Provided by: manpages-pl_20060617-4_all bug

NAZWA

       ipchains - administracja zaporą ogniową IP (IP firewall)

SKŁADNIA

       ipchains -[ADC] łańcuch specyfikacja-reguły [opcje]
       ipchains -[RI] łańcuch num-reg specyfikacja-reguły [opcje]
       ipchains -D łańcuch num-reg [opcje]
       ipchains -[LFZNX] [łańcuch] [opcje]
       ipchains -P łańcuch cel [opcje]
       ipchains -M [ -L | -S ] [opcje]

OPIS

       Ipchains jest używany do ustawiania, podtrzymywania i przeglądania reguł zapory ogniowej w
       jądrze Linuksa. Te reguły możemy podzielić na 4 różne  kategorie:  łańcuch  wejściowy  (IP
       input  chain),  łańcuch  wyjściowy  (IP  output  chain), łańcuch przekazowy (IP forwarding
       chain) i łańcuchy zdefiniowane przez użytkownika.

       Dla każdej z tych kategorii utrzymywana jest oddzielna tabela reguł, z których każda  może
       odnosić się do jakiegoś łańcucha reguł zdefiniowanego przez użytkownika.

       Zobacz ipfw(4), by dowiedzieć się więcej szczegółów.

CELE

       Reguła  ścianki  ogniowej  określa  kryteria  dotyczące  pakietu i celu.  Jeśli pakiet nie
       pasuje do danej regułki, to sprawdzana jest następna w danym łańcuchu; jeśli pakiet pasuje
       wtedy  następna  regułka  jest określana przez wartość celu, która może być nazwą łańcucha
       zdefiniowanego przez użytkownika albo też jedną  ze  specjalnych  wartości  ACCEPT,  DENY,
       REJECT, MASQ, REDIRECT lub RETURN.
       ACCEPT  oznacza,  że  należy  przepuścić pakiet.  DENY oznacza, że należy pakiet odrzucić.
       REJECT działa podobnie jak odrzucenie,  ale  jest  bardziej  "uprzejmy"  i  łatwiejszy  do
       wyśledzenia,   ponieważ   dodatkowo  wysyłany  jest  do  nadawcy  zwrotny  komunikat  ICMP
       informujący go, że pakiet nie został przyjęty.  (Zauważ, że DENY i REJECT są tożsame jeśli
       mamy do czynienia z pakietami ICMP).
       MASQ  jest  właściwy  tylko dla łańcuchów przekazowych (forwarding) i zdefiniowanych przez
       użytkownika. Może być użyty tylko kiedy  jądro  jest  skompilowane  z  włączoną  definicją
       CONFIG_IP_MASQUERADE.   Przy  użyciu  tego rodzaju celu wychodzące (lub przechodzące przez
       maszynę, np. pełniącą funkcję bramki) pakiety będą maskowane, tzn. w  ten  sposób  zostaną
       podmienione   ich   adresy  nadawcy  jakby  pochodziły  one  z  maszyny  lokalnej.   Potem
       przychodzące, zwrotne pakiety stanowiące  odpowiedzi  na  podmienione  będą  automatycznie
       rozpoznawane i "demaskowane" z pominięciem łańcucha przekazowego.
       REDIRECT  jest właściwy tylko dla łańcuchów wejściowych i zdefiniowanych przez użytkownika
       i  może  być  użyty  tylko  kiedy   jądro   jest   skompilowane   z   włączoną   definicją
       CONFIG_IP_TRANSPARENT_PROXY.   W  związku  z tym pakiety będą przekierowywane do lokalnego
       gniazda, nawet jeśli były one skierowane do odległej  maszyny.   Jeśli  podany  jest  port
       przekierowania 0, który jest domyślną wartością to port docelowy pakietu będzie użyty jako
       port przekierowawczy.  Kiedy ten cel jest użyty to podany może być  opcjonalnie  dodatkowy
       argument (numer portu właśnie).
       Jeśli  osiągnięty  zostaje  koniec  zdefiniowanego przez użytkownika łańcucha albo wystąpi
       regułka z  celem  o  nazwie  RETURN  to  sprawdzana  jest  następna  reguła  w  poprzednim
       (wywołującym)  łańcuchu.   Jeśli  osiągnięty zostaje koniec wbudowanego łańcucha, albo też
       wystąpi reguła z celem o nazwie RETURN to dalszy los pakietu zależy  od  celu  określonego
       przez politykę łańcucha.

