Provided by: manpages-es-extra_0.8a-17_all bug

NOMBRE

       ipfwadm - Administracion del cortafuegos y contabilidad IP

SINOPSIS

       ipfwadm -A parametros [opciones]
       ipfwadm -I parametros [opciones]
       ipfwadm -O parametros [opciones]
       ipfwadm -F parametros [opciones]
       ipfwadm -M [-l | -s] [opciones]

DESCRIPCI'ON

       Ipfwadm  se  utiliza  para  configurar,  mantener  e  inspeccionar  los
       cortafuegos IP y las reglas de contabilidad del  nucleo  Linux.   Estas
       reglas  se pueden dividir en cuatro categorias diferentes: contabilidad
       de paquetes IP, cortafuegos de entrada IP, cortafuegos de salida  IP  y
       cortafuegos  de reenvio.  Para cada una de estas categorias se mantiene
       una lista separada de reglas.

       Las prestaciones de cortafuegos y  de  contabilidad  del  nucleo  Linux
       proporcionan  mecanismos  para contabilizar paquetes IP, para construir
       cortafuegos basados en el filtrado a nivel de paquetes, para  construir
       cortafuegos   que   usen   servidores   proxy  transparentes  (mediante
       redireccion de paquetes a conectores  (sockets)  locales),  y  para  el
       reenvio de paquetes enmascarados (con IP-masquerade). La administracion
       de estas funciones se mantiene en  el  nucleo  mediante  cuatro  listas
       separadas, cada una de las cuales contiene reglas: ninguna, una, dos...
       Cada regla contiene informacion especifica sobre las direcciones origen
       y   destino,   protocolos,   numero   de   puerto   y   algunas   otras
       caracteristicas.  Un  paquete  se  ajusta  a  una  regla   cuando   las
       caracteristicas  de  una  regla  se  ajustan  a  la direccion IP de ese
       paquete.  Estas  reglas  se  pueden  dividir   en   cuatro   categorias
       diferentes:

       Reglas de contabilidad del cortafuegos IP:
              Se  usan para todos los paquetes IP que son enviados o recibidos
              por el interfaz local de red. Cada paquete  se  compara  con  la
              lista  de  reglas,  y en caso de coincidencia se incrementan los
              contadores de paquetes y bytes asociados con las reglas.

       Reglas de entrada del cortafuegos IP:
              Estas reglas se aplican a los paquetes IP entrantes.  Todos  los
              paquetes  que  llegan por algun interfaz local se comprueban con
              las  reglas  de  entrada.  La  primera  regla  que  se  verifica
              determina  la politica que se usa. Cuando no se ajusta a ninguna
              regla se utiliza la politica por defecto.

       Reglas de salida del cortafuegos IP:
              Estas reglas definen los permisos para enviar paquetes IP. Todos
              los  paquetes que estan listos para ser enviados por un interfaz
              local son comprobados con las reglas de salida. La primera regla
              que  se cumple determina el comportamiento que se aplica. Cuando
              no se ajusta a ninguna regla se utiliza la politica por defecto.

       Reglas de reenv'io del cortafuegos IP:
              Estas reglas definen los permisos para el  reenvio  de  paquetes
              IP.   Todos los paquetes enviados por un host remoto con destino
              a otro host remoto se comprueban con las reglas de  reenvio.  La
              primera  regla que verifica un paquete determina la politica que
              se utilizara.  Cuando no se verifica ninguna regla, se aplica el
              comportamiento por defecto.

       Para  cada  una  de  estas categorias se mantiene una lista separada de
       reglas. Vease ipfw(4) para mas detalles.

OPCIONES

       Las opciones reconocidas  por  ipfwadm  se  dividen  en  varios  grupos
       diferentes.

   CATEGOR'IAS
       Las siguientes opciones se usan para seleccionar la categoria de reglas
       a las que se aplican los comandos:

       -A [direcci'on]
              Reglas de contabilidad IP. Opcionalmente se puede especificar un
              sentido  (in,  out,  both),  indicando  si  solo se deben contar
              paquetes de entrada, de salida o de ambos tipos. La  opcion  por
              defecto es both.

       -I     Reglas de entrada al cortafuegos IP.

       -O     Reglas de salida del cortafuegos IP.

       -F     Reglas de reenvio del cortafuegos IP.

