ipchains(8) administracja zaporą ogniową IP (IP firewall)

SKŁADNIA

ipchains -[ADC] łańcuch specyfikacja-reguły [opcje]
ipchains -[RI] łańcuch num-reg specyfikacja-reguły [opcje]
ipchains -D łańcuch num-reg [opcje]
ipchains -[LFZNX] [łańcuch] [opcje]
ipchains -P łańcuch cel [opcje]
ipchains -M [ -L | -S ] [opcje]

OPIS

Ipchains jest używany do ustawiania, podtrzymywania i przeglądania reguł zapory ogniowej w jądrze Linuksa. Te reguły możemy podzielić na 4 różne kategorie: łańcuch wejściowy (IP input chain), łańcuch wyjściowy (IP output chain), łańcuch przekazowy (IP forwarding chain) i łańcuchy zdefiniowane przez użytkownika.

Dla każdej z tych kategorii utrzymywana jest oddzielna tabela reguł, z których każda może odnosić się do jakiegoś łańcucha reguł zdefiniowanego przez użytkownika.

Zobacz ipfw(4), by dowiedzieć się więcej szczegółów.

CELE

Reguła ścianki ogniowej określa kryteria dotyczące pakietu i celu. Jeśli pakiet nie pasuje do danej regułki, to sprawdzana jest następna w danym łańcuchu; jeśli pakiet pasuje wtedy następna regułka jest określana przez wartość celu, która może być nazwą łańcucha zdefiniowanego przez użytkownika albo też jedną ze specjalnych wartości ACCEPT, DENY, REJECT, MASQ, REDIRECT lub RETURN.

ACCEPT oznacza, że należy przepuścić pakiet. DENY oznacza, że należy pakiet odrzucić. REJECT działa podobnie jak odrzucenie, ale jest bardziej "uprzejmy" i łatwiejszy do wyśledzenia, ponieważ dodatkowo wysyłany jest do nadawcy zwrotny komunikat ICMP informujący go, że pakiet nie został przyjęty. (Zauważ, że DENY i REJECT są tożsame jeśli mamy do czynienia z pakietami ICMP).

MASQ jest właściwy tylko dla łańcuchów przekazowych (forwarding) i zdefiniowanych przez użytkownika. Może być użyty tylko kiedy jądro jest skompilowane z włączoną definicją CONFIG_IP_MASQUERADE. Przy użyciu tego rodzaju celu wychodzące (lub przechodzące przez maszynę, np. pełniącą funkcję bramki) pakiety będą maskowane, tzn. w ten sposób zostaną podmienione ich adresy nadawcy jakby pochodziły one z maszyny lokalnej. Potem przychodzące, zwrotne pakiety stanowiące odpowiedzi na podmienione będą automatycznie rozpoznawane i "demaskowane" z pominięciem łańcucha przekazowego.

REDIRECT jest właściwy tylko dla łańcuchów wejściowych i zdefiniowanych przez użytkownika i może być użyty tylko kiedy jądro jest skompilowane z włączoną definicją CONFIG_IP_TRANSPARENT_PROXY. W związku z tym pakiety będą przekierowywane do lokalnego gniazda, nawet jeśli były one skierowane do odległej maszyny. Jeśli podany jest port przekierowania 0, który jest domyślną wartością to port docelowy pakietu będzie użyty jako port przekierowawczy. Kiedy ten cel jest użyty to podany może być opcjonalnie dodatkowy argument (numer portu właśnie).

Jeśli osiągnięty zostaje koniec zdefiniowanego przez użytkownika łańcucha albo wystąpi regułka z celem o nazwie RETURN to sprawdzana jest następna reguła w poprzednim (wywołującym) łańcuchu. Jeśli osiągnięty zostaje koniec wbudowanego łańcucha, albo też wystąpi reguła z celem o nazwie RETURN to dalszy los pakietu zależy od celu określonego przez politykę łańcucha.

OPCJE

Opcje, które są rozpoznawane przez ipchains, możemy podzielić na kilka różnych grup.

