Page suivantePage pr�c�denteTable des mati�res

8. Annexe : diff�rences entre ipchains et ipfwadm

Quelques-uns de ces changements sont le r�sultat de changements du noyau, et quelques autres sont un r�sultat des diff�rences entre ipchains et ipfwadm.

  1. De nombreux arguments ont �t� modifi�s : les majuscules indiquent dor�navant une commande, et les minuscules indiquent une option.
  2. Les cha�nes arbitraires sont support�es, ainsi m�me les cha�nes int�gr�es ont des noms complets plut�t que des options (c�d, "input" � la place de "-I").
  3. L'option "-k" a saut� : utilisez "! -y".
  4. L'option "-b" ins�re/ajoute/supprime actuellement deux r�gles, plut�t qu'une r�gle "bidirectionnelle" simple.
  5. L'option "-b" peut �tre pass�e � "-C" pour effectuer deux v�rifications (une dans chaque direction).
  6. L'option "-x" de "-l" a �t� remplac�e par "-v".
  7. Les ports sources et destinations multiples ne sont plus support�s. Heureusement, la possibilit� d'employer un intervalle de port aura le m�me effet.
  8. Les interfaces peuvent seulement �tre sp�cifi�es par leur nom (pas par leurs adresses). L'ancienne s�mantique a �t� silencieusement chang�e dans la s�rie des noyaux 2.1, de toute mani�re.
  9. Les fragments sont examin�s, mais pas automatiquement autoris�s.
  10. On s'est d�barrass� des cha�nes de comptage explicites.
  11. On peut �crire des r�gles qui porteront uniquement sur certains protocoles IP.
  12. L'ancien comportement de v�rification de SYN et ACK (qui �tait auparavant ignor� pour les paquets non TCP) a chang� ; l'option SYN n'est plus valide pour les r�gles non sp�cifiques au TCP.
  13. Les compteurs sont maintenant de 64 bits sur les machines 32 bits, et non plus 32 bits.
  14. L'inversion des options est dor�navant support�e.
  15. Les codes ICMP sont maintenant support�s.
  16. Les interfaces joker sont maintenant support�es.
  17. Les manipulations de TOS sont maintenant v�rifi�es : l'ancien code du noyau les stoppait silencieusement pour vous en manipulant (ill�galement) le bit TOS "Must Be Zero" ; ipchains retourne maintenant une erreur si vous essayez, de m�me que pour d'autres cas ill�gaux.

8.1 Guide de r�f�rence rapide

[ Dans l'ensemble, les arguments des commandes sont en MAJUSCULES, et les options des arguments sont en minuscules ]

Une chose � noter, le camouflage est sp�cifi� par "-j MASQ" ; ceci est compl�tement diff�rent de "-j ACCEPT", et n'est pas trait� comme un effet de bord, au contraire d'ipfwadm.

===========================================================================
| ipfwadm      | ipchains              | Notes
---------------------------------------------------------------------------
| -A [both]    | -N acct               | Cr�e une cha�ne "acct"
|              |& -I 1 input -j acct   | ayant des paquets entrants et
|              |& -I 1 output -j acct  | sortants qui la traversent.
|              |& acct                 |
---------------------------------------------------------------------------
| -A in        | input                 | Une r�gle sans destination
---------------------------------------------------------------------------
| -A out       | output                | Une r�gle sans destination
---------------------------------------------------------------------------
| -F           | forward               | Utilise �a comme [cha�ne].
---------------------------------------------------------------------------
| -I           | input                 | Utilise �a comme [cha�ne].
---------------------------------------------------------------------------
| -O           | output                | Utilise �a comme [cha�ne].
---------------------------------------------------------------------------
| -M -l        | -M -L                 |
---------------------------------------------------------------------------
| -M -s        | -M -S                 |
---------------------------------------------------------------------------
| -a policy    | -A [chain] -j POLICY  | (voir -r et -m).
---------------------------------------------------------------------------
| -d policy    | -D [chain] -j POLICY  | (voir -r et -m).
---------------------------------------------------------------------------
| -i policy    | -I 1 [chain] -j POLICY| (voir -r et -m).
---------------------------------------------------------------------------
| -l           | -L                    |
---------------------------------------------------------------------------
| -z           | -Z                    |
---------------------------------------------------------------------------
| -f           | -F                    |
---------------------------------------------------------------------------
| -p           | -P                    |
---------------------------------------------------------------------------
| -c           | -C                    |
---------------------------------------------------------------------------
| -P           | -p                    |
---------------------------------------------------------------------------
| -S           | -s                    | Prend seulement un port ou un
|              |                       | intervalle, pas de multiples.
---------------------------------------------------------------------------
| -D           | -d                    | Prend seulement un port ou un
|              |                       | intervalle, pas de multiples.
---------------------------------------------------------------------------
| -V           | <none>                | Utilise -i [nom].
---------------------------------------------------------------------------
| -W           | -i                    |
---------------------------------------------------------------------------
| -b           | -b                    | Dor�navant cr�e deux r�gles.
---------------------------------------------------------------------------
| -e           | -v                    |
---------------------------------------------------------------------------
| -k           | ! -y                  | Ne fonctionne pas � moins que
|              |                       | -p tcp ne soit �galement sp�cifi�.
---------------------------------------------------------------------------
| -m           | -j MASQ               |
---------------------------------------------------------------------------
| -n           | -n                    |
---------------------------------------------------------------------------
| -o           | -l                    |
---------------------------------------------------------------------------
| -r [redirpt] | -j REDIRECT [redirpt] |
---------------------------------------------------------------------------
| -t           | -t                    |
---------------------------------------------------------------------------
| -v           | -v                    |
---------------------------------------------------------------------------
| -x           | -x                    |
---------------------------------------------------------------------------
| -y           | -y                    | Ne fonctionne pas � moins que
|              |                       | -p tcp ne soit �galement sp�cifi�.
---------------------------------------------------------------------------

8.2 Exemples de commandes ipfwadm traduites

Ancienne commande : ipfwadm -F -p deny

Nouvelle commande : ipchains -P forward DENY

Ancienne commande : ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0

Nouvelle commande : ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0

Ancienne commande : ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0

Nouvelle commande : ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0

(Notez qu'il n'y a pas d'�quivalent pour la sp�cification des interfaces par leur adresse : utilisez le nom de l'interface. Sur cette machine, 10.1.2.1 correspond � eth0).

Page suivantePage pr�c�denteTable des mati�res

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:35