
# ipchains -A output -f -D 192.168.1.1 -j DENY
#
过滤器作用的结果.
　　现在我们知道如何使用规则去匹配一个包. 当一个包符合一个规则
时, 会发生:
　　此规则的字节计数器会按包的大小(包头和全部数据)增加.
　　那个规则的包计数器会增加.
　　假如规则需要, 包会被记录下来.
　　假如规则需要, 包的服务类型会被改变.
　　假如规则需要, 包会被标记(2.0版本核心不会).
　　会检查规则的目标来决定下一步如何处理此包.
　　由于多样性, 我会按重要性记录下这些包的地址.
指定一个目标.
　　目标(target)用来告诉核心当一个包符合规则时如何处理它. 用'-j'
来指定规则的目标.
　　最简单的情况是不指定目标. 这种类型的规则(通常叫记数规则)常用
来做某种类型包的简单记数. 无论规则匹配与否, 核心将继续检查此链中
的下一个的规则. 例如, 对从192.168.1.1来的包记数:
# ipchains -A input -s 192.168.1.1
#
　　(使用 'ipchains -L -v' 加上各个规则, 可以显示它们的字节和包
的联合计数器的数值).
　　可以指定六种目标. 头三个, 接受(ACCEPT), 拒绝(REJECT)和丢弃
(DENY)是最常用的.接受通常让包通过. DENY 扔掉包就象没有受到过一
样. 拒绝也把包扔掉, 但(假如它不是 ICMP 包)产生一个 ICMP 回复来告
诉发包者, 目的地址无法到达.
　　下一个, MASQ 告诉核心伪装此包. 想让它起作用, 编译核心时必需
让 IP Masquerading 起作用. 想详细了解这些, 请看
Masquerading-HOWTO 和附录ipchains 和 ipfwadm 的不同之处. 只有包
通过中转链时此目标才起作用.
　　另一个重要的目标指定是 REDIRECT, 它告诉核心把无论应送到何处
的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意
用 '-j REDIRECT' 指定一个端口(名字或编号)可以使送往此的包被重定
向到某个特殊的端口, 即使它被标记为送到其它端口. 此目标只在输入链
有效.
　　最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链
的末尾.(看下面的策略设定)
　　任何其它的目标指定表示一个用户自定义的链(在下面的在整个链上
操作中描述). 包将在那个链中通过. 假如那个链没有决定此包的命运,
那么在那个链中的传输就完成了, 包将通过当前链的下一个规则.
下面有两个链: input(内建) 和 test(自定义)
`input' `Test'
---------------------------- ----------------------------
| Rule1: -p ICMP -j REJECT | | Rule1: -s 192.168.1.1 |
|--------------------------| |--------------------------|
| Rule2: -p TCP -j Test | | Rule2: -d 192.168.1.1 |
|--------------------------| ----------------------------
| Rule3: -p UDP -j DENY |
----------------------------
　　假设包从 192.168.1.1 来, 到 1.2.3.4. 它进入进入链, 被规则1检
测 - 不符合. 符合规则2, 规则2的目标是 test, 所以下一个规则是
test 的开始. 包符合test 中的规则1, 但它没有指定目标, 所以下一个
规则被检查, 不符合. 就到了此链的末尾. 便返回进入链, 规则2被检查
过了, 我们检查规则3, 但它亦不符合.
所以包的路径是:
v __________________________
`input' | / `Test' v
------------------------|--/ -----------------------|----
| Rule1 | /| | Rule1 | |
|-----------------------|/-| |----------------------|---|
| Rule2 / | | Rule2 | |
|--------------------------| -----------------------v----
| Rule3 /--+___________________________/
------------------------|---
v
看如何组织你的防火墙规则学习使用有效的自定义链.
记录包.
　　这是包匹配一个规则的副产品; 你可以用'-f'标志来指示把符合规则
的包记录下来. 对于通常的包你不会这样做, 但当你查找特殊问题时它很
有用(看 man klogd or man dmesg).
熟练运用服务类型.
　　在 IP 包头中有四个位难得使用, 它们叫服务类型(TOS)位. 它们影
响如何对待包; 这四个位是最小延时"Minimum Delay", 最大吞吐量
"Maximum Throughput", 最大可靠程度"Maximum Reliability" and 最小
费用"Minimum Cost".
