Provided by: manpages-es-extra_0.8a-16_all bug

NOMBRE

       ipfwadm - Administración del cortafuegos y contabilidad IP

SINOPSIS

       ipfwadm -A parámetros [opciones]
       ipfwadm -I parámetros [opciones]
       ipfwadm -O parámetros [opciones]
       ipfwadm -F parámetros [opciones]
       ipfwadm -M [-l | -s] [opciones]

DESCRIPCIÓN

       Ipfwadm  se  utiliza  para  configurar,  mantener  e  inspeccionar  los
       cortafuegos IP y las reglas de contabilidad del  núcleo  Linux.   Estas
       reglas  se pueden dividir en cuatro categorías diferentes: contabilidad
       de paquetes IP, cortafuegos de entrada IP, cortafuegos de salida  IP  y
       cortafuegos  de reenvío.  Para cada una de estas categorías se mantiene
       una lista separada de reglas.

       Las prestaciones de cortafuegos y  de  contabilidad  del  núcleo  Linux
       proporcionan  mecanismos  para contabilizar paquetes IP, para construir
       cortafuegos basados en el filtrado a nivel de paquetes, para  construir
       cortafuegos   que   usen   servidores   proxy  transparentes  (mediante
       redirección de paquetes a conectores  (sockets)  locales),  y  para  el
       reenvio de paquetes enmascarados (con IP-masquerade). La administración
       de estas funciones se mantiene en  el  núcleo  mediante  cuatro  listas
       separadas, cada una de las cuales contiene reglas: ninguna, una, dos...
       Cada regla contiene información específica sobre las direcciones origen
       y   destino,   protocolos,   número   de   puerto   y   algunas   otras
       características.  Un  paquete  se  ajusta  a  una  regla   cuando   las
       características  de  una  regla  se  ajustan  a  la dirección IP de ese
       paquete.  Estas  reglas  se  pueden  dividir   en   cuatro   categorías
       diferentes:

       Reglas de contabilidad del cortafuegos IP:
              Se  usan para todos los paquetes IP que son enviados o recibidos
              por el interfaz local de red. Cada paquete  se  compara  con  la
              lista  de  reglas,  y en caso de coincidencia se incrementan los
              contadores de paquetes y bytes asociados con las reglas.

       Reglas de entrada del cortafuegos IP:
              Estas reglas se aplican a los paquetes IP entrantes.  Todos  los
              paquetes  que  llegan por algún interfaz local se comprueban con
              las  reglas  de  entrada.  La  primera  regla  que  se  verifica
              determina  la política que se usa. Cuando no se ajusta a ninguna
              regla se utiliza la política por defecto.

       Reglas de salida del cortafuegos IP:
              Estas reglas definen los permisos para enviar paquetes IP. Todos
              los  paquetes que están listos para ser enviados por un interfaz
              local son comprobados con las reglas de salida. La primera regla
              que  se cumple determina el comportamiento que se aplica. Cuando
              no se ajusta a ninguna regla se utiliza la política por defecto.

       Reglas de reenvío del cortafuegos IP:
              Estas  reglas  definen  los permisos para el reenvío de paquetes
              IP.  Todos los paquetes enviados por un host remoto con  destino
              a  otro  host remoto se comprueban con las reglas de reenvío. La
              primera regla que verifica un paquete determina la política  que
              se utilizará.  Cuando no se verifica ninguna regla, se aplica el
              comportamiento por defecto.

       Para cada una de estas categorías se mantiene  una  lista  separada  de
       reglas. Véase ipfw(4) para más detalles.

OPCIONES

       Las  opciones  reconocidas  por  ipfwadm  se  dividen  en varios grupos
       diferentes.

   CATEGORÍAS
       Las siguientes opciones se usan para seleccionar la categoría de reglas
       a las que se aplican los comandos:

       -A [direccin]
              Reglas de contabilidad IP. Opcionalmente se puede especificar un
              sentido (in, out, both),  indicando  si  sólo  se  deben  contar
              paquetes  de  entrada, de salida o de ambos tipos. La opción por
              defecto es both.

       -I     Reglas de entrada al cortafuegos IP.

       -O     Reglas de salida del cortafuegos IP.

       -F     Reglas de reenvío del cortafuegos IP.

