Provided by: manpages-es-extra_0.8a-17_all bug

NOMBRE

       ipfwadm - Administración del cortafuegos y contabilidad IP

SINOPSIS

       ipfwadm -A parámetros [opciones]
       ipfwadm -I parámetros [opciones]
       ipfwadm -O parámetros [opciones]
       ipfwadm -F parámetros [opciones]
       ipfwadm -M [-l | -s] [opciones]

DESCRIPCIÓN

       Ipfwadm  se  utiliza  para  configurar,  mantener  e  inspeccionar  los
       cortafuegos IP y las reglas de contabilidad del  núcleo  Linux.   Estas
       reglas  se pueden dividir en cuatro categorías diferentes: contabilidad
       de paquetes IP, cortafuegos de entrada IP, cortafuegos de salida  IP  y
       cortafuegos  de reenvío.  Para cada una de estas categorías se mantiene
       una lista separada de reglas.

       Las prestaciones de cortafuegos y  de  contabilidad  del  núcleo  Linux
       proporcionan  mecanismos  para contabilizar paquetes IP, para construir
       cortafuegos basados en el filtrado a nivel de paquetes, para  construir
       cortafuegos   que   usen   servidores   proxy  transparentes  (mediante
       redirección de paquetes a conectores  (sockets)  locales),  y  para  el
       reenvio de paquetes enmascarados (con IP-masquerade). La administración
       de estas funciones se mantiene en  el  núcleo  mediante  cuatro  listas
       separadas, cada una de las cuales contiene reglas: ninguna, una, dos...
       Cada regla contiene información específica sobre las direcciones origen
       y   destino,   protocolos,   número   de   puerto   y   algunas   otras
       características.  Un  paquete  se  ajusta  a  una  regla   cuando   las
       características  de  una  regla  se  ajustan  a  la dirección IP de ese
       paquete.  Estas  reglas  se  pueden  dividir   en   cuatro   categorías
       diferentes:

       Reglas de contabilidad del cortafuegos IP:
              Se  usan para todos los paquetes IP que son enviados o recibidos
              por el interfaz local de red. Cada paquete  se  compara  con  la
              lista  de  reglas,  y en caso de coincidencia se incrementan los
              contadores de paquetes y bytes asociados con las reglas.

       Reglas de entrada del cortafuegos IP:
              Estas reglas se aplican a los paquetes IP entrantes.  Todos  los
              paquetes  que  llegan por algún interfaz local se comprueban con
              las  reglas  de  entrada.  La  primera  regla  que  se  verifica
              determina  la política que se usa. Cuando no se ajusta a ninguna
              regla se utiliza la política por defecto.

       Reglas de salida del cortafuegos IP:
              Estas reglas definen los permisos para enviar paquetes IP. Todos
              los  paquetes que están listos para ser enviados por un interfaz
              local son comprobados con las reglas de salida. La primera regla
              que  se cumple determina el comportamiento que se aplica. Cuando
              no se ajusta a ninguna regla se utiliza la política por defecto.

       Reglas de reenvío del cortafuegos IP:
              Estas reglas definen los permisos para el  reenvío  de  paquetes
              IP.   Todos los paquetes enviados por un host remoto con destino
              a otro host remoto se comprueban con las reglas de  reenvío.  La
              primera  regla que verifica un paquete determina la política que
              se utilizará.  Cuando no se verifica ninguna regla, se aplica el
              comportamiento por defecto.

       Para  cada  una  de  estas categorías se mantiene una lista separada de
       reglas. Véase ipfw(4) para más detalles.

OPCIONES

       Las opciones reconocidas  por  ipfwadm  se  dividen  en  varios  grupos
       diferentes.

   CATEGORÍAS
       Las siguientes opciones se usan para seleccionar la categoría de reglas
       a las que se aplican los comandos:

       -A [direccin]
              Reglas de contabilidad IP. Opcionalmente se puede especificar un
              sentido  (in,  out,  both),  indicando  si  sólo se deben contar
              paquetes de entrada, de salida o de ambos tipos. La  opción  por
              defecto es both.

       -I     Reglas de entrada al cortafuegos IP.

       -O     Reglas de salida del cortafuegos IP.

       -F     Reglas de reenvío del cortafuegos IP.

