Использование ipchains
Сначала убедитесь, что ваша версия ipchains соответствует той версии, о которой рассказывается в этом документе:
$ ipchains --version ipchains 1.3.9, 17-Mar-1999
Обратите внимание, что я рекомендую 1.3.4 (у которого нет никаких длинных опций, типа `--sport'), или 1.3.8 или выше; они очень устойчивы.
Ipchains имеет довольно подробный man (man ipchains), а если вам нужны подробности, вы можете проверить программный интерфейс (man 4 ipfw), или файл net/ipv4/ip_fw.c в исходных текстах ядра 2.1.x, который является (очевидно) авторитарным.
Имеется также превосходный краткий справочник Скотта Бронсона в пакете с исходными текстами в форматах A4 и US Letter Postscript(TM).
С ipchains можно делать множество вещей. Во-первых, управлять целыми цепочками. Изначально у вас есть три встроенных цепочки: input, forward и output, которые вы не можете удалять.
- Создать новую цепочку (-N).
- Удалить пустую цепочку (-X).
- Изменить стратегию для встроенной цепочки (-P).
- Выдать список правил цепочки (-L).
- Удалить правила из цепочки (-F).
- Обнулить счетчики пакетов и байтов во всех правилах цепочки (-Z).
- Добавить новое правило к цепочке (-A)
- Вставить новое правило в определенную позицию цепочки (-I)
- Заменить правило в определенной позиции цепочки (-R)
- Удалить правило в определенной позиции цепочки (-D)
- Удалить первое правило в цепочке, удовлетворяющее условию (-D)
- Вывести текущие параметры маскарадинга (-M -L)
- Установить значения таймаутов для маскарадинга (-M -S)
Имеется несколько способов управлять правилами внутри цепочки:
Есть несколько операций для маскарадинга, которые находятся в ipchains из-за отсутствия более подходящего места для их размещения:
(Но см. ``Я не могу установить таймауты маскарадинга!").
Последняя (и, возможно, наиболее полезная) функция позволяет вам проверить, что случилось бы с данным пакетом, если бы он должен был пересечь данную цепочку.