       -M     Administración de "IP  masquerading".  Esta  categoría  sólo  se
              puede  usar en combinación con el comando -l (list) o el comando
              -s (fijar tiempo de expiración).

       Se tiene que especificar exactamente una de estas opciones.

   COMANDOS
       Las siguientes opciones especifican la  acción  concreta  que  hay  que
       realizar.  Sólo  se  puede  especificar  una  de  ellas  en la línea de
       comandos, salvo que se indique otra cosa en la descripción.

       -a [comportamiento]
              Añade una o más reglas al final de la lista  seleccionada.  Para
              la  contabilidad  no se puede especificar ningún comportamiento.
              Para  el  cortafuegos  es  necesario  especificar  una  de   las
              siguientes  políticas:  accept,  masquerade  (válida  sólo  para
              reglas de reenvío), deny o reject.

              Cuando los nombre de origen y/o destino se resuelven con más  de
              una   dirección,   se   añadirá  una  regla  para  cada  posible
              combinación.

       -i [comportamiento]
              Inserta una o más reglas al principio de la lista  seleccionada.
              Vea la descripción del comando -a para más detalles.

       -d [comportamiento]
              Borra  una  o más entradas al comienzo de la lista seleccionada.
              La semántica es idéntica a la de los  comandos  anteriores.  Los
              parámetros  especificados  deben  coincidir  exactamente con los
              dados en los comandos añadir o insertar. En otro caso, si no  se
              ajusta  a  nada,  no  se borrará ninguna regla. Sólo se borra la
              primera coincidencia.

       -l     Lista todas las reglas de la lista seleccionada. Este comando se
              puede combinar con el comando -z (reiniciar el contador a cero).
              En ese caso los contadores de bytes y de paquetes  se  reinician
              inmediatamente  tras  mostrar sus valores actuales. Salvo que la
              opción -x esté presente, los  contadores  de  paquetes  (si  son
              listados) se mostrarán como númeroK o númeroM donde 1K significa
              1000 y 1M  significa  1000K  (redondeado  al  valor  entero  más
              cercano).  Vea  también  las  opciones  -e  y  -x  para  ver más
              posibilidades.

       -z     Reinicia los contadores de bytes y  de  paquetes  de  todas  las
              reglas  de la lista seleccionada. Este comando se puede combinar
              con el comando -l (list).

       -f     Vacía la lista de reglas seleccionada.

       -p poltica
              Cambia la política por defecto  para  el  tipo  seleccionado  de
              cortafuegos.  La  política  dada  tiene  que  ser una de accept,
              masquerade (sólo válida para reglas de reenvío), deny o  reject.
              La  política  por  defecto  se  utiliza  cuando  no se encuentra
              ninguna regla que se ajuste. Esta operación sólo es válida  para
              cortafuegos  IP, esto es, en combinación con las opciones -I, -O
              o -F.

       -c     Comprueba  si  este  paquete  IP  sería  aceptado,  denegado   o
              rechazado   por   el  tipo  de  cortafuegos  seleccionado.  Esta
              operación sólo es válida para cortafuegos IP en combinación  con
              las opciones -I, -O
               o -F.

       -s tcp tcpfin udp
              Cambia   los   valores  de  caducidad  (timeout)  usados  en  el
              enmascaramiento.  Este comando siempre toma tres parámetros, que
              representan  valores  de  caducidad  (en segundos) para sesiones
              TCP, sesiones TCP tras recibir un paquete FIN  y  paquetes  UDP,
              respectivamente.  Un valor de caducidad 0 significa que el valor
              actual de caducidad, de la entrada correspondiente, se preserva.
              Esta  operación sólo está permitida en combinación con la opción
              -M.

       -h     Ayuda. Da una descripción (actualmente breve) de la sintaxis del
              comando.

   PARÁMETROS
       Los  siguientes  parámetros  se  pueden  usar  en  combinación  con los
       comandos -a, -i, -d o -c:

       -P protocolo
              El protocolo  de  la  regla  o  del  paquete  a  comprobar.   El
              protocolo  especificado  puede  ser  tcp,  udp,  icpm o all.  El
              protocolo all se adaptará a todos los protocolos y se  toma  por
              defecto  cuando  se  omite esta opción.  all no se puede usar en
              combinación con el comando -c.