       -M     Administración  de  "IP  masquerading".  Esta  categoría sólo se
              puede usar en combinación con el comando -l (list) o el  comando
              -s (fijar tiempo de expiración).

       Se tiene que especificar exactamente una de estas opciones.

   COMANDOS
       Las  siguientes  opciones  especifican  la  acción concreta que hay que
       realizar. Sólo se puede  especificar  una  de  ellas  en  la  línea  de
       comandos, salvo que se indique otra cosa en la descripción.

       -a [comportamiento]
              Añade  una  o más reglas al final de la lista seleccionada. Para
              la contabilidad no se puede especificar  ningún  comportamiento.
              Para   el  cortafuegos  es  necesario  especificar  una  de  las
              siguientes  políticas:  accept,  masquerade  (válida  sólo  para
              reglas de reenvío), deny o reject.

              Cuando  los nombre de origen y/o destino se resuelven con más de
              una  dirección,  se  añadirá  una  regla   para   cada   posible
              combinación.

       -i [comportamiento]
              Inserta  una o más reglas al principio de la lista seleccionada.
              Vea la descripción del comando -a para más detalles.

       -d [comportamiento]
              Borra una o más entradas al comienzo de la  lista  seleccionada.
              La  semántica  es  idéntica a la de los comandos anteriores. Los
              parámetros especificados deben  coincidir  exactamente  con  los
              dados  en los comandos añadir o insertar. En otro caso, si no se
              ajusta a nada, no se borrará ninguna regla.  Sólo  se  borra  la
              primera coincidencia.

       -l     Lista todas las reglas de la lista seleccionada. Este comando se
              puede combinar con el comando -z (reiniciar el contador a cero).
              En  ese  caso los contadores de bytes y de paquetes se reinician
              inmediatamente tras mostrar sus valores actuales. Salvo  que  la
              opción  -x  esté  presente,  los  contadores de paquetes (si son
              listados) se mostrarán como númeroK o númeroM donde 1K significa
              1000  y  1M  significa  1000K  (redondeado  al  valor entero más
              cercano). Vea  también  las  opciones  -e  y  -x  para  ver  más
              posibilidades.

       -z     Reinicia  los  contadores  de  bytes  y de paquetes de todas las
              reglas de la lista seleccionada. Este comando se puede  combinar
              con el comando -l (list).

       -f     Vacía la lista de reglas seleccionada.

       -p poltica
              Cambia  la  política  por  defecto  para el tipo seleccionado de
              cortafuegos. La política dada  tiene  que  ser  una  de  accept,
              masquerade  (sólo válida para reglas de reenvío), deny o reject.
              La política por  defecto  se  utiliza  cuando  no  se  encuentra
              ninguna  regla que se ajuste. Esta operación sólo es válida para
              cortafuegos IP, esto es, en combinación con las opciones -I,  -O
              o -F.

       -c     Comprueba   si  este  paquete  IP  sería  aceptado,  denegado  o
              rechazado  por  el  tipo  de  cortafuegos   seleccionado.   Esta
              operación  sólo es válida para cortafuegos IP en combinación con
              las opciones -I, -O
               o -F.

       -s tcp tcpfin udp
              Cambia  los  valores  de  caducidad  (timeout)  usados   en   el
              enmascaramiento.  Este comando siempre toma tres parámetros, que
              representan valores de caducidad  (en  segundos)  para  sesiones
              TCP,  sesiones  TCP  tras recibir un paquete FIN y paquetes UDP,
              respectivamente.  Un valor de caducidad 0 significa que el valor
              actual de caducidad, de la entrada correspondiente, se preserva.
              Esta operación sólo está permitida en combinación con la  opción
              -M.

       -h     Ayuda. Da una descripción (actualmente breve) de la sintaxis del
              comando.

   PARÁMETROS
       Los siguientes  parámetros  se  pueden  usar  en  combinación  con  los
       comandos -a, -i, -d o -c:

       -P protocolo
              El  protocolo  de  la  regla  o  del  paquete  a  comprobar.  El
              protocolo especificado puede ser  tcp,  udp,  icpm  o  all.   El
              protocolo  all  se adaptará a todos los protocolos y se toma por
              defecto cuando se omite esta opción.  all no se  puede  usar  en
              combinación con el comando -c.