　　Especially the "Minimum Delay" is important for me. I switch
it on for "interactive" packets in my upstream (Linux) router.
I'm behind a 33k6 modem link. Linux prioritizes packets in 3
queues. This way I get acceptable interactive performance while
doing bulk downloads at the same time. (It could even be better
if there wasn't such a big queue in the serial driver, but
latency is kept down 1.5 seconds now).
　　最小延时对我特别重要. 我在路由器(Linux)上打开它, 使它与包相
互作用. 我在一个 33K6的猫后面. Linux 按优先把包分为3个队列. 用这
种方法, 当我在同一时间下载大量数据时得到了满意的性能.
　　The most common use is to set telnet & ftp control
connections to "Minimum Delay" and FTP data
5. 杂项
　　此节包含在前面无法找到合适位置的所有信息和 FAQ.
5.1 如何组织你的防火墙规则.
　　你需要想一想. 你可以尝试组织它们来优化速度(最少的规则检查用
于大部分普通包)或增强管理性.
　　假如你有一个间断的连接, 就说 PPP 连接吧, 在启动时, 你也许想
在进入链(input)中设置第一个规则为 '-i ppp0 -j DENY', 那么在你的
ip-up 脚本中加入:
# Re-create the `ppp-in' chain.
ipchains-restore -f < ppp-in.firewall
# Replace DENY rule with jump to ppp-handling chain.
ipchains -R input 1 -i ppp0 -j ppp-in
你的 ip-down 脚本将象这:
ipchains -R input 1 -i ppp0 -j DENY
5.2 什么不能过滤掉.
　　在你开始设置过滤器前, 需要知道一些事, 以免把不该过滤掉的东西
过滤掉.
ICMP packets.
　　除其它作用外, ICMP 包被用来为其它协议(TCP, UDP)指示错误. 如:
'destination-unreachable' 包. 阻挡这些包意味这你将不会收到 'Host
unreachable' or 'No route to host' 等报错信息; 所有的连接将等待
一个永不会来的回复. 这样做虽然不好, 但还不致命.
　　一个更糟的问题是ICMP 包在 'MTU 发现'中担任角色. 为良好的完成
TCP 连接(包括 Linux), 会使用 MTU 发现去算出不被分解成片段就可以
到达目的地的最大包. MTU 发现是这样工作的, 发送带 'Don't
Fragment'(不分解成片段)位的包, 如果收到 'Fragmentation needed
but DF set'('包需要分解成片段')包, 那么就发送较小的包. 返回的是
典型的 'destination-unreachable' 包, 假如它没有被收到, 本地主机
将不会减小 MTU, 测试将永远进行或没有意义.
连接到 DNS 的 TCP.
　　假如你想阻止外出的 TCP 连接, 记注 DNS 并不总是用 UDP; 假如服
务器的回复超过512字节, 客户机使用 TCP 连接得到数据(仍从53端口).
　　假如你不允许这样的 TCP 传输, 大部分时间 DNS 会正常工作, 因此
这可能是一个陷阱; 假如你这样做, 你也许经历过奇怪的长延时和其它偶
尔的 DNS 错误.
　　If your DNS queries are always directed at the same external
source (either directly by using the nameserver line in
/etc/resolv.conf or by using a caching nameserver in forward
mode), then you need only allow TCP connections to port domain
on that nameserver from the local domain port (if using a
caching nameserver) or from a high port (> 1023) if using
/etc/resolv.conf.
　　假如你的 DNS 请求总是指向相同的外部服务器(用
/etc/resolv.conf 文件中的 nameserver 指向或使用工作于中转方式的
缓存命名服务器来指向), 那么你可以仅需允许 TCP 连接从本地域
(domain)端口(假如使用缓存命名服务器)或从一个高端口(>1023, 假如使
用 /etc/resolv.conf 文件)连向 DNS 服务器的域(domain) 端口.
噩梦般的FTP.
　　典型的包过滤问题是 FTP. FTP 有两种模式; 传统的叫主动模式
(active), 新的叫被动模式(passive). WEB 浏览器通常使用被动模式,
但命令行 FTP 常使用默认的主动模式.