KOMENDY

Te opcje określają specyficzne działanie, które ma być dokonane; tylko jedna z tych opcji może być podana w linii komend, z wyjątkiem opcji opisanych poniżej. Dla wszystkich tzw. długich opcji i długich wersji komendy musisz wprowadzić jedynie tyle pierwszych znaków, żeby ipchains potrafiło odróżnić nazwę podawanej opcji od innych.
-A, --append
Dołącza jedną lub więcej reguł do końca podanego łańcucha. Kiedy nazwy źródeł i/lub celów odnoszą się do więcej niż jednego adresu to reguła będzie dodana dla każdej możliwej kombinacji tego adresu.
-D, --delete
Usuwa jedną lub więcej reguł z podanego łańcucha. Są tu dwie wersje tej komendy: reguła może być określona za pomocą jej numeru w łańcuchu (zaczynając od 1 dla pierwszej reguły) lub za pomocą podanej reguły, do której usuwana pasuje.
-R, --replace
Zamienia regułę w wybranym łańcuchu. Jeśli nazwy źródła i/lub przeznaczenia odnoszą się do wielu różnych adresów to komenda zawiedzie. Reguły są ponumerowane poczynając od 1.
-I, --insert
Wstawia jedną lub więcej reguł do określonego łańcucha. Regułę wskazuje się za pomocą jej numeru. Jeśli więc numerem reguły jest 1 to reguła lub reguły są wstawiane na początek łańcucha.
-L, --list
Wypisuje wszystkie reguły w podanym łańcuchu. Jeżeli nie wyszczególniono żadnego łańcucha, to pokazywane są wszystkie. Jest poprawne podanie opcji -Z (zero), by nie istniała konieczność/możliwość podawania łańcucha. Dokładne wyjście zależy od innych wprowadzonych argumentów.
-F, --flush
Opróżnia podany łańcuch. Jest to odpowiednik usunięcia wszystkich reguł po kolei.
-Z, --zero
Zeruje liczniki pakietów i bajtów we wszystkich regułkach. Jest poprawne podanie opcji -L, --list (list), aby ujrzeć zawartości liczników tuż przed ich oczyszczeniem; jeśli jest to wykonane, to nie może być podany żaden konkretny łańcuch. (będą one wszystkie wyświetlone i oczyszczone).
-N, --new-chain
Tworzy nowy, zdefiniowany przez użytkownika łańcuch pod podaną nazwą. Musi to być nazwa unikatowa, nie przypisana do żadnego istniejącego łańcucha.
-X, --delete-chain
Usuwa podany łańcuch zdefiniowany przez użytkownika. Nie może być żadnych odnośników do łańcucha w innych regułkach (jeśli są to trzeba je usunąć lub zastąpić odpowiednimi regułkami zanim łańcuch będzie można usunąć). Jeśli nie podany jest żaden argument to potraktowane zostanie to jako żądanie usunięcia wszystkich niewbudowanych łańcuchów.
-P, --policy
Ustawia politykę łańcucha podanego celu. Obejrzyj sekcję CELE, żeby poznać możliwe cele. Tylko łańcuchy niedefiniowane przez użytkownika mogą mieć tzw. polityki, jednakże ani łańcuchy wbudowane, ani łańcuchy zdefiniowane przez użytkownika nie mogą być celami polityki.
-M, --masquerading
Opcja ta umożliwia przeglądanie połączeń obecnie maskowanych (w połączeniu z opcją -L) lub ustawianie parametrów maskujących jądra (w połączeniu z opcją -S).
-S, --set tcp tcpfin udp
Zmienia wartość czasu oczekiwania używaną przy maskowaniu. Polecenie to wymaga zawsze 3 parametrów, reprezentujących wartości czasów przeterminowania (w sekundach) dla sesji TCP, sesji TCP po odebraniu pakietu FIN i tak samo dla pakietów UDP. Wartość czasu ustawiona na 0 oznacza, że powinien zostać niezmieniony poprzednio ustawiony parametr. Opcja ta jest dopuszczalna tylko w kombinacji z flagą -M.
-C, --check
Sprawdza jak podany pakiet byłby obsłużony przez podany łańcuch. Jest to niezwykle użyteczne, gdy chodzi o testy, ponieważ wykonywane są te same działania, których normalnie dokonuje jądro by sprawdzić "prawdziwy" pakiet. Może być to użyteczne, gdy trzeba sprawdzić łańcuchy zdefiniowane przez użytkownika jak też łańcuchy wbudowane. Przy konstruowaniu kontrolnego pakietu używać można takich samych argumentów jak przy określaniu reguł zapory ogniowej. W szczególności wymaganymi flagami są -s (adres źródła), -d (adres przeznaczenia), -p (protokół) i -i (interfejs).
-h, --help
Pomoc. Podaje (na razie bardzo uproszczony) opis składni komendy. Użycie ze słowem icmp, spowoduje wypisanie listy nazw ICMP.
-V, --version
Wyświetla numer wersji ipchains.

