Provided by: manpages-pl_20060617-1_all bug

NAZWA

       ipmasqadm - administracja dodatkowymi modułami IP Masquerading

SKŁADNIA

       ipmasqadm <moduł> [opcje-specyficzne-dla-modułu]
       ipmasqadm <moduł> -h

       ipmasqadm autofw opcje
       ipmasqadm portfw opcje
       ipmasqadm mfw opcje

OPIS

       Ipmasqadm   używane   jest  do  konfigurowania  dodatkowych  udogodnień
       maskowania IP, zazwyczaj wspieranych przez dodatkowe moduły jądra.

       Wszystkie  przekierowania  wewnątrz-firewallowe  są  realizowane  przez
       maskowanieodwrotne(zang.reverse-masquerading)  tak więc musisz stworzyć
       reguły  ścianki  ogniowej,  które   muszą   pasowa   do   wytworzonego
       przekierowania  wedle połączenia wychodzącego (zamiast przychodzącego).

       Jądro musi być skompilowane z opcjami
       CONFIG_EXPERIMENTAL=y
       CONFIG_IP_MASQUERADE=y
       CONFIG_IP_MASQUERADE_MOD=y
       i
       CONFIG_IP_MASQUERADE_IPAUTOFW=y/m
       CONFIG_IP_MASQUERADE_IPPORTFW=y/m
       CONFIG_IP_MASQUERADE_MFW=y/m
       dla odpowiednich modułów.

       Jeśli potrzebujesz przekierować jeden (lub więcej) wewnętrznych  portów
       do hostów wewnętrznych rozważ użycie modułu o nazwie mfw

       W skrócie:

       Krótki     moduł           moduł                      opcja
        opis    ipmasqadm         jądra                      jądra
       ------------------------------------------------------------------------
       Auto     autofw.so   ip_masq_autofw.o     CONFIG_IP_MASQUERADE_IPAUTOFW
       Port     portfw.so   ip_masq_portfw.o     CONFIG_IP_MASQUERADE_IPPORTFW
       Fwmark   mfw.so      ip_masq_mfw.o        CONFIG_IP_MASQUERADE_MFW

MODUŁ autofw - Auto-forwarding

       Moduł  ten  jest,  w pewnych okolicznościach, zdolny do przechwytywania
       protokołów  aplikacji,  które  nie  mają  wsparcia   jako   specyficzne
       (dedykowane) moduły maskujące.  Jądro musi być skompilowane z opcją
       CONFIG_IP_MASQUERADE_IPAUTOFW=y/m

   autofw -h
       Pomoc komendy. Proszę na razie odnosić się do niej.

       Po  mnóstwo  użytecznych  informacji dotyczących używania autofw proszę
       zajrzeć do http://ipmasq.home.ml.org

MODUŁ portfw - Port-forwarding

       Ten  moduł  jest  w  stanie  przekierować   pakiety   do-firewalla   do
       wewntrznych hostów, bazując na adresie i numerze portu.

   portfw -h
       Pomoc komendy. Proszę na razie odnosić się do niej.

MODUŁ mfw - fwmark-forwarding

       Moduł  ten  pozwala  przekierować  pakiety do-firewalla do wewntrznych
       hostów, bazując na pasującym znaczniku fwmark  .   Obejrzyj  podręcznik
       ipchains(8)  aby dowiedzieć się jak ustawiać reguły firewall-a używając
       fwmarkowania.  Także zauważ proszę, że ponieważ moduł ten działa  tylko
       przy   pierwszym  pakiecie  połączenia,  więc  ma  tutaj  sens  dodanie
       przełącznika  -y  polecenia  ipchains  do  reguł  TCP   przy   obsłudze
       znaczników.

   KOMENDY
       mfw -A -m fwmark -r adres [port] [-p waga]
              Dołącza  jedną regułę do końca listy fwmark hostów podlegających
              przekierowaniu.
              Pakiety fwmarkowane wytworzą tunel-maskujcy by nim  przekazywać
              późniejszy ruch połączeń do adresu i portu.

