Provided by:
manpages-es-extra_0.8a-17_all 
NOMBRE
ipfwadm - Administracion del cortafuegos y contabilidad IP
SINOPSIS
ipfwadm -A parametros [opciones]
ipfwadm -I parametros [opciones]
ipfwadm -O parametros [opciones]
ipfwadm -F parametros [opciones]
ipfwadm -M [-l | -s] [opciones]
DESCRIPCI'ON
Ipfwadm se utiliza para configurar, mantener e inspeccionar los
cortafuegos IP y las reglas de contabilidad del nucleo Linux. Estas
reglas se pueden dividir en cuatro categorias diferentes: contabilidad
de paquetes IP, cortafuegos de entrada IP, cortafuegos de salida IP y
cortafuegos de reenvio. Para cada una de estas categorias se mantiene
una lista separada de reglas.
Las prestaciones de cortafuegos y de contabilidad del nucleo Linux
proporcionan mecanismos para contabilizar paquetes IP, para construir
cortafuegos basados en el filtrado a nivel de paquetes, para construir
cortafuegos que usen servidores proxy transparentes (mediante
redireccion de paquetes a conectores (sockets) locales), y para el
reenvio de paquetes enmascarados (con IP-masquerade). La administracion
de estas funciones se mantiene en el nucleo mediante cuatro listas
separadas, cada una de las cuales contiene reglas: ninguna, una, dos...
Cada regla contiene informacion especifica sobre las direcciones origen
y destino, protocolos, numero de puerto y algunas otras
caracteristicas. Un paquete se ajusta a una regla cuando las
caracteristicas de una regla se ajustan a la direccion IP de ese
paquete. Estas reglas se pueden dividir en cuatro categorias
diferentes:
Reglas de contabilidad del cortafuegos IP:
Se usan para todos los paquetes IP que son enviados o recibidos
por el interfaz local de red. Cada paquete se compara con la
lista de reglas, y en caso de coincidencia se incrementan los
contadores de paquetes y bytes asociados con las reglas.
Reglas de entrada del cortafuegos IP:
Estas reglas se aplican a los paquetes IP entrantes. Todos los
paquetes que llegan por algun interfaz local se comprueban con
las reglas de entrada. La primera regla que se verifica
determina la politica que se usa. Cuando no se ajusta a ninguna
regla se utiliza la politica por defecto.
Reglas de salida del cortafuegos IP:
Estas reglas definen los permisos para enviar paquetes IP. Todos
los paquetes que estan listos para ser enviados por un interfaz
local son comprobados con las reglas de salida. La primera regla
que se cumple determina el comportamiento que se aplica. Cuando
no se ajusta a ninguna regla se utiliza la politica por defecto.
Reglas de reenv'io del cortafuegos IP:
Estas reglas definen los permisos para el reenvio de paquetes
IP. Todos los paquetes enviados por un host remoto con destino
a otro host remoto se comprueban con las reglas de reenvio. La
primera regla que verifica un paquete determina la politica que
se utilizara. Cuando no se verifica ninguna regla, se aplica el
comportamiento por defecto.
Para cada una de estas categorias se mantiene una lista separada de
reglas. Vease ipfw(4) para mas detalles.
OPCIONES
Las opciones reconocidas por ipfwadm se dividen en varios grupos
diferentes.
CATEGOR'IAS
Las siguientes opciones se usan para seleccionar la categoria de reglas
a las que se aplican los comandos:
-A [direcci'on]
Reglas de contabilidad IP. Opcionalmente se puede especificar un
sentido (in, out, both), indicando si solo se deben contar
paquetes de entrada, de salida o de ambos tipos. La opcion por
defecto es both.
-I Reglas de entrada al cortafuegos IP.
-O Reglas de salida del cortafuegos IP.
-F Reglas de reenvio del cortafuegos IP.
-M Administracion de "IP masquerading". Esta categoria solo se
puede usar en combinacion con el comando -l (list) o el comando
-s (fijar tiempo de expiracion).
Se tiene que especificar exactamente una de estas opciones.
COMANDOS
Las siguientes opciones especifican la accion concreta que hay que
realizar. Solo se puede especificar una de ellas en la linea de
comandos, salvo que se indique otra cosa en la descripcion.
-a [comportamiento]
Anade una o mas reglas al final de la lista seleccionada. Para
la contabilidad no se puede especificar ningun comportamiento.
Para el cortafuegos es necesario especificar una de las
siguientes politicas: accept, masquerade (valida solo para
reglas de reenvio), deny o reject.
Cuando los nombre de origen y/o destino se resuelven con mas de
una direccion, se anadira una regla para cada posible
combinacion.
-i [comportamiento]
Inserta una o mas reglas al principio de la lista seleccionada.
Vea la descripcion del comando -a para mas detalles.
-d [comportamiento]
Borra una o mas entradas al comienzo de la lista seleccionada.