PARAMETRY

Poniższe parametry dopełniają określanie reguł (używane z poleceniami add, delete, replace, append i check).
-p, --protocol[!] protokół
Protokół reguły lub pakietu do sprawdzenia. Podany protokół może być jednym z tcp, udp, icmp, lub all, lub może być wartością liczbową, reprezentującą jeden z tych lub inny protokół. Dopuszczalna jest też nazwa protokołu z pliku /etc/protocols. Argument "!" przez protokołem odwraca próbę. Wartość 0 odpowiada nazwie all. Protokół all odpowiada wszystkim protokołom i jest ustawieniem domyślnym, gdy opcja ta jest pominięta. All nie może być użyte w połączeniu z komendą check.
-s, --source, --src [!] adres[/maska] [!] [port[:port]]
Określenie źródła. Adres może być nazwą hosta, nazwą sieci lub też samym adresem IP. Parametr maska może być zarówno maską sieci jak i samym numerem, określającym pierwszą liczbę z lewej strony maski sieci. Wobec tego, maska 24 odpowiada 255.255.255.0. Argument "!" przed podanym adresem odwraca znaczenie tego adresu.

W skład źródła może wchodzić określenie numeru portu lub typu komunikatu ICMP. Może to być zarówno nazwa usługi, numeru portu, typu ICMP w postaci liczby, jak i jedna z nazw typów ICMP, które można uzyskać wydając polecenie

 ipchains -h icmp
Zauważ, że wiele z tych nazw ICMP odnosi się do obydwu - typu i kodu, to znaczy, że każdy kod ICMP po fladze -d jest niepoprawny. W dalszej części tego paragrafu, port oznacza zarówno określenie numeru portu, jak i typ komunikatu ICMP. Może być również podany zakres alternatywny, zapisywany w formacie port:port. Jeśli pierwszy port jest pominięty to przypisywana jest mu wartość "0"; jeśli drugi jest ominięty to przypisywana jest wartość "65535".

Porty mogą być podane tylko w połączeniu z protokołami tcp, udp, lub icmp. Znak "!" przed określeniem portu odwraca znaczenie. Gdy podano komendę check, wymagającą tylko jednego portu, i jeżeli podano flagę -f (fragmentuj) to nie są dopuszczalne żadne porty.