　　在主动模式中, 当远程端想发送一个文件时(或 ls or dir 命令的结
果), 它将试图建立一个到本地端的 TCP 连接. 这意味着你不破坏主动
FTP 的话就不能过滤掉这些 TCP 连接.
　　假如你有机会选择使用被动模式, 那么好; 被动模式从客户端到服务
器端建立数据连接, 甚至包括进入的数据. 否则, 建议你只允许1024以上
端口并且不包括6000-6010(6000由 X-windows 使用)的 TCP 连接.
5.3 过滤掉 Ping of Death.
　　Linux 对于著名的 Ping of Death 有免役能力, 它通过传送一个大
的不合法的 ICMP 包, 造成接收者的 TCP 栈溢出并造成破坏.
　　假如你正在保护的机器容易受伤害, 你简单的阻止 ICMP 片段包即
可. 通常 ICMP 包不会大到需要分成片段的地步, 除了大的 pings 外你
不会破坏什么. 我曾经听说(没有确认)仅需大的 ICMP 包的最后一个片段
就会对一些系统造成破坏, 所以不建议仅阻止第一个片段.
　　虽然我看到过的优秀程序(用于 ping of death 攻击)都使用 ICMP,
但TCP 或 UCP (或其它未知协议)的片段也可以用于攻击, 所以仅阻止
ICMP 片段是临时的解决方案.
5.4 过滤掉 Teardrop and Bonk.
　　Teardrop and Bonk (主要针对微软的 NT)是依靠重叠片段的两种攻
击. 用你的 Linux 路由器做重整片段处理(defragmentation), 或不允许
所有的片段发往容易受攻击的机器.
5.5 过滤掉 Fragment Bombs.
　　一些不可靠的 TCP 栈处理大量的片段时, 如果不能收到所有的片段,
它就会出问题. Linux 没有此问题. 你可以过滤掉片段(这样会影响合法
的用户)或编译内核时把 'IP: always defragment' 设为 'Y'(仅用于你
的 Linux 机器是这些包的唯一路由).
5.6 改变防火墙规则.
　　在改变防火规则时有一些复杂的时间安排问题. 假如你不注意, 当你
改到一半时也许会让包进来. 一个简单的好方法是:
# ipchains -I input 1 -j DENY
# ipchains -I output 1 -j DENY
# ipchains -I forward 1 -j DENY
... make changes ...
# ipchains -D input 1
# ipchains -D output 1
# ipchains -D forward 1
#
　　这样在改动时会丢弃所有的包.
　　假如你的改动仅限于单个链, 你可以建立一个包含新规则的新链, 然
后把指向旧链的规则改为指向新链中的规则('-R'): 然后你可以删除旧
链. 替换会自动进行.
5.7 我如何建立 IP 欺骗防护?
　　IP 欺骗是一个技巧: 包从一个主机发出, 包却自称是从另外的主机
发出的. 由于包过滤器是基于包源地址作出决定的, IP 欺骗被用来对付
愚蠢的包过滤器. 它也被用来隐藏使用 SYN 攻击, Teardrop, Ping of
Death 和其它类似攻击者的身份.(如果你不知道他们是谁, 他们就不用担
心).
　　免受 IP 欺骗的最好办法是用源地址确认, 这是路由代码来做的, 而
不是防火墙. 找一个叫 /proc/sys/net/ipv4/conf/all/rp_filter 的文
件. 如果存在, 那么每次启动时打开源地址确认是个好方法. 这样做, 把
下面的几行插入到你的启动脚本中初始化任何网络接口的前面.
# This is the best method: turn on Source Address Verification
and get
# spoof protection on all current and future interfaces.
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Setting up IP spoofing protection..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "done."
else
echo PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE WORRIED.
echo "CONTROL-D will exit from this shell and continue system
startup."
echo
# Start a single user shell on the console
/sbin/sulogin $CONSOLE
fi
　　假如你不能这样做, 你可以手工插入规则以保护所有接口. 这需要有
每个接口的知识. 2.1 核心自动拒绝自称来自 127.* 地址的包.
