Provided by: manpages-it_0.3.4-5_all bug

NOME

       ipfwadm - Amministrazione del firewall IP e dell’accounting

SINTASSI

       ipfwadm -A comando parametri [opzioni]
       ipfwadm -I comando parametri [opzioni]
       ipfwadm -O comando parametri [opzioni]
       ipfwadm -F comando parametri [opzioni]
       ipfwadm -M [ -l | -s ] [opzioni]

DESCRIZIONE

       Ipfwadm  viene  usato per preparare, gestire ed ispezionare il firewall
       IP e le regole di accounting (conteggio d’uso)  nel  kernel  di  Linux.
       Queste  regole  sono  divise  in 4 differenti categorie: accounting dei
       pacchetti IP, firewall di  ingresso,  firewall  di  uscita  e  firewall
       passante  (forwarding).  Per  ciascuna  di  queste  categorie il kernel
       ospita una lista di regole  separata.   Vedere  ipfw(4)  per  ulteriori
       dettagli.

OPZIONI

       Le  opzioni  riconosciute  da  ipfwadm  possono  essere  divise in vari
       gruppi.

   CATEGORIE
       Le seguenti opzioni vengono  usate  per  selezionare  la  categoria  di
       regole alla quale va applicato il comando corrente:

       -A [direzione]
              Regole  di  accounting  IP.  Si può facoltativamente specificare
              una direzione (in, out,  or  both),  indicando  se  si  vogliono
              contare  solo  i  pacchetti  entranti,  solo  quelli  uscenti  o
              entrambi La direzione di default è both.

       -I     Regole per il firewall di ingresso (pacchetti ricevuti da questo
              host).

       -O     Regole  per  il  firewall  di  uscita  [NdT  output]  (pacchetti
              trasmessi da questo host).

       -F     Regole per il firewall passante [NdT forwarding] (pacchetti  non
              originati nè destinati a questo host).

       -M     Amministrazione  dell’«IP  masquerading».  Questa  categoria può
              solo essere usata in  combinazione  con  il  comando  -l  (list:
              elenca)  oppure  -s  (set  timeout  values:  seleziona  i  tempi
              limite).

       Bisogna specificare una e solo una delle opzioni appena elencate.

   COMANDI
       Le  opzioni  descritte  qui  specificano  quale  azione   deve   essere
       effettuata.  Solo  una  di  esse  può essere specificata sulla linea di
       comando, a meno la descrizione dell’opzione dica diversamento.

       -a [policy]
              Append:  aggiungi  una  o  più  regole  alla  fine  della  lista
              selezionata.   Per la lista di regole di accounting, non occorre
              specificare alcuna "policy" (comportamento).  Per  le  liste  di
              firewall  bisogna  speficare  uno  dei  seguenti  comportamenti:
              accept, deny, or reject.  Quando i nomi associati al mittente  e
              al  destinatario  ri  riferiscono  a  più di un indirizzo IP, il
              programma inserisce una regola per ogni  possibile  combinazione
              di indirizzi.

       -i [policy]
              Insert:  inserisce  una  o  più  regole  all’inizio  della lista
              selezionata. Vedere la descrizione del comando -a per  ulteriori
              dettagli.

       -d [policy]
              Delete:  cancella  una  o  più voce dalla lista selezionata.  La
              semantica è uguale a quella dei comandi di  aggiunta/inserzione.
              I  parametri  specificati  dovranno corrispondere esattamente ai
              parametri  dati  al  comando  di  aggiunta  o   di   inserzione,
              altrimenti  non  verrà trovata alcuna corrispondenza e la regola
              non verrà rimossa dalla lista.  Viene cancellata solo  la  prima
              regola che corrisponde a quella specificata.

       -l     List:  elenca  tutte  le  regole nella lista selezionata. Questo
              comando può essere combinato con il  comando  -z  (ripristina  i
              contatori  a  zero).  In questo caso, i contatori di pacchetti e
              di byte verranno ripristinati a zero  immediatamente  dopo  aver
              stampato  i  loro  valori correnti.  A meno che l’opzione -x sia
              presente, i contatori di  pacchetti  e  di  byte  (se  stampati)
              saranno  mostrati come numeroK o numeroM, dove 1K significa 1000
              e 1M significa 1000K (arrotondati al valore intero più  vicino).
              Vedere anche le opzioni -e e -x per ulteriori informazioni.

