<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE>Linux IPCHAINS HOWTO: Appendice: Differenze tra ipchains e ipfwadm</TITLE> <LINK HREF="IPCHAINS-HOWTO-9.html" REL=next> <LINK HREF="IPCHAINS-HOWTO-7.html" REL=previous> <LINK HREF="IPCHAINS-HOWTO.html#toc8" REL=contents> </HEAD> <BODY> <A HREF="IPCHAINS-HOWTO-9.html">Avanti</A> <A HREF="IPCHAINS-HOWTO-7.html">Indietro</A> <A HREF="IPCHAINS-HOWTO.html#toc8">Indice</A> <HR> <H2><A NAME="ipfwadm-diff"></A> <A NAME="s8">8. Appendice: Differenze tra ipchains e ipfwadm</A></H2> <P>Alcune di queste modifiche sono il risultato di modifiche nel kernel, e altre dipendono dal fatto che <CODE>ipchains</CODE> sembra differente da <CODE>ipfwadm</CODE>. <P> <P> <OL> <LI> Molti argomenti sono stati rimappati: le maiuscole ora indicano un comando e le minuscole indicano un'opzione. </LI> <LI> Sono supportate catene arbitrarie e quindi anche le catene predefinite ora hanno un nome invece di essere solamente un opzione (eg. `input' invece di `-I'). </LI> <LI> L'opzione `-k' non c'è più: si usi `! -y'. </LI> <LI> L'opzione `-b' inserire/aggiunge/cancella veramente due regole, piuttosto che una singola regola `bidirezionale'. </LI> <LI> L'opzione `-b' può essere passata a `-C' per fare due verifiche (una in ogni direzione). </LI> <LI> L'opzione `-x' a `-l' è stata rimpiazzata da `-v'. </LI> <LI> Non sono più supportate porte di provenienza e destinazione multiple. Spero che l'essere in grado di negare un intervallo di porte venga in aiuto in questi casi. </LI> <LI> Le interfacce possono essere specificate solamente attraverso il nome (non l'indirizzo). Comunque, la vecchia semantica è stata silenzionamente cambiata nei kernel della serie 2.1. </LI> <LI> I frammenti sono esaminati, non lasciati passare automaticamente. </LI> <LI> Sono state rimosse le catene specifiche per l'accounting. </LI> <LI> Possono essere testati protocolli arbitrari su IP. </LI> <LI> Il vecchio comportamente del SYN e ACK matching (che in precedenza era ignorato per i pacchetti non TCP) è cambiato; l'opzione SYN non è valida per regole non specifiche per il TCP. </LI> <LI> I contatori sono ora a 64 bit su macchine a 32 bit, non più a 32 bit. </LI> <LI> Ora sono supportate le opzioni inverse. </LI> <LI> Ora sono supportati i codici ICMP. </LI> <LI> Sono supportati i caratteri jolly nella specifica dell'interfaccia. </LI> <LI> Ora è controllata l'integrità delle manipolazioni TOS: il vecchio codice del kernel sileziosamente bloccava le manipolazioni (illegali) del bit TOS `Must Be Zero'; ipchains ora restituisce un errore se ci si prova, come anche per gli altri casi illegali.</LI> </OL> <P> <H2><A NAME="ss8.1">8.1 Tabella di riferimento rapido</A> </H2> <P>[ Gli argomenti dei comandi sono in MAIUSCOLO, mentre gli argomenti delle opzioni in minuscolo ] <P> <P>Una cosa da notare, il masquerading è specificato da `-j MASQ'; è completamente diverso da `-j ACCEPT', e non è trattato come un mero effetto collaterale, diversamente da quanto fa <CODE>ipfwadm</CODE>. <P> <P> <PRE> =================================================================== | ipfwadm | ipchains | Note ------------------------------------------------------------------- | -A [both] | -N acct | Crea una catena `acct' | |& -I 1 input -j acct | e fa sì che i pacchetti | |& -I 1 output -j acct | in ingresso e in uscita | |& acct | la traversino. ------------------------------------------------------------------- | -A in | input | Una regola senza tattica ------------------------------------------------------------------- | -A out | output | Una regola senza tattica ------------------------------------------------------------------- | -F | forward | Si usi questo come [catena] ------------------------------------------------------------------- | -I | input | Si usi questo come [catena] ------------------------------------------------------------------- | -O | output | Si usi questo come [catena] ------------------------------------------------------------------- | -M -l | -M -L | ------------------------------------------------------------------- | -M -s | -M -S | ------------------------------------------------------------------- | -a tattica | -A [catena] -j TATTICA | (si veda anche -r e -m). ------------------------------------------------------------------- | -d tattica | -D [catena] -j TATTICA | (si veda anche -r e -m). ------------------------------------------------------------------- | -i tattica | -I 1 [catena] -j TATTICA| (si veda anche -r e -m). ------------------------------------------------------------------- | -l | -L | ------------------------------------------------------------------- | -z | -Z | ------------------------------------------------------------------- | -f | -F | ------------------------------------------------------------------- | -p | -P | ------------------------------------------------------------------- | -c | -C | ------------------------------------------------------------------- | -P | -p | ------------------------------------------------------------------- | -S | -s | Accetta solo una porta o | | | intervallo. ------------------------------------------------------------------- | -D | -d | Accetta solo una porta o | | | intervallo. ------------------------------------------------------------------- | -V | <nessuna> | Si usi -i [nome]. ------------------------------------------------------------------- | -W | -i | ------------------------------------------------------------------- | -b | -b | Crea 2 regole. ------------------------------------------------------------------- | -e | -v | ------------------------------------------------------------------- | -k | ! -y | Non funziona finché non | | | si specifica anche -p tcp. ------------------------------------------------------------------- | -m | -j MASQ | ------------------------------------------------------------------- | -n | -n | ------------------------------------------------------------------- | -o | -l | ------------------------------------------------------------------- | -r [redirpt] | -j REDIRECT [redirpt] | ------------------------------------------------------------------- | -t | -t | ------------------------------------------------------------------- | -v | -v | ------------------------------------------------------------------- | -x | -x | ------------------------------------------------------------------- | -y | -y | Non funziona finché non | | | si specifica anche -p tcp. ------------------------------------------------------------------- </PRE> <P> <H2><A NAME="ss8.2">8.2 Esempi di traduzione di comandi ipfwadm</A> </H2> <P>Vecchio comando: ipfwadm -F -p deny <P>Nuovo comando: ipchains -P forward DENY <P> <P>Vecchio comando: ipfwadm -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0 <P>Nuovo comando: ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0 <P> <P>Vecchio comando: ipfwadm -I -a accept -V 10.1.2.1 -S 10.0.0.0/8 -D 0.0.0.0/0 <P>Nuovo comando: ipchains -A input -j ACCEPT -i eth0 -s 10.0.0.0/8 -d 0.0.0.0/0 <P>(Si noti che questi non sono equivalenti specificando l'interfaccia tramite l'indirizzo: si usi il nome di interfaccia. In questa macchina 10.1.2.1 corrisponde a eth0). <P> <HR> <A HREF="IPCHAINS-HOWTO-9.html">Avanti</A> <A HREF="IPCHAINS-HOWTO-7.html">Indietro</A> <A HREF="IPCHAINS-HOWTO.html#toc8">Indice</A> </BODY> </HTML>