       -M     Administracion  de  "IP  masquerading".  Esta  categoria solo se
              puede usar en combinacion con el comando -l (list) o el  comando
              -s (fijar tiempo de expiracion).

       Se tiene que especificar exactamente una de estas opciones.

   COMANDOS
       Las  siguientes  opciones  especifican  la  accion concreta que hay que
       realizar. Solo se puede  especificar  una  de  ellas  en  la  linea  de
       comandos, salvo que se indique otra cosa en la descripcion.

       -a [comportamiento]
              Anade  una  o mas reglas al final de la lista seleccionada. Para
              la contabilidad no se puede especificar  ningun  comportamiento.
              Para   el  cortafuegos  es  necesario  especificar  una  de  las
              siguientes  politicas:  accept,  masquerade  (valida  solo  para
              reglas de reenvio), deny o reject.

              Cuando  los nombre de origen y/o destino se resuelven con mas de
              una  direccion,  se  anadira  una  regla   para   cada   posible
              combinacion.

       -i [comportamiento]
              Inserta  una o mas reglas al principio de la lista seleccionada.
              Vea la descripcion del comando -a para mas detalles.

       -d [comportamiento]
              Borra una o mas entradas al comienzo de la  lista  seleccionada.
              La  semantica  es  identica a la de los comandos anteriores. Los
              parametros especificados deben  coincidir  exactamente  con  los
              dados  en los comandos anadir o insertar. En otro caso, si no se
              ajusta a nada, no se borrara ninguna regla.  Solo  se  borra  la
              primera coincidencia.

       -l     Lista todas las reglas de la lista seleccionada. Este comando se
              puede combinar con el comando -z (reiniciar el contador a cero).
              En  ese  caso los contadores de bytes y de paquetes se reinician
              inmediatamente tras mostrar sus valores actuales. Salvo  que  la
              opcion  -x  este  presente,  los  contadores de paquetes (si son
              listados) se mostraran como numeroK o numeroM donde 1K significa
              1000  y  1M  significa  1000K  (redondeado  al  valor entero mas
              cercano). Vea  tambien  las  opciones  -e  y  -x  para  ver  mas
              posibilidades.

       -z     Reinicia  los  contadores  de  bytes  y de paquetes de todas las
              reglas de la lista seleccionada. Este comando se puede  combinar
              con el comando -l (list).

       -f     Vacia la lista de reglas seleccionada.

       -p pol'itica
              Cambia  la  politica  por  defecto  para el tipo seleccionado de
              cortafuegos. La politica dada  tiene  que  ser  una  de  accept,
              masquerade  (solo valida para reglas de reenvio), deny o reject.
              La politica por  defecto  se  utiliza  cuando  no  se  encuentra
              ninguna  regla que se ajuste. Esta operacion solo es valida para
              cortafuegos IP, esto es, en combinacion con las opciones -I,  -O
              o -F.

       -c     Comprueba   si  este  paquete  IP  seria  aceptado,  denegado  o
              rechazado  por  el  tipo  de  cortafuegos   seleccionado.   Esta
              operacion  solo es valida para cortafuegos IP en combinacion con
              las opciones -I, -O
               o -F.

       -s tcp tcpfin udp
              Cambia  los  valores  de  caducidad  (timeout)  usados   en   el
              enmascaramiento.  Este comando siempre toma tres parametros, que
              representan valores de caducidad  (en  segundos)  para  sesiones
              TCP,  sesiones  TCP  tras recibir un paquete FIN y paquetes UDP,
              respectivamente.  Un valor de caducidad 0 significa que el valor
              actual de caducidad, de la entrada correspondiente, se preserva.
              Esta operacion solo esta permitida en combinacion con la  opcion
              -M.

       -h     Ayuda. Da una descripcion (actualmente breve) de la sintaxis del
              comando.

   PAR'AMETROS
       Los siguientes  parametros  se  pueden  usar  en  combinacion  con  los
       comandos -a, -i, -d o -c:

       -P protocolo
              El  protocolo  de  la  regla  o  del  paquete  a  comprobar.  El
              protocolo especificado puede ser  tcp,  udp,  icpm  o  all.   El
              protocolo  all  se adaptara a todos los protocolos y se toma por
              defecto cuando se omite esta opcion.  all no se  puede  usar  en
              combinacion con el comando -c.