       -S direccin[/mscara] [puerto...]
              Especificación de origen (obligatorio). La dirección  puede  ser
              bien  un  nombre  de  host,  un nombre de red o una dirección IP
              concreta. La máscara puede ser una máscara de red  o  un  número
              que  indique  el número de bits con valor 1 a la izquierda de la
              máscara  de  red.  Es  decir,  son   equivalentes   la   máscara
              255.255.255.0 y el número 24.  El origen puede incluir una o más
              especificaciones de puertos o tipos  ICMP.  Cada  uno  de  ellos
              puede ser un nombre de servicio, número de puerto o un tipo ICPM
              (numérico). En el resto de este párrafo, puerto significa o  una
              especificación   de   puerto  o  un  tipo  ICPM.  Una  de  estas
              especificaciones puede ser un rango de puertos, con  el  formato
              puerto:puerto.  Además, el número total de puertos especificados
              con las direcciones origen y  destino  no  debe  ser  mayor  que
              IP_FW_MAX_PORTS  (actualmente  10).  Aquí  un  rango  de puertos
              cuenta como dos puertos.

              Los paquetes que no son el primer fragmento de un  paquete  TCP,
              UDP  o  ICMP  son  siempre  aceptados  por  el cortafuegos.  Por
              motivos de contabilidad, estos segundos y posteriores fragmentos
              se  tratan  de  forma  especial  para  poderlos contar de alguna
              forma. El puerto número 0xFFFF (65535) se usa para ajustarse con
              el  segundo y siguientes fragmentos de paquetes TCP o UDP. Estos
              paquetes se tratarán para propósitos de contabilidad como si sus
              puertos  fueran  0xFFFF.  El  número  0xFF  (255)  se  usa  para
              ajustarse  con  el  segundo   y   siguientes   fragmentos   para
              contabilidad  de paquetes ICPM. Estos paquetes se tratarán, para
              propósitos de contabilidad, como si sus tipos ICPM fueran  0xFF.
              Observe   que  los  comando  y  protocolo  especificados  pueden
              implicar restricciones sobre el puerto que sea  especificado  en
              combinación con los protocolos tcp, udp o icpm.  También, cuando
              se especifica el comando -c, se requiere exactamente un  puerto.

       -D direccin[/mscara] [puerto...]
              Especificaciones de destino (obligatorio). Vea la descripción de
              la opción -S (origen)  para  una  descripción  detallada  de  la
              sintaxis.  Observe  que  los  tipos  ICMP no están permitidos en
              combinación con la opción -D; los  tipos  ICMP  sólo  se  pueden
              especificar tras la bandera -S.

       -V direccin
              La  dirección opcional de un interfaz a través del cual se envía
              o recibe un paquete.  direccin puede ser un nombre  de  host  o
              una  dirección  IP. Cuando se especifica un nombre de host, éste
              se debe resolver a exactamente una dirección IP. Cuando se omite
              esta  opción,  se  supone  la  dirección  0.0.0.0,  que tiene un
              significado especial y se  ajustará  a  cualquier  dirección  de
              interfaz. Para el comando -c, esta opción es obligatoria.

       -W nombre
              Nombre  opcional  de  un  interfaz a través del cual se envían o
              reciben paquetes. Cuando se  omite,  se  supone  una  cadena  de
              caracteres  vacía,  que  tiene  un  significado  especial  y  se
              ajustará a cualquier nombre de interfaz.

   OTRAS OPCIONES
       Se pueden especificar las siguientes opciones adicionales:

       -b     Modo Bidireccional.  La regla se ajustará  con  paquetes  IP  en
              ambas direcciones. Esta opción sólo es válida en combinación con
              los comandos -a, -i o -d.

       -e     Salida extendida.   Esta  opción  hace  al  comando  -l  mostrar
              también la dirección del interfaz y las opciones de la regla (si
              existe). Para las listas del cortafuegos, también  se  mostrarán
              los contadores de bytes y paquetes (por defecto sólo se muestran
              los contadores para las reglas de contabilidad)  y  se  muestran
              las  máscaras  TOS. Cuando se usa en combinación con -M, también
              mostrará la información relacionada con la secuencia de  números
              delta.  Esta opción sólo es válida en combinación con el comando
              -l.