       -S direccin[/mscara] [puerto...]
              Especificación  de  origen (obligatorio). La dirección puede ser
              bien un nombre de host, un nombre de  red  o  una  dirección  IP
              concreta.  La  máscara  puede ser una máscara de red o un número
              que indique el número de bits con valor 1 a la izquierda  de  la
              máscara   de   red.   Es  decir,  son  equivalentes  la  máscara
              255.255.255.0 y el número 24.  El origen puede incluir una o más
              especificaciones  de  puertos  o  tipos  ICMP. Cada uno de ellos
              puede ser un nombre de servicio, número de puerto o un tipo ICPM
              (numérico).  En el resto de este párrafo, puerto significa o una
              especificación  de  puerto  o  un  tipo  ICPM.  Una   de   estas
              especificaciones  puede  ser un rango de puertos, con el formato
              puerto:puerto. Además, el número total de puertos  especificados
              con  las  direcciones  origen  y  destino  no debe ser mayor que
              IP_FW_MAX_PORTS (actualmente  10).  Aquí  un  rango  de  puertos
              cuenta como dos puertos.

              Los  paquetes  que no son el primer fragmento de un paquete TCP,
              UDP o ICMP  son  siempre  aceptados  por  el  cortafuegos.   Por
              motivos de contabilidad, estos segundos y posteriores fragmentos
              se tratan de forma  especial  para  poderlos  contar  de  alguna
              forma. El puerto número 0xFFFF (65535) se usa para ajustarse con
              el segundo y siguientes fragmentos de paquetes TCP o UDP.  Estos
              paquetes se tratarán para propósitos de contabilidad como si sus
              puertos  fueran  0xFFFF.  El  número  0xFF  (255)  se  usa  para
              ajustarse   con   el   segundo   y  siguientes  fragmentos  para
              contabilidad de paquetes ICPM. Estos paquetes se tratarán,  para
              propósitos  de contabilidad, como si sus tipos ICPM fueran 0xFF.
              Observe  que  los  comando  y  protocolo  especificados   pueden
              implicar  restricciones  sobre el puerto que sea especificado en
              combinación con los protocolos tcp, udp o icpm.  También, cuando
              se especifica el comando -c, se requiere exactamente un puerto.

       -D direccin[/mscara] [puerto...]
              Especificaciones de destino (obligatorio). Vea la descripción de
              la opción -S (origen)  para  una  descripción  detallada  de  la
              sintaxis.  Observe  que  los  tipos  ICMP no están permitidos en
              combinación con la opción -D; los  tipos  ICMP  sólo  se  pueden
              especificar tras la bandera -S.

       -V direccin
              La  dirección opcional de un interfaz a través del cual se envía
              o recibe un paquete.  direccin puede ser un nombre  de  host  o
              una  dirección  IP. Cuando se especifica un nombre de host, éste
              se debe resolver a exactamente una dirección IP. Cuando se omite
              esta  opción,  se  supone  la  dirección  0.0.0.0,  que tiene un
              significado especial y se  ajustará  a  cualquier  dirección  de
              interfaz. Para el comando -c, esta opción es obligatoria.

       -W nombre
              Nombre  opcional  de  un  interfaz a través del cual se envían o
              reciben paquetes. Cuando se  omite,  se  supone  una  cadena  de
              caracteres  vacía,  que  tiene  un  significado  especial  y  se
              ajustará a cualquier nombre de interfaz.

   OTRAS OPCIONES
       Se pueden especificar las siguientes opciones adicionales:

       -b     Modo Bidireccional.  La regla se ajustará  con  paquetes  IP  en
              ambas direcciones. Esta opción sólo es válida en combinación con
              los comandos -a, -i o -d.

       -e     Salida extendida.   Esta  opción  hace  al  comando  -l  mostrar
              también la dirección del interfaz y las opciones de la regla (si
              existe). Para las listas del cortafuegos, también  se  mostrarán
              los contadores de bytes y paquetes (por defecto sólo se muestran
              los contadores para las reglas de contabilidad)  y  se  muestran
              las  máscaras  TOS. Cuando se usa en combinación con -M, también
              mostrará la información relacionada con la secuencia de  números
              delta.  Esta opción sólo es válida en combinación con el comando
              -l.