       -z     Zero:  azzera  i contatori dei pacchetti e dei byte per tutte le
              regole nella  lista  selezionata.   Questo  comando  può  essere
              combinato con il comando -l (list).

       -f     Flush:   rimuove   tutte   le   regole  nella  lista  di  regole
              selezionata.

       -p policy
              Cambia il comportamento di  default  per  il  tipo  di  firewall
              selezionato.  Il comportamento deve essere uno tra accept, deny,
              e reject.  Il comportamento di default viene usato quando non si
              trovano  regole  che  corrispondano  al  pacchetto in questione.
              Questa operazione è solo valida per  i  firewall,  cioè  per  le
              categorie -I, -O, e -F.

       -s tcp tcpfin udp
              Cambia  i  valori  di timeout usati per la mascheratura.  Questo
              comando accetta sempre 3 parametri, che rappresentano  i  valori
              limite  dei tempi di risposta in secondi (anche detti "timeout")
              per le sessioni TCP, le sessioni TCP che hanno già  ricevuto  un
              pacchetto  FIN,  e  i  pacchetti UDP.  Un valore di timeout di 0
              significa che il valore attuale non  viene  modificato.   Questa
              operazione può solo essere specificata nella categoria -M.

       -c     Controlla  se  questo  pacchetto  sarebbe  accettato, scartato o
              rifiutato dal tipo di firewall selezionato. Questa operazione  è
              solo  valida  per i firewall, cioè in combinazione con l’opzione
              -I, -O, o -F.

       -h     Help.  Restituisce una descrizione della sintassi  dei  comandi,
              al momento tale descrizione è molto concisa.

   PARAMETRI
       I seguenti parametri possono essere usati in combinazione con i comandi
       "append", "insert", "delete" o "check":

       -P protocollo
              Il protocollo cui questa  regola  si  riferisce,  o  quello  del
              pacchetto  da  controllare. Il protocollo specificato può essere
              uno  tra  tcp,  udp,  icmp,  oppure  all.   Il  protocollo   all
              corrisponde  a  tutti  i  protocolli,  ed è il valore di default
              quando questa opzione è omessa.  All può solo  essere  usato  in
              combinazione con il comando "check".

       -S indirizzo[/maschera] [porta ...]
              Specificazione del mittente (facoltativa).  Indirizzo può essere
              un nome di  calcolatore,  un  nome  di  rete  o  un  indizzo  IP
              numerico.  La  maschera può essere o una "netmask" o un semplice
              numero che  specifichi  il  numero  di  uni  che  appaiono  alla
              sinistra  nella  maschera.   Perciò,  una  maschera  pari a 24 è
              equivalente a 255.255.255.0.
              La specifica del mittente può includere una o più specifiche  di
              porta  o  tipi  ICMP.  Ognuna  di  esse può  essere o un nome di
              servizio, un numero di porta o un  tipo  ICMP  (numerico).   Nel
              seguito  di  questo  paragrafo,  il  termine  porta indica o una
              specifica di porta o un tipo ICMP.  Una di queste specifiche può
              essere   un   intervallo  di  porte,  nel  formato  porta:porta.
              Inoltre,  il  numero  totale  di   porte   specificate   insieme
              all’indirizzo  del  mittente  o del destinatario non deve essere
              maggiore  di  IP_FW_MAX_PORTS  (al  momento  10).    In   questo
              conteggio, un intervallo di porte conta come 2 porte.
              I  pacchetti  che  non  siano il primo frammento di un pacchetto
              TCP, UDP o ICMP vengono sempre accettati dal firewall.  Al  fine
              dell’accounting,  questi  ulteriori  frammenti  sono trattati in
              modo speciale, in modo da essere in grado di contarli in qualche
              modo.   Il numero di porta 0xFFFF (65535) viene usato il secondo
              frammento  e  successivi  di  pacchetti  TCP  o  UDP.   Ai  fini
              dell’accounting i pacchetti verranno trattati come se entrambi i
              numeri di porta fossero 0xFFFF.  Il numero 0xFF  (255)  è  usato
              per  il  secondo  frammento  e i successibi relativi a pacchetti
              ICMP.   Ai  fini  dell’accounting  questi   pacchetti   verranno
              trattati  come se i loro tipi ICMP fossero 0xFF.  Si noti che il
              comando e il protocollo  specificati  possono  comportare  delle
              restrizioni  nelle  porte  specificate.  Le porte possono essere
              specificate solo in combinazione con i protocolli  tcp,  udp,  o
              icmp.
              Quando   questa   opzione   è  omessa,  verrà  usata  la  coppia
              indirizzo/maschera 0.0.0.0/0 (che corrisponde ad ogni indirizzo)
              come  indirizzo del mittente.  Questa opzione è obbligatoria con
              il comando "check", e in questo  caso  deve  essere  specificata
              solo una porta.