OPCJE

       Opcje, które są rozpoznawane przez ipchains, możemy podzielić na kilka różnych grup.

   KOMENDY
       Te  opcje określają specyficzne działanie, które ma być dokonane; tylko jedna z tych opcji
       może być podana w linii komend, z wyjątkiem opcji opisanych poniżej. Dla  wszystkich  tzw.
       długich  opcji  i długich wersji komendy musisz wprowadzić jedynie tyle pierwszych znaków,
       żeby ipchains potrafiło odróżnić nazwę podawanej opcji od innych.

       -A, --append
              Dołącza jedną lub więcej reguł do końca  podanego  łańcucha.   Kiedy  nazwy  źródeł
              i/lub  celów  odnoszą  się do więcej niż jednego adresu to reguła będzie dodana dla
              każdej możliwej kombinacji tego adresu.

       -D, --delete
              Usuwa jedną lub więcej reguł z podanego łańcucha. Są tu dwie  wersje  tej  komendy:
              reguła  może  być  określona  za  pomocą jej numeru w łańcuchu (zaczynając od 1 dla
              pierwszej reguły) lub za pomocą podanej reguły, do której usuwana pasuje.

       -R, --replace
              Zamienia regułę w wybranym łańcuchu. Jeśli nazwy źródła i/lub przeznaczenia odnoszą
              się  do  wielu  różnych  adresów  to  komenda  zawiedzie.  Reguły  są  ponumerowane
              poczynając od 1.

       -I, --insert
              Wstawia jedną lub więcej reguł do określonego  łańcucha.  Regułę  wskazuje  się  za
              pomocą  jej  numeru.  Jeśli  więc  numerem  reguły  jest  1 to reguła lub reguły są
              wstawiane na początek łańcucha.

       -L, --list
              Wypisuje wszystkie reguły w podanym łańcuchu. Jeżeli  nie  wyszczególniono  żadnego
              łańcucha, to pokazywane są wszystkie. Jest poprawne podanie opcji -Z (zero), by nie
              istniała konieczność/możliwość podawania  łańcucha.   Dokładne  wyjście  zależy  od
              innych wprowadzonych argumentów.

       -F, --flush
              Opróżnia podany łańcuch. Jest to odpowiednik usunięcia wszystkich reguł po kolei.

       -Z, --zero
              Zeruje  liczniki  pakietów  i bajtów we wszystkich regułkach. Jest poprawne podanie
              opcji  -L,  --list  (list),  aby  ujrzeć  zawartości  liczników   tuż   przed   ich
              oczyszczeniem;  jeśli  jest  to  wykonane,  to  nie może być podany żaden konkretny
              łańcuch.  (będą one wszystkie wyświetlone i oczyszczone).

       -N, --new-chain
              Tworzy nowy, zdefiniowany przez użytkownika łańcuch pod podaną nazwą.  Musi to  być
              nazwa unikatowa, nie przypisana do żadnego istniejącego łańcucha.

       -X, --delete-chain
              Usuwa   podany  łańcuch  zdefiniowany  przez  użytkownika.  Nie  może  być  żadnych
              odnośników do łańcucha w innych  regułkach  (jeśli  są  to  trzeba  je  usunąć  lub
              zastąpić  odpowiednimi  regułkami  zanim  łańcuch  będzie  można usunąć). Jeśli nie
              podany jest żaden argument to  potraktowane  zostanie  to  jako  żądanie  usunięcia
              wszystkich niewbudowanych łańcuchów.

       -P, --policy
              Ustawia  politykę łańcucha podanego celu. Obejrzyj sekcję CELE, żeby poznać możliwe
              cele. Tylko łańcuchy niedefiniowane przez  użytkownika  mogą  mieć  tzw.  polityki,
              jednakże  ani  łańcuchy  wbudowane, ani łańcuchy zdefiniowane przez użytkownika nie
              mogą być celami polityki.