--source-port [!] [port[:port]]
To pozwala na osobne podanie portu źródłowego lub zakresu portów. Patrz opis flagi -s powyżej po więcej szczegółów. Flaga --sport jest zamiennikiem dla tej opcji.
-d, --destination, --dst [!] adres[/maska] [!] [port[:port]]
Określenie miejsca przeznaczenia. Obejrzyj opis flagi -s (źródło), by uzyskać szczegółowy opis składni. W przypadku ICMP, w którym nie istnieje pojęcie portów, "port docelowy" odnosi się do liczbowego kodu ICMP.
--destination-port [!] [port[:port]]
To pozwala na osobne podawanie portów. Obejrzyj opis flagi -s po więcej szczegółów. Flaga --dport jest zamiennikiem dla tej opcji.
--icmp-type [!] typename
Pozwala to na podanie typu ICMP (użyj w połączeniu z opcją -h icmp, by ujrzeć poprawne nazwy typów ICMP). Jest często bardziej wygodne dołączać tę opcję przy podawaniu miejsc przeznaczenia.
-j, --jump cel
Określa cel reguły; np. co zrobić jeśli pakiet spełnia podane w regule kryteria. Celem może być łańcuch zdefiniowany przez użytkownika (oczywiście nie ten, w którym jest ta reguła) lub jeden z celów specjalnych, które natychmiast decydują o losie pakietu. Jeśli pominiemy w regule tę opcję, to spełnienie przez pakiet podanych kryteriów nie będzie miało wpływu na jego los, ale liczniki tej reguły będą zwiększone.
-i, --interface [!] nazwa
Opcjonalna nazwa interfejsu, przez który pakiet jest odbierany bądź przez który pakiet będzie wysłany. Gdy tej opcji nie podamy to rozważany jest ciąg pusty, który ma specjalne znaczenie i pasuje do każdej nazwy interfejsu. Gdy przed nazwą interfejsu użyjemy argumentu "!" to odwraca to sens opcji. Jeśli nazwa interfejsu kończy się znakiem "+" to spełnione jest to dla wszystkich interfejsów rozpoczynających się podaną nazwą.
[!] -f, --fragment
A to oznacza, że reguła odnosi się jedynie do drugiego i kolejnych fragmentów sfragmentowanych pakietów. Odkąd nie ma możliwości by powiedzieć o źródle lub portach docelowych takiego pakietu (albo typu ICMP), pakiet ten nie będzie pasował do żadnych reguł określających go. Gdy argument "!" poprzedza flagę "-f" sens jest odwrócony.