       -D indirizzo[/maschera] [porta ...]
              Indirizzo  di destinazione (facoltativo).  Vedere la descrizione
              dell’opzione -S (source) per una descrizione  dettagliata  della
              sintassi, valori di default e altri dettagli. Si noti che i tipi
              ICMP non sono permessi in combinazione con l’opzione -D: i  tipi
              ICMP possono solo essere specificati dopo l’opzione -S.

       -V indirizzo
              Indirizzo  opzionale  di  una interfaccia attraverso la quale un
              pacchetto è stato ricevuto o attraverso la  quale  un  pacchetto
              sta  per  essere spedito.  Indirizzo può essere un hostname o un
              semplice  indirizzo  IP.   Quando  un   nome   di   host   viene
              specificato,  deve corrispondere ad un solo indirizzo IP. Quando
              questa  opzione  viene  omessa,  si  suppone   che   il   valore
              dell’indirizzo  sia  0.0.0.0,  che  ha un significato speciale e
              corrisponde ad ogni indirizzo di  interfaccia.  Per  il  comando
              "check" questa opzione è obblgatoria.

       -W nome
              Nope  opzionale  di  una  interfaccia  attraverso  la  quale  un
              pacchetto è stato ricevuto o attraverso la  quale  un  pacchetto
              sta  per essere spedito.  Quando questa opzione viene omessa, si
              suppone che il suo valore  sia  la  stringa  vuota,  che  ha  un
              significato   speciale   e  corrisponde  ad  ogni  indirizzo  di
              interfaccia.  Per  il   comando   "check"   questa   opzione   è
              obblgatoria.

   ALTRE OPZIONI
       Le seguenti opzioni aggiuntive possono venire specificate:

       -b     Modo  bidirezionale.  Questa regola corrisponderà a pacchetti IP
              transitanti in entrambe le  direzioni.  Questa  opzione  è  solo
              valida insieme ai comandi "append", "insert" e "delete".

       -e     Output  esteso.   Questa  opzione  fa  si che  il comando "list"
              mostri anche l’indirizzo dell’interfaccia  usata  e  le  opzioni
              associate  alla  regola  (se  ce  ne  sono).   Per  le liste del
              firewall lists, saranno mostrati anche i contatori dei pacchetti
              e  dei  byte (normalmente questi contatori vengono solo mostrati
              per le regole di accounting) e le maschere TOS.  Quando usata in
              combinazione   con   -M,  verrà  stampata  anche  l’informazione
              riguardante i numeri di sequenza "delta".

       -k     Riferisci la corrispondenza solo a pacchetti TCP con il bit  ACK
              attivo  (questa  opzione  verrà  ignorata per pacchetti di altri
              protocolli).  Questa opzione è solo valida  insieme  ai  comandi
              "append", "insert" o "delete".