　　例如: 有三个接口, eth0, eth1 and ppp0. 我们可以使用 ifconfig
知道这些接口的地址和掩码. eth0 用 255.255.255.0 的掩码, 隶属于
192.168.0.0 网, eth1 用 255.0.0.0 的掩码, 隶属于 10.0.0.0 网,
ppp0 连接到因特网(除了批准保留的私用地址, 可以是任何地址), 我们
将插入下列规则:
# ipchains -A input -i eth0 -s ! 192.168.1.0/255.255.255.0 -j
DENY
# ipchains -A input -i ! eth0 -s 192.168.1.0/255.255.255.0 -j
DENY
# ipchains -A input -i eth1 -s ! 10.0.0.0/255.0.0.0 -j DENY
# ipchains -A input -i ! eth1 -s 10.0.0.0/255.0.0.0 -j DENY
#
　　此方法不如源地址确认好, 因为, 假如你的网络改变了, 你不得不改
变防火规则来适应.
　　假如你运行 2.0 核心, 你也须想保护本地环路接口, 使用下面的:
# ipchains -A input -i ! lo -s 127.0.0.0/255.0.0.0 -j DENY
#
5.8 高级项目
　　There is a userspace library I have written which is
included with the source distribution called `libfw'. It uses
the ability of IP Chains 1.3 and above to copy a packet to
userspace (using the IP_FIREWALL_NETLINK config option).
　　Things such as stateful inspection (I prefer the term
dynamic firewalling) can be implemented in userspace using this
library. Other nifty ideas include controlling packets on a
per-user basis by doing a lookup in a userspace daemon. This
should be pretty easy.
　　The `mark' capability of the firewalls is underutilized: it
could easily be used to represent a priority for the Quality of
Service code, which would make it simple to control packet
priorities.
5.9 未来
　　Firewalling and NAT are being redesigned for 2.3. Plans and
discussions are available on the netdev archive. These
enhancements should clear up many outstanding usability issues
(really, firewalling and masquerading shouldn't be this hard),
and allow growth for far more flexible firewalling.
6. 共性问题.
6.1 ipchains -L 冻结!
　　你大概阻止了 DNS 查询; 最后它将超时. 试试用 '-n' 标志, 它可
以封锁 DNS 查询.
6.2 伪装/中转不工作!
　　确定包中转打开(在新的核心中默认关闭, 意味着包不会被传送到中
转链). 输入下面的命令你可以撤销它
# echo 1 > /proc/sys/net/ipv4/ip_forward
#
　　假如这对你有用, 你可以把它放在启动脚本中使每次启动时生效; 你
应该在此命令运行前设置你的防火墙, 否则包就有机会流进来.
6.3 统配符指定接口不工作!
　　在 2.1.102 和 2.1.103 核心中有一个错误(和一些我做的旧的补
丁), 它造成使用统配符指定接口的 ipchains 产生错误.(如 i ppp+)
　　近期的核心已经修正, 2.0.34 的补丁在 web 上. 你也可以通过手工
修改核心源代码文件的第63行或在 include/linux/ip_fw.h 中的
#define IP_FW_F_MASK 0x002F /* All possible flag bits mask */
　　这应该改为 '0x003F'. 修改它并且重新编译内核.
6.4 TOS 不工作!
　　这是我的错: 在 2.1.102 到 2.1.111 内核中实际上没有设置服务类
型造成服务类型错. 此问题在 2.1.112 中已经修正.
6.5 ipautofw and ipportfw 不工作!
　　对于 2.0.x, 这是真的; 我没有时间为 ipchains and
ipautofw/ipportfw 建立和维护一个巨大的补丁.
　　对于 2.1.x, 从下面站点下载 ipmaspadm
<url url="http://juanjox.home.ml.org/"
name="http://juanjox.home.ml.org/">
　　使用它就象你使用 ipautofw or ipportfw, 除了用 ipmaspadm
portfw 代替 ipportfw, 和用 ipmasqadm autofw 代替 ipautofw 外.
6.6 xosview 被中断!
　　升级到 1.6.0 或以上版本, 在 2.1.x 核心中, 它根本不需要任何防
火规则. 这好像是 1.6.1 发行版的又一个错误; 请向作者报告错误(这不
是我的错!).
6.7 使用 -j REDIRECT 出现段错误!
　　这是 ipchains 1.3.3 版本中的错误. 请升级.
6.8 我不能设置伪装超时!