              Nastąpi  to  co  najmniej waga razy przed kolejkowaniem kolejnej
              pozycji z taką samą wartością fwmark .
              Jeśli nie  podano  portu  to  zostanie  użyte  przekierowanie  z
              oryginalnym adresem docelowym pakietu.

       mfw -I -m fwmark -r adres [port] [-p waga]
              Działa  tak  samo  jak opcja -A z wyjątkiem tego, że reguła jest
              wstawiana na początek listy.

       mfw -D -m fwmark [-r adres [port] ]
              Usuwa podane reguły (podaną regułę).

       mfw -E -m fwmark [-r address [port] ] -p pref
              Edycja podanych reguł, obecnie można zmieniać wartość -p .

       mfw -S -m fwmark
              Wymuś kolejkowanie w pozycjach przekierowań fwmark .

       mfw -F Opróżnij (skasuj) wszystkie reguły.

       mfw -L [-n]
              Wyświetl reguły, opcjonalnie pokazując tylko adresy (bez  nazw).

   PRZYKŁADY
       Przekieruj  cały  ruch  Web do wewnętrznych maszyn hostA i hostB, gdzie
       hostB będzie obsługiwał 2 razy połączenia hostA.  Reguły  przekazu  już
       maskują wewnętrzne maszyny na zewnątrz (typowe).

              ipchains -I input -p tcp -y -d twoja.domena.com/32 80 -m 1
              ipmasqadm mfw -I -m 1 -r hostA 80 -p 10
              ipmasqadm mfw -I -m 1 -r hostB 80 -p 20

       Przekieruj  ruch  ssh  z  zewnętrznego  klienta klientA do wewnętrznego
       hostB, a  także  pokaż  regułę  maskującą  by  pozwolić  na  połączenia
       przychodzące do portu ssh tylko dla maszyny hostB.

              ipchains -I forward -p tcp -d klientA/32 -s hostB/32 22 -j MASQ
              ipchains -I input -p tcp -y -s klientA/32 -d 0/0 22 -m 2
              ipmasqadm mfw -I -m 2 -r hostB 22

       Przekieruj  cały  ruch z zewnętrznego klientaA do wewnętrznego hostB, a
       także  pokaż  regułę  maskującą  by  pozwolić  maszynie   hostB   tylko
       (wyraźnie, prosto, ... po prostu *zielono*)

              ipchains -I forward -d klientA/32 -s hostB/32 -j MASQ
              ipchains -I input -s klientA/32 -m 3
              ipmasqadm mfw -I -m 3 -r hostB

PLIKI

       /usr/lib/ipmasqadm/*.so
                           Moduły  używane przez interfejs jądra do ipmasqadm.

       /proc/net/ipmasq/*  Wewnętrzne pliki stanu modułów maskujących.

USTERKI

       W jądrach 2.2  nie  ma  możliwości  by  wspdzieli  numery  portów  z
       normalnymi  gniazdami.  Obecnie  moduły  maskujące  biorą priorytet nad
       gniazdami.

       Ponieważ przekierowania są obecnie maskującymi tunelami mają one  takie
       same właściwości: czasy bezczynności, maksymalne liczby wpisów, itd.

       Automatyczne  ładowanie  modułów przez jądro zadziała dla przełączników
       -A  i -I , ale nie dla  -L,  więc  ujrzysz  ostrzeżenia  o  brakujących
       wpisach    list    /proc/net/ip_masq/...     kiedy   moduł   nie   jest
       (automatycznie) załadowany. Zmieni się to w przyszłych wydaniach.

PRZESTROGI

       Protokoły, które używają kontroli i  wytwarzają  połączenie  są  zawsze
       kłopotliwe przy przekraczaniu ścianek ogniowych. Przykładami mogą tutaj
       być ftp,  irc,  real  audio,  itd  Ponieważ  mamy  tu  do  czynienia  z
       przekazywaniem  odwrotnego-maskowania  problemy  się  też odwracaj; na
       przykład: ftp przekazywane z zewnątrz do  wewnątrz  i  serwer  już  nie
       zadziała  w  trybie PASV ponieważ serwer wyśle swój wewnętrzny adres do
       klienta na zewnątrz, w przeciwieństwie  do  tradycyjnych  nie-pasywnych
       połączeń,  które  się  powiodą (pomyśl trochę nad tym, proszę).  Trwają
       pracę nad wsparciem dla modułów dwukierunkowych .

UWAGI

       To jest moja pierwsza strona man, tak w razie gdybyś nie  zauważył  ...
       ;)

       Ostrzegam przed jej jakością pre-alpha.

ZOBACZ TAKŻE

       ipchains(8)

AUTOR

       Juan Jose Ciarlante <jjciarla@raiz.uncu.edu.ar>

                                 Grudnia 1998                     IPMASQADM(8)