La semantica es identica a la de los comandos anteriores. Los
parametros especificados deben coincidir exactamente con los
dados en los comandos anadir o insertar. En otro caso, si no se
ajusta a nada, no se borrara ninguna regla. Solo se borra la
primera coincidencia.
-l Lista todas las reglas de la lista seleccionada. Este comando se
puede combinar con el comando -z (reiniciar el contador a cero).
En ese caso los contadores de bytes y de paquetes se reinician
inmediatamente tras mostrar sus valores actuales. Salvo que la
opcion -x este presente, los contadores de paquetes (si son
listados) se mostraran como numeroK o numeroM donde 1K significa
1000 y 1M significa 1000K (redondeado al valor entero mas
cercano). Vea tambien las opciones -e y -x para ver mas
posibilidades.
-z Reinicia los contadores de bytes y de paquetes de todas las
reglas de la lista seleccionada. Este comando se puede combinar
con el comando -l (list).
-f Vacia la lista de reglas seleccionada.
-p pol'itica
Cambia la politica por defecto para el tipo seleccionado de
cortafuegos. La politica dada tiene que ser una de accept,
masquerade (solo valida para reglas de reenvio), deny o reject.
La politica por defecto se utiliza cuando no se encuentra
ninguna regla que se ajuste. Esta operacion solo es valida para
cortafuegos IP, esto es, en combinacion con las opciones -I, -O
o -F.
-c Comprueba si este paquete IP seria aceptado, denegado o
rechazado por el tipo de cortafuegos seleccionado. Esta
operacion solo es valida para cortafuegos IP en combinacion con
las opciones -I, -O
o -F.
-s tcp tcpfin udp
Cambia los valores de caducidad (timeout) usados en el
enmascaramiento. Este comando siempre toma tres parametros, que
representan valores de caducidad (en segundos) para sesiones
TCP, sesiones TCP tras recibir un paquete FIN y paquetes UDP,
respectivamente. Un valor de caducidad 0 significa que el valor
actual de caducidad, de la entrada correspondiente, se preserva.
Esta operacion solo esta permitida en combinacion con la opcion
-M.
-h Ayuda. Da una descripcion (actualmente breve) de la sintaxis del
comando.
PAR'AMETROS
Los siguientes parametros se pueden usar en combinacion con los
comandos -a, -i, -d o -c:
-P protocolo
El protocolo de la regla o del paquete a comprobar. El
protocolo especificado puede ser tcp, udp, icpm o all. El
protocolo all se adaptara a todos los protocolos y se toma por
defecto cuando se omite esta opcion. all no se puede usar en
combinacion con el comando -c.
-S direcci'on[/m'ascara] [puerto...]
Especificacion de origen (obligatorio). La direccion puede ser
bien un nombre de host, un nombre de red o una direccion IP
concreta. La mascara puede ser una mascara de red o un numero
que indique el numero de bits con valor 1 a la izquierda de la
mascara de red. Es decir, son equivalentes la mascara
255.255.255.0 y el numero 24. El origen puede incluir una o mas
especificaciones de puertos o tipos ICMP. Cada uno de ellos
puede ser un nombre de servicio, numero de puerto o un tipo ICPM
(numerico). En el resto de este parrafo, puerto significa o una
especificacion de puerto o un tipo ICPM. Una de estas
especificaciones puede ser un rango de puertos, con el formato
puerto:puerto. Ademas, el numero total de puertos especificados
con las direcciones origen y destino no debe ser mayor que
IP_FW_MAX_PORTS (actualmente 10). Aqui un rango de puertos
cuenta como dos puertos.
Los paquetes que no son el primer fragmento de un paquete TCP,
UDP o ICMP son siempre aceptados por el cortafuegos. Por
motivos de contabilidad, estos segundos y posteriores fragmentos
se tratan de forma especial para poderlos contar de alguna
forma. El puerto numero 0xFFFF (65535) se usa para ajustarse con
el segundo y siguientes fragmentos de paquetes TCP o UDP. Estos
paquetes se trataran para propositos de contabilidad como si sus
puertos fueran 0xFFFF. El numero 0xFF (255) se usa para
ajustarse con el segundo y siguientes fragmentos para
contabilidad de paquetes ICPM. Estos paquetes se trataran, para
propositos de contabilidad, como si sus tipos ICPM fueran 0xFF.
Observe que los comando y protocolo especificados pueden
implicar restricciones sobre el puerto que sea especificado en
combinacion con los protocolos tcp, udp o icpm. Tambien, cuando
se especifica el comando -c, se requiere exactamente un puerto.
-D direcci'on[/m'ascara] [puerto...]
Especificaciones de destino (obligatorio). Vea la descripcion de
la opcion -S (origen) para una descripcion detallada de la
sintaxis. Observe que los tipos ICMP no estan permitidos en
combinacion con la opcion -D; los tipos ICMP solo se pueden
especificar tras la bandera -S.