　　直到 2.1.123这是真的(对于 2.1.x 核心). 在 2.1.124中, 试图设
置伪装超时会造成核心死锁. 在 2.1.125中工作正常.
6.9 我想建立 IPX 防火墙!
　　你看到有这个题目, 好像可以. 但不幸的是, 我的代码仅支持 IP.
值得高兴的是, IPX 防火墙的接口都有, 你仅需要写代码; 我将高兴的帮
助你.
7. 附录: ipchains and ipfwadm 的不同之处
　　这些改变中的一些是核心变化的结果, ipchains 的一些结果与
ipfwadm 的不同.
　　许多变量被重新定义: 大写表示命令, 小写表示选项.
　　支持随心所欲的链名, 所以即使内置链也用名称代替了标志(eg.
`input' 代替 `-I').
　　`-k' 选项没有了, 用 `! -y'.
　　`-b' 选项用于 inserts/appends/deletes 两个规则, 比一个　　
　　　　`bidirectional' 规则强.
　　`-b' 跟在 `-C' 后做两项检查 (每个方向一个).
　　`-l'的 `-x' 选向被 `-v'代替.
　　复合源和目的端口不再被支持. 希望端口范围的应用可以弥补这些.
　　接口只能由名称指定(不是地址). 不论如何旧的悄悄的改变了.
　　片断被检查, 不再自动允许通过.
　　对链的详细记账已经做了.
　　基于 IP 的任何协议可以被测试.
　　旧的 SYN 和 ACK 匹配方式以改变. SYN 选相对于非特殊 TCP 规则
不起作　　用.
　　计数器在32位机器上是64为了, 不再是32位.
　　支持否定选项.
　　支持 ICMP 代码.
　　接口指定支持统配符.
　　TOS 操作可以被很好的检测: 在旧的核心中当你操作 TOS 的 'Must
Be Zero' 位时(不合法), 它就静静的停止了; 对于 ipchains, 当你试图
这样操作时, 它会象棋它的情况一样报错.
7.1 快速参考表.
　　[主要的, 命令参数使用大写, 选项实用小写]
　　一个需要注意的地方: 用 '-j MASQ' 指定伪装; 它与 '-j ACCEPT'
完全不同, 不要认为只是这一方面与 ipfwadm 不同.
================================================================
| ipfwadm | ipchains | Notes
----------------------------------------------------------------
| -A [both] | -N acct | Create an `acct' chain
| |& -I 1 input -j acct | and have output and input
| |& -I 1 output -j acct | packets traverse it.
| |& acct |
----------------------------------------------------------------
| -A in | input | A rule with no target
----------------------------------------------------------------
| -A out | output | A rule with no target
----------------------------------------------------------------
| -F | forward | Use this as [chain].
----------------------------------------------------------------
| -I | input | Use this as [chain].
----------------------------------------------------------------
| -O | output | Use this as [chain].
----------------------------------------------------------------
| -M -l | -M -L |
----------------------------------------------------------------
| -M -s | -M -S |
----------------------------------------------------------------
| -a policy | -A [chain] -j POLICY | (but see -r and -m).
----------------------------------------------------------------
| -d policy | -D [chain] -j POLICY | (but see -r and -m).
----------------------------------------------------------------
| -i policy | -I 1 [chain] -j POLICY| (but see -r and -m).
----------------------------------------------------------------
| -l | -L |
----------------------------------------------------------------
| -z | -Z |
----------------------------------------------------------------
| -f | -F |
----------------------------------------------------------------
| -p | -P |
----------------------------------------------------------------
| -c | -C |
----------------------------------------------------------------
| -P | -p |
----------------------------------------------------------------
| -S | -s | Only takes one port or
| | | range, not multiples.
----------------------------------------------------------------
| -D | -d | Only takes one port or
| | | range, not multiples.
----------------------------------------------------------------
| -V | <none> | Use -i [name].
----------------------------------------------------------------
| -W | -i |
----------------------------------------------------------------
| -b | -b | Now actually makes 2 rules.
----------------------------------------------------------------
| -e | -v |
----------------------------------------------------------------
| -k | ! -y | Doesn't work unless
| | | -p tcp also specified.
