Настройка и работа в Linux



              

Firewall и NAT (masquerading) - часть 2


  • -N имя-цепочки (создать цепочку)
  • -X имя-цепочки (удалить пустую цепочку, на которую нет ссылок)
  • -L [ -v ] [имя-цепочки] (показать список правил и счетчики)
  • -A имя-цепочки правило (добавить правило к цепочке)
  • -D имя-цепочки номер (удалить правило с указанным номером, нумерация с 1)
  • -D имя-цепочки правило (удалить правило по текстуальному совпадению)
  • -F имя-цепочки (удалить все правила из цепочки)
  • -I имя-цепочки номер правило (вставить правило в цепочку перед правилом с указанным номером, нумерация с 1)
  • -R имя-цепочки номер правило (заменить)
  • -M -L (показать текущие маскарадные соединения)
  • -M -S tcp tcpfin udp (установить соответствующие timeout в секундах)
  • -h icmp (выдать список ICMP имен)
  • -Z имя-цепочки (обнулить счетчики)
  • -C имя-цепочки пакет (тестировать прохождение пакета)
  • -P имя-цепочки действие (изменить действие по умолчанию)
  • Шаблон правила может включать (если в качестве адреса хоста указывается имя, соответствующее нескольким адресам, то при добавляется соответствующее количество правил; восклицательный знак инвертирует шаблон):

    • --proto | -p [!] протокол (tcp/udp/icmp/all)
    • --bidirectional | -b (добавляется два правила: прямое и обратное)
    • --source | -s | --src [!] address[/mask] [!] [port[:port]] (маска может быть записана как в виде 4-х десятичных чисел через точку, так и в виде одного числа)
    • --source-port [!] [port[:port]]
    • --destination | -d | --dst [!] address[/mask] [!] [port[:port]]
    • --destination-port [!] [port[:port]]
    • --icmp-type [!] имя
    • --interface  | -i [!] имя[+] (ppp0, lo, eth0; + - соответствует любой подстроке)
    • --jump | -j действие [port](номер порта для REDIRECT)
    • --mark | -m [+-]число (пометить пакет для QoS)
    • --log | -l (запись о пакете в журнал)
    • --numeric | -n (выводить адреса и порты в числовом виде)
    • --output | -o [maxsize] (вывести пакет на устройство netlink)
    • -v (повысить болтливость)
    • [!] --fragment | -f (только для последующих кусков фрагментированных пкетов)
    • [!] --syn | -y (имеет смысл только для TCP: только пакеты с установленным флагом SYN, отрицание означает установленный флаг ACK)
    • --TOS | -t andmask xormask (управление битами TOS - type of service)
    Тщательно составленные и отлаженные цепочки сохранять по ipchains-save (ipchains.transparent_proxy_and_firewall) и восстанавливать при загрузке по ipchans-restore (/etc/rc.d).

    В RH 6.2 появился сервис ipchains (управляемый обычным chkconfig) в /etc/rc.d/init.d с функциями:




      Содержание  Назад  Вперед