       -S direcci'on[/m'ascara] [puerto...]
              Especificacion  de  origen (obligatorio). La direccion puede ser
              bien un nombre de host, un nombre de  red  o  una  direccion  IP
              concreta.  La  mascara  puede ser una mascara de red o un numero
              que indique el numero de bits con valor 1 a la izquierda  de  la
              mascara   de   red.   Es  decir,  son  equivalentes  la  mascara
              255.255.255.0 y el numero 24.  El origen puede incluir una o mas
              especificaciones  de  puertos  o  tipos  ICMP. Cada uno de ellos
              puede ser un nombre de servicio, numero de puerto o un tipo ICPM
              (numerico).  En el resto de este parrafo, puerto significa o una
              especificacion  de  puerto  o  un  tipo  ICPM.  Una   de   estas
              especificaciones  puede  ser un rango de puertos, con el formato
              puerto:puerto. Ademas, el numero total de puertos  especificados
              con  las  direcciones  origen  y  destino  no debe ser mayor que
              IP_FW_MAX_PORTS (actualmente  10).  Aqui  un  rango  de  puertos
              cuenta como dos puertos.

              Los  paquetes  que no son el primer fragmento de un paquete TCP,
              UDP o ICMP  son  siempre  aceptados  por  el  cortafuegos.   Por
              motivos de contabilidad, estos segundos y posteriores fragmentos
              se tratan de forma  especial  para  poderlos  contar  de  alguna
              forma. El puerto numero 0xFFFF (65535) se usa para ajustarse con
              el segundo y siguientes fragmentos de paquetes TCP o UDP.  Estos
              paquetes se trataran para propositos de contabilidad como si sus
              puertos  fueran  0xFFFF.  El  numero  0xFF  (255)  se  usa  para
              ajustarse   con   el   segundo   y  siguientes  fragmentos  para
              contabilidad de paquetes ICPM. Estos paquetes se trataran,  para
              propositos  de contabilidad, como si sus tipos ICPM fueran 0xFF.
              Observe  que  los  comando  y  protocolo  especificados   pueden
              implicar  restricciones  sobre el puerto que sea especificado en
              combinacion con los protocolos tcp, udp o icpm.  Tambien, cuando
              se especifica el comando -c, se requiere exactamente un puerto.

       -D direcci'on[/m'ascara] [puerto...]
              Especificaciones de destino (obligatorio). Vea la descripcion de
              la opcion -S (origen)  para  una  descripcion  detallada  de  la
              sintaxis.  Observe  que  los  tipos  ICMP no estan permitidos en
              combinacion con la opcion -D; los  tipos  ICMP  solo  se  pueden
              especificar tras la bandera -S.

       -V direcci'on
              La  direccion opcional de un interfaz a traves del cual se envia
              o recibe un paquete.  direcci'on puede ser un nombre  de  host  o
              una  direccion  IP. Cuando se especifica un nombre de host, este
              se debe resolver a exactamente una direccion IP. Cuando se omite
              esta  opcion,  se  supone  la  direccion  0.0.0.0,  que tiene un
              significado especial y se  ajustara  a  cualquier  direccion  de
              interfaz. Para el comando -c, esta opcion es obligatoria.

       -W nombre
              Nombre  opcional  de  un  interfaz a traves del cual se envian o
              reciben paquetes. Cuando se  omite,  se  supone  una  cadena  de
              caracteres  vacia,  que  tiene  un  significado  especial  y  se
              ajustara a cualquier nombre de interfaz.

   OTRAS OPCIONES
       Se pueden especificar las siguientes opciones adicionales:

       -b     Modo Bidireccional.  La regla se ajustara  con  paquetes  IP  en
              ambas direcciones. Esta opcion solo es valida en combinacion con
              los comandos -a, -i o -d.

       -e     Salida extendida.   Esta  opcion  hace  al  comando  -l  mostrar
              tambien la direccion del interfaz y las opciones de la regla (si
              existe). Para las listas del cortafuegos, tambien  se  mostraran
              los contadores de bytes y paquetes (por defecto solo se muestran
              los contadores para las reglas de contabilidad)  y  se  muestran
              las  mascaras  TOS. Cuando se usa en combinacion con -M, tambien
              mostrara la informacion relacionada con la secuencia de  numeros
              delta.  Esta opcion solo es valida en combinacion con el comando
              -l.