INNE OPCJE

Poniższe dodatkowe opcje mogą także być użyte:
-b, --bidirectional
Tryb dwukierunkowy. Reguła będzie pasować do pakietów IP w dwie strony; da to taki sam efekt jak powtarzanie tej samej reguły dla źródła i przeznaczenia zamienionych ze sobą. Proszę zauważyć, że NIE oznacza to, że jeżeli pakiety TCP SYN będą dopuszczone na wyjściu, to reguła -b puści pakiety nie-SYN na wejściu: reguła odwrotna jest dokładnie taka sama jak reguła, która została wprowadzona. Oznacza to, że zazwyczaj lepiej jest po prostu unikać flagi -b i otwarcie podawać wszystkie reguły.
-v, --verbose
Krzykliwe wyjście. Opcja ta powoduje, że komenda list pokazuje adres interfejsu, opcje reguły (jeśli są) i maski TOS. Pakiet i liczniki bajtów są także wypisywane, z przedrostkiem 'K', 'M' lub 'G' odpowiednio dla 1000, 1,000,000 i 1,000,000,000 multiplikatorów (ale spójrz jeszcze na flagę -x aby to zmienić). Gdy użyte jest to w kombinacji z -M, to podana będzie też informacja odnosząca się do numerów sekwencji delta. Przy dołączaniu, wstawianiu, usuwaniu i zastępowaniu, powoduje to wyświetlenie szczegółowej informacji dotyczącej reguły lub reguł.
-n, --numeric
Wyjście numeryczne. Adresy IP i numery portów będą wypisywane w formacie liczbowym. Domyślnie, program będzie próbował wyświetlać je jako nazwy hostów, nazwy sieci lub usług (kiedy tylko dają się zastosować).
-l, --log
Włącza w jądrze logowanie pasujących pakietów. Gdy ta opcja jest ustawiona dla reguły, jądro Linuksa wypisze informację dotyczącą wszystkich pasujących pakietów (często np. pasujących nagłówków IP) poprzez printk().
-o, --output [maxsize]
Kupiuje pasujące pakiety do urządzenia w przestrzeni użytkownika. Jest to obecnie czymś istotnym dla twórców, którzy chcą bawić się w efekty zapory ogniowej w przestrzeni użytkownika. Opcjonalny argument maxsize może być użyty by limitować maksymalną liczbę bajtów z pakietu, z którego zostaną skopiowane. Opcja ta jest poprawna tylko wtedy, gdy jądro zostało skompilowane z ustawieniem CONFIG_IP_FIREWALL_NETLINK.
-m, --mark markvalue
Zaznacza pasujące pakiety. Pakiety mogą być oznaczone 32-bitową wartością bez znaku, który może (pewnego dnia) zmienić metodę ich wewnętrznego traktowania. Jeśli nie jesteś kernel hackerem nie powinieneś zawracać sobie tym głowy. Jeśli ciąg markvalue zaczyna się znakiem + albo - to wtedy wartość będzie dodana lub też odjęta do/od obecnej wartości zaznaczenia pakietu (która zaczyna się zerem).
-t, --TOS andmask xormask
Maski używane przy modyfikowaniu pola TOS w nagłówku IP. Gdy pakiet pasuje do reguły, na jego polu TOS i pierwszej masce jest najpierw obliczany iloczyn bitowy, a nastepnie różnica symetryczna z drugą maską. Maski powinny być podane jako szesnastkowe wartości ośmiobitowe. Jako że nie wolno zmieniać LSB pola (RFC 1349), wartości TOS, które spowodują taką zmianę są odrzucane tak samo, jak dowolne reguły ustawiające zawsze więcej niż jeden bit TOS. Reguły, które mogą ustawiać więcej niż jeden bit TOS dla niektórych pakietów powodują ostrzeżenia (wysyłane na standardową diagnostykę), które można zignorować, jeśli wiadomo, że pakiety o takich wartościach TOS nigdy nie osiągną danej reguły. Oczywiście manipulacja TOS jest nieistotna, gdy celem danej reguły jest DENY lub REJECT.
-x, --exact
Rozszerzone wartości numeryczne. Wyświetla dokładną wartość pakietu i liczników bajtów, zamiast tylko podawać zaokrągloną wartość w K (wielokrotności 1000), M (wielokrotności 1000K) czy G (wielokrotności 1000M). Opcja jest odpowiednia tylko dla polecenia -L.
[!] -y, --syn
Dopasowuje tylko te pakiety TCP, które mają ustawiony bit SYN oraz wyczyszczone bity ACK i FIN. Takie pakiety są używane do inicjalizacji połączenia TCP, więc na przykład blokowanie takich pakietów docierających do interfejsu spowoduje, że przychodzące połączenia TCP będą odrzucane, ale nie będzie miało żadnego wpływu na połączenia wychodzące. Opcja ta ma znaczenia tylko jeżeli typem protokołu jest TCP. Jeżeli "-y" zostanie poprzedzone przez flagę "!", to sens tej opcji zostanie odwrócony.
--line-numbers
Wyświetlając reguły, wyświetla - na początku każdej reguły - numery linii odpowiadające pozycji reguły w łańcuchu.
--no-warnings
Wyłącza wypisywanie ostrzeżeń.

PLIKI

/proc/net/ip_fwchains
/proc/net/ip_masquerade

DIAGNOSTYKA

Różne komunikaty o błędach są wypisywane na standardowe wyjście błędów. Kodem wyjścia jest 0, jeżeli wszystko się powiedzie. Błędy, które wydają się być spowodowane błędnymi lub źle użytymi argumentami linii poleceń, spowodują zwrócenie kodu wyjścia 2, a wszystkie inne błędy powodują zwrócenie kodu wyjścia 1.

USTERKI

Jeżeli wejście programu jest terminalem, reguła jest dokładana bądź dołączana do łańcucha przekazowego, a przekazywanie IP nie wydaje się być włączone i nie podano opcji --no-warnings, to na standardowe wyjście jest wypisywane ostrzeżenie o tym, że przekazywanie nie będzie działać, dopóki nie zostanie poprawione. Jest to po to, aby pomóc użytkownikom nieświadomym tego wymogu (którego nie było w jądrach serii 2.0).

