Próxima página Página anterior Contenido

7. Apéndice: Diferencias entre ipchains e ipfwadm

Algunos de estos cambios son un resultado de modificaciones en el kernel, y algunos resultado de la diferencia entre ipchains e ipfwadm
  1. Muchos argumentos han sido remapeados: las mayúsculas ahora indican un comando, y las minúsculas una opción.
  2. Se soportan cadenas arbitrarias, incluso cadenas de construcción que tienen nombres completos en lugar de flags (ej. `input ' en lugar de ` -I ').
  3. La opción ` -k ' ha desaparecido: use `! -y '.
  4. La opción ` -b ' realmente inserta/adiciona/borra dos reglas, en lugar de una sola regla 'bidireccional'.
  5. La opción ` -b ' puede pasarse a ` -C ' para hacer dos chequos (uno en cada dirección).
  6. La opción ` -x ' para ` -l ' se ha reemplazado por ` -v '.
  7. Múltiples puertos de orígen y destino no son soportados más. Pudiendo negar un rango de puertos que puede hacer mas que eso.
  8. Las interfaces sólo pueden ser especificadas por nombre (no por dirección). De cualquier forma la vieja semántica fue cambiada en el kernel 2.1.
  9. Los fragmentos son examinados, no se permiten que crucen automáticamente.
  10. Las cadenas de accounting explícitas se han hecho afuera.
  11. Los protocolos arbitrarios por encima de IP pueden probarse.
  12. El viejo comportamiento de los emparejamientos de SYN y ACK (previamente ignorados para paquetes NO-TCP) ha cambiado. la opción de SYN no es válida para las reglas que no especificas de TCP.
  13. Los contadores son ahora de 64 bits en máquinas de 32 bits, no de 32 bits.
  14. Se soportan opciones inversas ahora.
  15. Códigos ICMP son ahora soportados.
  16. Interfaces Wildcard son soportadas ahora.
  17. Las manipulaciones de TOS están ahora chequeadas de sanidad: el viejo código de kernel lo detendría silenciosamente (ilegalmente) manipulando el bit TOS "Must be Zero"; ipchains ahora retorna un error si lo intenta, tal como para otros casos ilegales.

7.1 Tabla de referencia rápida

[Principalmente, los argumentos de comandos son en MAYUSCULAS, y los argumentos en minúsculas]

Una cosa para notar, el enmascaramiento se especifica por ` -j MASQ'; es completamente diferente de ` -j ACCEPT', y no tratbaja como efecto lateral, diferente a lo que hace ipfwadm

================================================================
| ipfwadm      | ipchains              | Notas
----------------------------------------------------------------
| -A [both]    | -N acct               | Crea una cadena 'acct' y
|              | -I 1 input -j acct    | y tiene paquetes salientes
|              | -I 1 output -j acct   | y entrantes cruzandola.
|              | acct                  |
----------------------------------------------------------------
| -A in        | input                 | Una regla sin objetivo
----------------------------------------------------------------
| -A out       | output                | Una regla sin objetivo
----------------------------------------------------------------
| -F           | forward               | Use esto como [cadena].
----------------------------------------------------------------
| -I           | input                 | Use esto como [cadena].
----------------------------------------------------------------
| -O           | output                | Use esto como [cadena].
----------------------------------------------------------------
| -M -l        | -M -L                 |
----------------------------------------------------------------
| -M -s        | -M -S                 |
----------------------------------------------------------------
| -a policy    | -A [chain] -j POLICY  | (ver -r y -m).
----------------------------------------------------------------
| -d policy    | -D [chain] -j POLICY  | (ver -r y -m).
----------------------------------------------------------------
| -i policy    | -I 1 [chain] -j POLICY| (ver -r y -m).
----------------------------------------------------------------
| -l           | -L                    |
----------------------------------------------------------------
| -z           | -Z                    |
----------------------------------------------------------------
| -f           | -F                    |
----------------------------------------------------------------
| -p           | -P                    |
----------------------------------------------------------------
| -c           | -C                    |
----------------------------------------------------------------
| -P           | -p                    |
----------------------------------------------------------------
| -S           | -s                    | Solo toma un puerto o 
|              |                       | un rango, no múltiples.
----------------------------------------------------------------
| -D           | -d                    | Solo toma un puerto o  
|              |                       | un rango, no múltiples.
----------------------------------------------------------------
| -V           |                       | Use -i [nombre].
----------------------------------------------------------------
| -W           | -i                    |
----------------------------------------------------------------
| -b           | -b                    | Ahora hace 2 reglas.
----------------------------------------------------------------
| -e           | -v                    |
----------------------------------------------------------------
| -k           | ! -y                  | No trabaja a menos que 
|              |                       | se especifique -p tcp.
----------------------------------------------------------------
| -m           | -j MASQ               |
----------------------------------------------------------------
| -n           | -n                    |
----------------------------------------------------------------
| -o           | -l                    |
----------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt] |
----------------------------------------------------------------
| -t           | -t                    |
----------------------------------------------------------------
| -v           | -v                    |
----------------------------------------------------------------
| -x           | -x                    |
----------------------------------------------------------------
| -y           | -y                    | No trabaja a menos que
|              |                       | se especifique -p tcp.
----------------------------------------------------------------

7.2 Ejemplos de comandos ipfwadm trasladados

Antiguo comando: ipfwadm -F -p deny
Nuevo comando: ipchains -P forward DENY

Antiguo comando: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
Nuevo comando: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0

Antiguo comando: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0
Nuevo comando: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0

(Note que no hay ningún equivalente para especificar interfaces por dirección: use el nombre de la interface. En esta máquina, 10.1.2.1 corresponde a eth0).


Próxima página Página anterior Contenido