       -k     Ajustar solo a paquetes TCP con el bit ACK activo.  Esta  opcion
              solo es valida en combinacion con los comandos -a, -i o -d, y el
              protocolo TCP.

       -m     Enmascaramiento de paquetes aceptados para reenvio.   Cuando  se
              utiliza esta opcion, los paquetes aceptados por esta regla seran
              enmascarados como si fueran originales del host local.   Ademas,
              los  paquetes  de respuesta seran reconocidos como tales y seran
              desenmascarados  automaticamente  pasando  el   cortafuegos   de
              reenvio.   Esta opcion es solo valida para las reglas de reenvio
              con comportamiento accept (o cuando se haya especificado  accept
              como el comportamiento por defecto), y solo se puede usar cuando
              se compila el nucleo con la opcion CONFIG_IP_MASQUERADE.

       -n     Salida numerica.  Las direcciones IP y numeros se imprimiran  en
              formato  numerico. Por defecto, el programa intentara mostrarlos
              como nombres de host, nombres de red  o  servicios  (cuando  sea
              aplicable).

       -o     Activa  el registro del nucleo de paquetes ajustados.  Cuando se
              pone esta opcion para una regla, el nucleo  de  Linux  imprimira
              cierta informacion basica de todos los paquetes que se ajusten a
              ella mediante printk().  Esta opcion solo sera  efectiva  cuando
              se  compile  el nucleo con la opcion CONFIG_IP_FIREWALL_VERBOSE.
              Esta opcion solo es valida en combinacion con los  comandos  -a,
              -i o -d.

       -r [puerto]
              Redirecciona  paquetes  a  un conector (socket) local. Cuanto se
              utiliza esta opcion, los paquetes aceptados por la  regla  seran
              redireccionados   a   un   conector  local,  incluso  si  fueran
              redireccionados a un host remoto. Si el puerto redireccionado es
              0,  que  es el valor por defecto, se usara el puerto destino del
              paquete como el puerto  de  redireccion.  Esta  opcion  es  solo
              valida   en   las   reglas   de   entrada  del  cortafuegos  con
              comportamiento accept y  solo  puede  ser  utilizada  cuando  el
              nucleo    de    Linux    esta    compilado    con    la   opcion
              CONFIG_IP_TRANSPARENT_PROXY.

       -t andmask xormask
              Mascara utilizada para modificar el campo TOS en la cabecera IP.
              Cuando un paquete se acepta (con o sin masquerade) por una regla
              del cortafuegos, a su campo TOS primero se le hace  un  Y-logico
              con  la  mascara andmask y al resultado se le aplica un O-logico
              exclusivo  con  la  mascara  xormask.   La   mascara   se   debe
              especificar en valores de 8 bits hexadecimales. Esta opcion solo
              es valida en combinacion con los comandos -a,  -i  o  -d,  y  no
              tendra  efectos  cuando  se utilice en combinacion con reglas de
              contabilidad  o  de  cortafuegos  para  rechazar  o  denegar  un
              paquete.

       -v     Salida  detallada.   Imprime informacion detallada de la regla o
              paquete anadido, borrado o comprobado.  Esta opcion solo  tendra
              efecto con los comandos -a, -i, -d o -c.

       -x     Expande  numeros.   Muestra el valor exacto de los contadores de
              bytes y de paquetes, en lugar de solo los numeros redondeados  a
              multiplos  de  1K  o de 1M (multiplo de 1000K). Esta opcion solo
              tendra efecto cuando se muestren  los  contadores  de  cualquier
              forma (vea la opcion -e).

       -y     Solo  ajusta  paquetes  TCP con el bit SYN activado y el bit ACK
              desactivado. Esta opcion solo es valida en combinacion  con  los
              comandos -a, -i o -d, y el protocolo TCP.

FICHEROS

       /proc/net/ip_acct
       /proc/net/ip_input
       /proc/net/ip_output
       /proc/net/ip_forward
       /proc/net/ip_masquerade

V'EASE TAMBI'EN

       ipfw(4)

AUTOR

       Jos Vos <jos@xos.nl>
       X/OS Expert in Open Systems BV, Amsterdam, The Netherlands