----------------------------------------------------------------
| -m | -j MASQ |
----------------------------------------------------------------
| -n | -n |
----------------------------------------------------------------
| -o | -l |
----------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt] |
----------------------------------------------------------------
| -t | -t |
----------------------------------------------------------------
| -v | -v |
----------------------------------------------------------------
| -x | -x |
----------------------------------------------------------------
| -y | -y | Doesn't work unless
| | | -p tcp also specified.
----------------------------------------------------------------
7.2 转换 ipfwadm 命令举例
　　Old command: ipfwadm -F -p deny
　　New command: ipchains -P forward DENY
　　Old command: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
　　New command: ipchains -A forward -j MASQ -s 192.168.0.0/24
-d 0.0.0.0/0
　　Old command: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8
-D 0.0.0.0/0
　　
　　New command: ipchains -A input -j ACCEPT -i eth0 -s
10.0.0.0/8 -d 0.0.0.0/0
　　(注意没有与用地址指定接口等价的命令: 请使用接口名称. 在这台
机器上, 10.1.2.1 与 eth0 一致).
8. 附录: 使用 ipfwadm-wrapper script.
　　The ipfwadm-wrapper shell script should be a plug-in
replacement of ipfwadm for backwards compatibility with ipfwadm
2.3a.
　　ipfwadm-wrapper 外壳脚本是一个插件来替代 ipfwadm, 它与 2.3a
ipfwadm 向后兼容.
　　The only feature it can't really handle is the `-V' option.
When this is used, a warning is given. If the `-W' option is
also used, the `-V' option is ignored. Otherwise, the script
tries to find the interface name associated with that address,
using ifconfig. If that fails (such as for an interface which is
down) then it will exit with an error message.
　　唯一的差别是不能用 '-V' 选项. 如果用的话, 将给一个警告. 假如
'-W' 也被使用, '-V' 选项被忽略. 然而, 脚本通过使用 ifconfig 试图
去找接口名称与地址的联系. 既如失败, 它将返回一个错误信息本退出.
　　This warning can be suppressed by either changing the `-V'
to a `-W', or directing the standard output of the script to
/dev/null.
　　可以用把 '-V' 替换位 '-W'的方法, 或重定向脚本的输出到
/dev/null 来抑制警告错误.
　　If you should find any mistakes in this script, or any
changes between the real ipfwadm and this script, please report
a bug to me: send an Email to ipchains@wantree.com.au with
"BUG-REPORT" in the subject. Please list your old version of
ipfwadm (ipfwadm -h), your version of ipchains (ipchains
--version), the version of the ipfwadm wrapper script
(ipfwadm-wrapper --version). Also send the output of
ipchains-save. Thanks in advance.
　　假如你在此脚本中找到错误, 或真实的 ipfwadm 与此脚本的不同之
处, 请想我报告.
　　Mix ipchains with this ipfwadm-wrapper script at your own
peril.
　　把 ipchains 与 ipfwadm-wrapper 参和在一起使用是危险的.
9. 附录: thanks.
　　Many thanks have to go to Michael Neuling, who wrote the
first releasable cut of the IP chains code while working for me.
Public apologies for nixing his result-caching idea, which Alan
Cox later proposed and I have finally begun implementing, having
seen the error of my ways.
　　Thanks to Alan Cox for his 24-hour EMail tech support, and
encouragement.
　　Thanks to all the authors of the ipfw and ipfwadm code,
especially Jos Vos. Standing on the shoulders of giants and all
that... This applies to Linus Torvalds and all the kernel and
userspace hackers as well.
　　Thanks to the diligent beta testers and bughunters,
especially Jordan Mendelson, Shaw Carruthers, Kevin Moule, Dr.
Liviu Daia, Helmut Adams, Franck Sicard, Kevin Littlejohn, Matt
Kemner, John D. Hardin, Alexey Kuznetsov, Leos Bitto, Jim
Kunzman, Gerard Gerritsen, Serge Sivkov, Andrew Burgess, Steve
Schmidtke, Richard Offer, Bernhard Weisshuhn and Pavel Krauz for
beating sense into me on the TCP DNS stuff.
　
�

--

  ╔══════════════╗
  ║  一路上有你,苦一点也愿意!  ║
  ╚══════════════╝

※ 来源:．紫丁香 bbs.hit.edu.cn．[FROM: sim01.hit.edu.cn]

Linux 版 (精华区)