Nie można skasować liczników pakietów i bajtów w jednym tylko łańcuchu. Wynika to z ograniczeń jądra.

Wykrywanie zapętleń nie jest obsługiwane w ipchains; pakiety w pętli są upuszczane i notowane, lecz jest to jedyna rzecz jakiej się o tym dowiesz jeśli przypadkowo wytworzysz jakąś pętlę.

Opis efektów zaznaczenia pakietu jest ogólnikowy, dopóki nie zostanie wydana dokumentacja opisująca nowe procedury obsługi pakietów jądra 2.1.

Nie ma sposobu na to by wyzerować liczniki polityki (np. te we wbudowanych łańcuchach).

UWAGI

To ipchains bardzo się różni od ipfwadm autorstwa Josa Vosa, jako że używa nowo powstałych tak zwanych drzew zapory ogniowej IP. Funkcjonalnie jest zastępnikiem ipfwadm i generalnie zawsze obsługuje tamte polecenia. Wierzę, że nowe nazwy poleceń są bardziej racjonalne. Jest też jednakże parę zmian, których powinieneś być świadom.

Fragmenty są obsługiwane w inny sposób. Wszystkie fragmenty po pierwszym są zazwyczaj przepuszczane (co zwykle jest bezpieczne); wtedy mogą być filtrowane. Oznacza to, że prawdopodobnie powinieneś dodać jawną regułę akceptującą fragmenty jeśli dokonujesz konwersji. Spójrz więc na stare reguły zliczające, które sprawdzają porty źródłowe i docelowe 0xFFFF (0xFF w przypadku pakietów ICMP) - był to stary sposób rozliczania fragmentów.

Reguły zliczające są teraz w prosty sposób zintegrowane z łańcuchami wejściowym i wyjściowym; możesz symulować dawne zachowanie w taki sposób:

 ipchains -N acctwe

 ipchains -N acctwy

 ipchains -N acctwewy

 ipchains -I input -j acctwewy

 ipchains -I input -j acctwe

 ipchains -I output -j acctwewy

 ipchains -I output -j acctwy
Stworzy to trzy zdefiniowane przez użytkownika łańcuchy, acctwe, acctwy i acctwewy, które mogą zawierać dowolne reguły zliczające (reguły te powinny być podane bez flagi -j, więc pakiety te są w prosty sposób przepuszczane w nienaruszonej postaci).

Cel MASQ lub REDIRECT przy starciu z brakiem miejsca na operacje jądra (np. przy regule przekazującej lub wejściowej) sprawi, że do syslog zostanie wysłana odpowiednia wiadomość a pakiet będzie odrzucony.

Stary sposób rozpoznawania SYN i ACK (który był poprzednio ignorowany dla pakietów innych niż TCP) uległ zmianie; opcja SYN nie jest już poprawna dla reguł innych niż dotyczących TCP.

Opcja rozpoznawania ACK ( -k) nie jest już wspierana; kombinacja ! i -y jest jej zastępnikiem).

Nie jest już możliwe określenie maski TOS, która ustawi lub wyzeruje ostatni znaczący bit TOS; poprzednio maski TOS były po cichu zerowane przez jądro jeśli próbowały tego dokonać.

Flaga -b jest teraz w prosty sposób obsługiwana poprzez wstawienie lub usunięcie pary reguł, w tym jednej z odwróconym określeniem adresu źródła i adresu docelowego.

Nie ma możliwości określenia interfejsu za pomocą jego adresu: użyj nazwy.

AUTOR

Paul ``Rusty'' Russell <[email protected]>. Podziękowania dla Hansa Perssona za dokonanie szczegółowej korekty; chciałbym, aby poprawiał wszystkie moje przyszłe dokumenty!

INFORMACJE O TŁUMACZENIU

Powyższe tłumaczenie pochodzi z nieistniejącego już Projektu Tłumaczenia Manuali i może nie być aktualne. W razie zauważenia różnic między powyższym opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji, prosimy o zapoznanie się z oryginalną (angielską) wersją strony podręcznika.