       -M, --masquerading
              Opcja ta umożliwia przeglądanie połączeń obecnie maskowanych (w połączeniu z  opcją
              -L) lub ustawianie parametrów maskujących jądra (w połączeniu z opcją -S).

       -S, --set tcp tcpfin udp
              Zmienia  wartość  czasu  oczekiwania  używaną przy maskowaniu.  Polecenie to wymaga
              zawsze  3  parametrów,  reprezentujących  wartości   czasów   przeterminowania   (w
              sekundach)  dla  sesji  TCP,  sesji  TCP  po  odebraniu  pakietu FIN i tak samo dla
              pakietów  UDP.   Wartość  czasu  ustawiona  na  0  oznacza,  że   powinien   zostać
              niezmieniony  poprzednio  ustawiony  parametr.   Opcja ta jest dopuszczalna tylko w
              kombinacji z flagą -M.

       -C, --check
              Sprawdza jak podany pakiet byłby obsłużony przez podany łańcuch. Jest to  niezwykle
              użyteczne,  gdy  chodzi  o testy, ponieważ wykonywane są te same działania, których
              normalnie dokonuje jądro by sprawdzić "prawdziwy" pakiet.  Może być  to  użyteczne,
              gdy  trzeba  sprawdzić  łańcuchy  zdefiniowane  przez  użytkownika jak też łańcuchy
              wbudowane. Przy  konstruowaniu  kontrolnego  pakietu  używać  można  takich  samych
              argumentów  jak  przy określaniu reguł zapory ogniowej.  W szczególności wymaganymi
              flagami są -s  (adres  źródła),  -d  (adres  przeznaczenia),  -p  (protokół)  i  -i
              (interfejs).

       -h, --help
              Pomoc.  Podaje (na razie bardzo uproszczony) opis składni komendy. Użycie ze słowem
              icmp, spowoduje wypisanie listy nazw ICMP.

       -V, --version
              Wyświetla numer wersji ipchains.

   PARAMETRY
       Poniższe parametry  dopełniają  określanie  reguł  (używane  z  poleceniami  add,  delete,
       replace, append i check).

       -p, --protocol[!] protokół
              Protokół reguły lub pakietu do sprawdzenia.  Podany protokół może być jednym z tcp,
              udp, icmp, lub all, lub może być wartością liczbową, reprezentującą  jeden  z  tych
              lub  inny  protokół.  Dopuszczalna jest też nazwa protokołu z pliku /etc/protocols.
              Argument "!" przez protokołem  odwraca  próbę.  Wartość  0  odpowiada  nazwie  all.
              Protokół all odpowiada wszystkim protokołom i jest ustawieniem domyślnym, gdy opcja
              ta jest pominięta.  All nie może być użyte w połączeniu z komendą check.

       -s, --source, --src [!] adres[/maska] [!] [port[:port]]
              Określenie źródła.  Adres może być nazwą hosta, nazwą sieci lub też  samym  adresem
              IP.   Parametr maska może być zarówno maską sieci jak i samym numerem, określającym
              pierwszą liczbę z lewej  strony  maski  sieci.   Wobec  tego,  maska  24  odpowiada
              255.255.255.0.  Argument "!" przed podanym adresem odwraca znaczenie tego adresu.
              W  skład  źródła  może  wchodzić  określenie numeru portu lub typu komunikatu ICMP.
              Może to być zarówno nazwa usługi, numeru portu, typu ICMP w postaci liczby,  jak  i
              jedna z nazw typów ICMP, które można uzyskać wydając polecenie
               ipchains -h icmp
              Zauważ, że wiele z tych nazw ICMP odnosi się do obydwu - typu i kodu, to znaczy, że
              każdy kod ICMP po fladze -d jest niepoprawny. W dalszej części tego paragrafu, port
              oznacza  zarówno  określenie  numeru  portu,  jak  i typ komunikatu ICMP.  Może być
              również  podany  zakres  alternatywny,  zapisywany  w  formacie  port:port.   Jeśli
              pierwszy  port jest pominięty to przypisywana jest mu wartość "0"; jeśli drugi jest
              ominięty to przypisywana jest wartość "65535".
              Porty mogą być podane tylko w połączeniu z protokołami tcp, udp,  lub  icmp.   Znak
              "!"   przed  określeniem  portu  odwraca  znaczenie.   Gdy  podano  komendę  check,
              wymagającą tylko jednego portu, i jeżeli podano flagę -f  (fragmentuj)  to  nie  są
              dopuszczalne żadne porty.