       -k     Ajustar sólo a paquetes TCP con el bit ACK activo.  Esta  opción
              sólo es válida en combinación con los comandos -a, -i o -d, y el
              protocolo TCP.

       -m     Enmascaramiento de paquetes aceptados para reenvío.   Cuando  se
              utiliza esta opción, los paquetes aceptados por esta regla serán
              enmascarados como si fueran originales del host local.   Además,
              los  paquetes  de respuesta serán reconocidos como tales y serán
              desenmascarados  automáticamente  pasando  el   cortafuegos   de
              reenvío.   Esta opción es sólo válida para las reglas de reenvío
              con comportamiento accept (o cuando se haya especificado  accept
              como el comportamiento por defecto), y sólo se puede usar cuando
              se compila el núcleo con la opción CONFIG_IP_MASQUERADE.

       -n     Salida numérica.  Las direcciones IP y números se imprimirán  en
              formato  numérico. Por defecto, el programa intentará mostrarlos
              como nombres de host, nombres de red  o  servicios  (cuando  sea
              aplicable).

       -o     Activa  el registro del núcleo de paquetes ajustados.  Cuando se
              pone esta opción para una regla, el núcleo  de  Linux  imprimirá
              cierta información básica de todos los paquetes que se ajusten a
              ella mediante printk().  Esta opción sólo será  efectiva  cuando
              se  compile  el núcleo con la opción CONFIG_IP_FIREWALL_VERBOSE.
              Esta opción sólo es válida en combinación con los  comandos  -a,
              -i o -d.

       -r [puerto]
              Redirecciona  paquetes  a  un conector (socket) local. Cuanto se
              utiliza esta opción, los paquetes aceptados por la  regla  serán
              redireccionados   a   un   conector  local,  incluso  si  fueran
              redireccionados a un host remoto. Si el puerto redireccionado es
              0,  que  es el valor por defecto, se usará el puerto destino del
              paquete como el puerto  de  redirección.  Esta  opción  es  sólo
              válida   en   las   reglas   de   entrada  del  cortafuegos  con
              comportamiento accept y  sólo  puede  ser  utilizada  cuando  el
              núcleo    de    Linux    está    compilado    con    la   opción
              CONFIG_IP_TRANSPARENT_PROXY.

       -t andmask xormask
              Máscara utilizada para modificar el campo TOS en la cabecera IP.
              Cuando un paquete se acepta (con o sin masquerade) por una regla
              del cortafuegos, a su campo TOS primero se le hace  un  Y-lógico
              con  la  máscara andmask y al resultado se le aplica un O-lógico
              exclusivo  con  la  máscara  xormask.   La   máscara   se   debe
              especificar en valores de 8 bits hexadecimales. Esta opción sólo
              es válida en combinación con los comandos -a,  -i  o  -d,  y  no
              tendrá  efectos  cuando  se utilice en combinación con reglas de
              contabilidad  o  de  cortafuegos  para  rechazar  o  denegar  un
              paquete.

       -v     Salida  detallada.   Imprime información detallada de la regla o
              paquete añadido, borrado o comprobado.  Esta opción sólo  tendrá
              efecto con los comandos -a, -i, -d o -c.

       -x     Expande  números.   Muestra el valor exacto de los contadores de
              bytes y de paquetes, en lugar de sólo los números redondeados  a
              múltiplos  de  1K  o de 1M (múltiplo de 1000K). Esta opción sólo
              tendrá efecto cuando se muestren  los  contadores  de  cualquier
              forma (vea la opción -e).

       -y     Solo  ajusta  paquetes  TCP con el bit SYN activado y el bit ACK
              desactivado. Esta opción sólo es válida en combinación  con  los
              comandos -a, -i o -d, y el protocolo TCP.

FICHEROS

       /proc/net/ip_acct
       /proc/net/ip_input
       /proc/net/ip_output
       /proc/net/ip_forward
       /proc/net/ip_masquerade

VÉASE TAMBIÉN

       ipfw(4)

AUTOR

       Jos Vos <jos@xos.nl>
       X/OS Expert in Open Systems BV, Amsterdam, The Netherlands