       -m     Opera   il   masquearading   sul   pacchetti  accettati  per  la
              ritrasmissione.   Qunado  questa  opzione   è   specificata,   i
              pacchetti  accettati da questa regola saranno mascherati come se
              provenissero dal calcolatore locale.  Inoltre,  i  pacchetti  di
              risposta saranno riconosciuti come tali e verranno de-mascherati
              automaticamente,  senza  passare  per  le  regole  del  firewall
              passante. Questa opzione è valida solo nelle regelo del firewall
              passante (forwarding firewall) con policy accept  (o  quando  si
              specifica accept come policy di default) e può solo essere usata
              quando il kernel è stato compilato con CONFIG_IP_MASQUERADE.

       -n     Stampa numerica.  Gli indirizzi IP e i numeri di  porta  saranno
              stammati  in formato numerico. Normalmente il programma cerca di
              stamparli come hostname, nome di rete o di servizio, quando  ciò
              è possibile).

       -o     Attiva  il "logging" dei pacchetti selezionati da questa regola.
              Quando questa opzione viene attivata per una regola,  il  kernel
              stamperà  delle  informazioni  riguardo ad ogni pacchetto cui la
              regola si riferisce (per esempio, la  maggior  parte  dei  campi
              dell’header  IP)  tramite  printk().   Questa opzione ha effetto
              solo  se   il   kernel   è   stato   compilato   con   l’opzione
              CONFIG_IP_FIREWALL_VERBOSE.   Questa  opzione  è  valida solo in
              combinazione con i comandi "append", "insert" e "delete".

       -r [port]
              Ridirigi i pacchetti ad un socket locale.  Quando questa opzione
              è  attivata,  i  pacchetti  accettati  da  questa regola saranno
              rediretti ad un socket locale, anche se erano  destinati  ad  un
              altro  calcolatore.   Se la porta di ridirezione specificata è 0
              (valore di default) la porta di destinazione del pacchetto  sarà
              usata  come porta dei ridirezione.  Questa opzione è valida solo
              nelle regole per il firewall di ingresso con policy accept e può
              solo  essere  usata  quando  il  kernel  è  stato  compilato con
              CONFIG_IP_TRANSPARENT_PROXY.

       -t andmask xormask
              Maschere usate per  modificare  il  campo  TOS  nell’header  IP.
              Quando  un pacchetto viene accettato, con o senza mascheramento,
              da una regola del firewall, viene operata un’operazione AND  tra
              il   suo  campo  TOS  e  la  prima  maschera;  viene  poi  fatta
              un’operazione XOR tra il risultato e la  seconda  maschera.   Le
              maschere   devono  essere  specificate  come  valori  ad  8  bit
              esadecimali.  L’opzione è  valida  solo  in  combinazine  con  i
              comandi  "append",  "insert"   e  "delete",  senza avere effetto
              quando viene usata con le regole di accounting e  le  regole  di
              firewall per scartare o rifiutare un pacchetto.

       -v     Stampa  prolissa  ("verbose").   Stampa informazioni dettagliate
              sulla regola o pacchetto da inserire, rimuovere  o  controllare.
              Questa opzione ha solo effetto con i comandi "append", "insert",
              "delete" e "check".

       -x     Espansione dei numeri.  Stampa il valore esatto dei contatori di
              pacchetti  e  di  byte,  invece  del  numero  approssimato  a  K
              (multipli di mille) o M (multipli di 1000K).  Questa opzione  ha
              solo  effetto  quando  i  contatori vengono stampati (vedi anche
              l’opzione -e).

       -y     Seleziona solo i pacchetti TCP con il bit SYN attivo  e  il  bit
              ACK  inattivo  (questa  opzione  sarà  ignorata per pacchetti di
              altri protocolli).  Questa opzione è solo valida con  i  comandi
              "append", "insert" e "delete".

FILE

       /proc/net/ip_acct
       /proc/net/ip_input
       /proc/net/ip_output
       /proc/net/ip_forward
       /proc/net/ip_masquerade

VEDERE ANCHE

       ipfw(4)

AUTORE

       Jos Vos <jos@xos.nl>
       X/OS Experts in Open Systems BV, Amsterdam, The Netherlands

                                30 luglio 1996                      IPFWADM(8)