       --source-port [!] [port[:port]]
              To pozwala na osobne podanie portu źródłowego lub zakresu portów.  Patrz opis flagi
              -s powyżej po więcej szczegółów. Flaga --sport jest zamiennikiem dla tej opcji.

       -d, --destination, --dst [!] adres[/maska] [!] [port[:port]]
              Określenie miejsca przeznaczenia.  Obejrzyj opis  flagi  -s  (źródło),  by  uzyskać
              szczegółowy  opis  składni. W przypadku ICMP, w którym nie istnieje pojęcie portów,
              "port docelowy" odnosi się do liczbowego kodu ICMP.

       --destination-port [!] [port[:port]]
              To  pozwala  na  osobne  podawanie  portów.   Obejrzyj  opis  flagi  -s  po  więcej
              szczegółów. Flaga --dport jest zamiennikiem dla tej opcji.

       --icmp-type [!] typename
              Pozwala  to  na  podanie  typu  ICMP  (użyj w połączeniu z opcją -h icmp, by ujrzeć
              poprawne nazwy typów ICMP). Jest często bardziej wygodne  dołączać  tę  opcję  przy
              podawaniu miejsc przeznaczenia.

       -j, --jump cel
              Określa  cel  reguły;  np. co zrobić jeśli pakiet spełnia podane w regule kryteria.
              Celem może być łańcuch zdefiniowany przez użytkownika (oczywiście nie ten, w którym
              jest  ta  reguła) lub jeden z celów specjalnych, które natychmiast decydują o losie
              pakietu. Jeśli pominiemy w regule tę opcję, to  spełnienie  przez  pakiet  podanych
              kryteriów  nie  będzie  miało  wpływu  na  jego  los,  ale liczniki tej reguły będą
              zwiększone.

       -i, --interface [!] nazwa
              Opcjonalna nazwa interfejsu, przez który pakiet jest  odbierany  bądź  przez  który
              pakiet będzie wysłany. Gdy tej opcji nie podamy to rozważany jest ciąg pusty, który
              ma specjalne znaczenie i  pasuje  do  każdej  nazwy  interfejsu.  Gdy  przed  nazwą
              interfejsu  użyjemy  argumentu "!" to odwraca to sens opcji. Jeśli nazwa interfejsu
              kończy  się  znakiem  "+"  to  spełnione  jest  to   dla   wszystkich   interfejsów
              rozpoczynających się podaną nazwą.

       [!]  -f, --fragment
              A  to  oznacza,  że  reguła  odnosi  się jedynie do drugiego i kolejnych fragmentów
              sfragmentowanych pakietów. Odkąd nie ma  możliwości  by  powiedzieć  o  źródle  lub
              portach  docelowych takiego pakietu (albo typu ICMP), pakiet ten nie będzie pasował
              do żadnych reguł określających go. Gdy argument "!"  poprzedza flagę "-f" sens jest
              odwrócony.

   INNE OPCJE
       Poniższe dodatkowe opcje mogą także być użyte:

       -b, --bidirectional
              Tryb dwukierunkowy.  Reguła będzie pasować do pakietów IP w dwie strony; da to taki
              sam efekt jak powtarzanie tej samej reguły dla źródła i przeznaczenia  zamienionych
              ze  sobą.   Proszę  zauważyć,  że  NIE  oznacza  to, że jeżeli pakiety TCP SYN będą
              dopuszczone na wyjściu, to reguła -b  puści  pakiety  nie-SYN  na  wejściu:  reguła
              odwrotna  jest  dokładnie  taka sama jak reguła, która została wprowadzona. Oznacza
              to, że zazwyczaj lepiej jest po prostu unikać flagi -b i otwarcie podawać wszystkie
              reguły.