-V direcci'on
La direccion opcional de un interfaz a traves del cual se envia
o recibe un paquete. direcci'on puede ser un nombre de host o
una direccion IP. Cuando se especifica un nombre de host, este
se debe resolver a exactamente una direccion IP. Cuando se omite
esta opcion, se supone la direccion 0.0.0.0, que tiene un
significado especial y se ajustara a cualquier direccion de
interfaz. Para el comando -c, esta opcion es obligatoria.
-W nombre
Nombre opcional de un interfaz a traves del cual se envian o
reciben paquetes. Cuando se omite, se supone una cadena de
caracteres vacia, que tiene un significado especial y se
ajustara a cualquier nombre de interfaz.
OTRAS OPCIONES
Se pueden especificar las siguientes opciones adicionales:
-b Modo Bidireccional. La regla se ajustara con paquetes IP en
ambas direcciones. Esta opcion solo es valida en combinacion con
los comandos -a, -i o -d.
-e Salida extendida. Esta opcion hace al comando -l mostrar
tambien la direccion del interfaz y las opciones de la regla (si
existe). Para las listas del cortafuegos, tambien se mostraran
los contadores de bytes y paquetes (por defecto solo se muestran
los contadores para las reglas de contabilidad) y se muestran
las mascaras TOS. Cuando se usa en combinacion con -M, tambien
mostrara la informacion relacionada con la secuencia de numeros
delta. Esta opcion solo es valida en combinacion con el comando
-l.
-k Ajustar solo a paquetes TCP con el bit ACK activo. Esta opcion
solo es valida en combinacion con los comandos -a, -i o -d, y el
protocolo TCP.
-m Enmascaramiento de paquetes aceptados para reenvio. Cuando se
utiliza esta opcion, los paquetes aceptados por esta regla seran
enmascarados como si fueran originales del host local. Ademas,
los paquetes de respuesta seran reconocidos como tales y seran
desenmascarados automaticamente pasando el cortafuegos de
reenvio. Esta opcion es solo valida para las reglas de reenvio
con comportamiento accept (o cuando se haya especificado accept
como el comportamiento por defecto), y solo se puede usar cuando
se compila el nucleo con la opcion CONFIG_IP_MASQUERADE.
-n Salida numerica. Las direcciones IP y numeros se imprimiran en
formato numerico. Por defecto, el programa intentara mostrarlos
como nombres de host, nombres de red o servicios (cuando sea
aplicable).
-o Activa el registro del nucleo de paquetes ajustados. Cuando se
pone esta opcion para una regla, el nucleo de Linux imprimira
cierta informacion basica de todos los paquetes que se ajusten a
ella mediante printk(). Esta opcion solo sera efectiva cuando
se compile el nucleo con la opcion CONFIG_IP_FIREWALL_VERBOSE.
Esta opcion solo es valida en combinacion con los comandos -a,
-i o -d.
-r [puerto]
Redirecciona paquetes a un conector (socket) local. Cuanto se
utiliza esta opcion, los paquetes aceptados por la regla seran
redireccionados a un conector local, incluso si fueran
redireccionados a un host remoto. Si el puerto redireccionado es
0, que es el valor por defecto, se usara el puerto destino del
paquete como el puerto de redireccion. Esta opcion es solo
valida en las reglas de entrada del cortafuegos con
comportamiento accept y solo puede ser utilizada cuando el
nucleo de Linux esta compilado con la opcion
CONFIG_IP_TRANSPARENT_PROXY.
-t andmask xormask
Mascara utilizada para modificar el campo TOS en la cabecera IP.
Cuando un paquete se acepta (con o sin masquerade) por una regla
del cortafuegos, a su campo TOS primero se le hace un Y-logico
con la mascara andmask y al resultado se le aplica un O-logico
exclusivo con la mascara xormask. La mascara se debe
especificar en valores de 8 bits hexadecimales. Esta opcion solo
es valida en combinacion con los comandos -a, -i o -d, y no
tendra efectos cuando se utilice en combinacion con reglas de
contabilidad o de cortafuegos para rechazar o denegar un
paquete.
-v Salida detallada. Imprime informacion detallada de la regla o
paquete anadido, borrado o comprobado. Esta opcion solo tendra
efecto con los comandos -a, -i, -d o -c.
-x Expande numeros. Muestra el valor exacto de los contadores de
bytes y de paquetes, en lugar de solo los numeros redondeados a
multiplos de 1K o de 1M (multiplo de 1000K). Esta opcion solo
tendra efecto cuando se muestren los contadores de cualquier
forma (vea la opcion -e).
-y Solo ajusta paquetes TCP con el bit SYN activado y el bit ACK
desactivado. Esta opcion solo es valida en combinacion con los
comandos -a, -i o -d, y el protocolo TCP.
FICHEROS
/proc/net/ip_acct
/proc/net/ip_input
/proc/net/ip_output
/proc/net/ip_forward
/proc/net/ip_masquerade
V'EASE TAMBI'EN
ipfw(4)
AUTOR
Jos Vos <jos@xos.nl>
X/OS Expert in Open Systems BV, Amsterdam, The Netherlands