       -k     Ajustar sólo a paquetes TCP con el bit ACK activo.  Esta  opción
              sólo es válida en combinación con los comandos -a, -i o -d, y el
              protocolo TCP.

       -m     Enmascaramiento de paquetes aceptados para reenvío.   Cuando  se
              utiliza esta opción, los paquetes aceptados por esta regla serán
              enmascarados como si fueran originales del host local.   Además,
              los  paquetes  de respuesta serán reconocidos como tales y serán
              desenmascarados  automáticamente  pasando  el   cortafuegos   de
              reenvío.   Esta opción es sólo válida para las reglas de reenvío
              con comportamiento accept (o cuando se haya especificado  accept
              como el comportamiento por defecto), y sólo se puede usar cuando
              se compila el núcleo con la opción CONFIG_IP_MASQUERADE.

       -n     Salida numérica.  Las direcciones IP y números se imprimirán  en
              formato  numérico. Por defecto, el programa intentará mostrarlos
              como nombres de host, nombres de red  o  servicios  (cuando  sea
              aplicable).

       -o     Activa  el registro del núcleo de paquetes ajustados.  Cuando se
              pone esta opción para una regla, el núcleo  de  Linux  imprimirá
              cierta información básica de todos los paquetes que se ajusten a
              ella mediante printk().  Esta opción sólo será  efectiva  cuando
              se  compile  el núcleo con la opción CONFIG_IP_FIREWALL_VERBOSE.
              Esta opción sólo es válida en combinación con los  comandos  -a,
              -i o -d.

       -r [puerto]
              Redirecciona  paquetes  a  un conector (socket) local. Cuanto se
              utiliza esta opción, los paquetes aceptados por la  regla  serán
              redireccionados   a   un   conector  local,  incluso  si  fueran
              redireccionados a un host remoto. Si el puerto redireccionado es
              0,  que  es el valor por defecto, se usará el puerto destino del
              paquete como el puerto  de  redirección.  Esta  opción  es  sólo
              válida   en   las   reglas   de   entrada  del  cortafuegos  con
              comportamiento accept y  sólo  puede  ser  utilizada  cuando  el
              núcleo    de    Linux    está    compilado    con    la   opción
              CONFIG_IP_TRANSPARENT_PROXY.

       -t andmask xormask
              Máscara utilizada para modificar el campo TOS en la cabecera IP.
              Cuando un paquete se acepta (con o sin masquerade) por una regla
              del cortafuegos, a su campo TOS primero se le hace  un  Y-lógico
              con  la  máscara andmask y al resultado se le aplica un O-lógico
              exclusivo  con  la  máscara  xormask.   La   máscara   se   debe
              especificar en valores de 8 bits hexadecimales. Esta opción sólo
              es válida en combinación con los comandos -a,  -i  o  -d,  y  no
              tendrá  efectos  cuando  se utilice en combinación con reglas de
              contabilidad  o  de  cortafuegos  para  rechazar  o  denegar  un
              paquete.

       -v     Salida  detallada.   Imprime información detallada de la regla o
              paquete añadido, borrado o comprobado.  Esta opción sólo  tendrá
              efecto con los comandos -a, -i, -d o -c.

       -x     Expande  números.   Muestra el valor exacto de los contadores de
              bytes y de paquetes, en lugar de sólo los números redondeados  a
              múltiplos  de  1K  o de 1M (múltiplo de 1000K). Esta opción sólo
              tendrá efecto cuando se muestren  los  contadores  de  cualquier
              forma (vea la opción -e).

       -y     Solo  ajusta  paquetes  TCP con el bit SYN activado y el bit ACK
              desactivado. Esta opción sólo es válida en combinación  con  los
              comandos -a, -i o -d, y el protocolo TCP.

FICHEROS

       /proc/net/ip_acct
       /proc/net/ip_input
       /proc/net/ip_output
       /proc/net/ip_forward
       /proc/net/ip_masquerade

VÉASE TAMBIÉN

       ipfw(4)

AUTOR

       Jos Vos <jos@xos.nl>
       X/OS Expert in Open Systems BV, Amsterdam, The Netherlands