       -v, --verbose
              Krzykliwe  wyjście.  Opcja  ta powoduje, że komenda list pokazuje adres interfejsu,
              opcje reguły (jeśli są) i maski TOS. Pakiet i liczniki bajtów są także  wypisywane,
              z  przedrostkiem  'K',  'M' lub 'G' odpowiednio dla 1000, 1,000,000 i 1,000,000,000
              multiplikatorów (ale spójrz jeszcze na flagę -x aby to zmienić). Gdy użyte jest  to
              w  kombinacji  z  -M,  to  podana  będzie  też  informacja odnosząca się do numerów
              sekwencji delta.  Przy dołączaniu, wstawianiu, usuwaniu i zastępowaniu, powoduje to
              wyświetlenie szczegółowej informacji dotyczącej reguły lub reguł.

       -n, --numeric
              Wyjście  numeryczne.   Adresy  IP  i  numery  portów  będą  wypisywane  w  formacie
              liczbowym.  Domyślnie, program będzie próbował wyświetlać  je  jako  nazwy  hostów,
              nazwy sieci lub usług (kiedy tylko dają się zastosować).

       -l, --log
              Włącza  w  jądrze  logowanie  pasujących pakietów.  Gdy ta opcja jest ustawiona dla
              reguły, jądro Linuksa wypisze informację dotyczącą wszystkich  pasujących  pakietów
              (często np. pasujących nagłówków IP) poprzez printk().

       -o, --output [maxsize]
              Kupiuje  pasujące pakiety do urządzenia w przestrzeni użytkownika.  Jest to obecnie
              czymś istotnym dla twórców, którzy chcą  bawić  się  w  efekty  zapory  ogniowej  w
              przestrzeni  użytkownika.  Opcjonalny  argument maxsize może być użyty by limitować
              maksymalną liczbę bajtów z pakietu, z którego zostaną  skopiowane.  Opcja  ta  jest
              poprawna    tylko   wtedy,   gdy   jądro   zostało   skompilowane   z   ustawieniem
              CONFIG_IP_FIREWALL_NETLINK.

       -m, --mark markvalue
              Zaznacza pasujące pakiety. Pakiety  mogą  być  oznaczone  32-bitową  wartością  bez
              znaku, który może (pewnego dnia) zmienić metodę ich wewnętrznego traktowania. Jeśli
              nie jesteś kernel hackerem nie powinieneś zawracać  sobie  tym  głowy.  Jeśli  ciąg
              markvalue  zaczyna  się  znakiem  +  albo  - to wtedy wartość będzie dodana lub też
              odjęta do/od obecnej wartości zaznaczenia pakietu (która zaczyna się zerem).

       -t, --TOS andmask xormask
              Maski używane przy modyfikowaniu pola TOS w  nagłówku  IP.  Gdy  pakiet  pasuje  do
              reguły,  na jego polu TOS i pierwszej masce jest najpierw obliczany iloczyn bitowy,
              a nastepnie różnica symetryczna z  drugą  maską.  Maski  powinny  być  podane  jako
              szesnastkowe  wartości ośmiobitowe. Jako że nie wolno zmieniać LSB pola (RFC 1349),
              wartości TOS, które spowodują taką zmianę są odrzucane tak samo, jak dowolne reguły
              ustawiające zawsze więcej niż jeden bit TOS. Reguły, które mogą ustawiać więcej niż
              jeden bit TOS dla niektórych pakietów powodują ostrzeżenia (wysyłane na standardową
              diagnostykę),   które   można  zignorować,  jeśli  wiadomo,  że  pakiety  o  takich
              wartościach TOS nigdy nie osiągną danej reguły.  Oczywiście  manipulacja  TOS  jest
              nieistotna, gdy celem danej reguły jest DENY lub REJECT.

       -x, --exact
              Rozszerzone  wartości  numeryczne.   Wyświetla dokładną wartość pakietu i liczników
              bajtów, zamiast tylko podawać zaokrągloną wartość  w  K  (wielokrotności  1000),  M
              (wielokrotności  1000K)  czy G (wielokrotności 1000M). Opcja jest odpowiednia tylko
              dla polecenia -L.

       [!] -y, --syn
              Dopasowuje tylko te pakiety TCP, które mają ustawiony  bit  SYN  oraz  wyczyszczone
              bity  ACK  i FIN. Takie pakiety są używane do inicjalizacji połączenia TCP, więc na
              przykład blokowanie takich  pakietów  docierających  do  interfejsu  spowoduje,  że
              przychodzące  połączenia TCP będą odrzucane, ale nie będzie miało żadnego wpływu na
              połączenia wychodzące.  Opcja ta ma znaczenia tylko  jeżeli  typem  protokołu  jest
              TCP.  Jeżeli  "-y" zostanie poprzedzone przez flagę "!", to sens tej opcji zostanie
              odwrócony.

       --line-numbers
              Wyświetlając  reguły,  wyświetla  -  na  początku  każdej  reguły  -  numery  linii
              odpowiadające pozycji reguły w łańcuchu.

       --no-warnings
              Wyłącza wypisywanie ostrzeżeń.

PLIKI

       /proc/net/ip_fwchains
       /proc/net/ip_masquerade

DIAGNOSTYKA

       Różne  komunikaty  o  błędach  są wypisywane na standardowe wyjście błędów.  Kodem wyjścia
       jest 0, jeżeli wszystko się powiedzie.  Błędy, które wydają się być  spowodowane  błędnymi
       lub źle użytymi argumentami linii poleceń, spowodują zwrócenie kodu wyjścia 2, a wszystkie
       inne błędy powodują zwrócenie kodu wyjścia 1.

USTERKI

       Jeżeli wejście programu jest terminalem, reguła jest dokładana bądź dołączana do  łańcucha
       przekazowego,  a  przekazywanie  IP  nie  wydaje  się  być  włączone  i  nie  podano opcji
       --no-warnings,  to  na  standardowe  wyjście  jest  wypisywane  ostrzeżenie  o   tym,   że
       przekazywanie nie będzie działać, dopóki nie zostanie poprawione. Jest to po to, aby pomóc
       użytkownikom nieświadomym tego wymogu (którego nie było w jądrach serii 2.0).

       Nie można skasować liczników pakietów i bajtów w  jednym  tylko  łańcuchu.   Wynika  to  z
       ograniczeń jądra.

       Wykrywanie  zapętleń  nie  jest  obsługiwane  w  ipchains; pakiety w pętli są upuszczane i
       notowane, lecz jest to jedyna rzecz jakiej się o tym dowiesz jeśli przypadkowo  wytworzysz
       jakąś pętlę.

       Opis  efektów zaznaczenia pakietu jest ogólnikowy, dopóki nie zostanie wydana dokumentacja
       opisująca nowe procedury obsługi pakietów jądra 2.1.

       Nie ma sposobu na to by wyzerować liczniki polityki (np. te we wbudowanych łańcuchach).

UWAGI

       To ipchains bardzo się różni od ipfwadm autorstwa Josa Vosa, jako że używa nowo powstałych
       tak zwanych drzew zapory ogniowej IP. Funkcjonalnie jest zastępnikiem ipfwadm i generalnie
       zawsze obsługuje tamte polecenia.  Wierzę, że nowe nazwy poleceń są  bardziej  racjonalne.
       Jest też jednakże parę zmian, których powinieneś być świadom.

       Fragmenty  są  obsługiwane  w  inny  sposób. Wszystkie fragmenty po pierwszym są zazwyczaj
       przepuszczane (co zwykle jest bezpieczne); wtedy  mogą  być  filtrowane.  Oznacza  to,  że
       prawdopodobnie  powinieneś  dodać  jawną  regułę  akceptującą  fragmenty  jeśli dokonujesz
       konwersji.  Spójrz więc na stare reguły zliczające,  które  sprawdzają  porty  źródłowe  i
       docelowe  0xFFFF  (0xFF  w  przypadku  pakietów  ICMP)  -  był to stary sposób rozliczania
       fragmentów.

       Reguły zliczające są  teraz  w  prosty  sposób  zintegrowane  z  łańcuchami  wejściowym  i
       wyjściowym; możesz symulować dawne zachowanie w taki sposób:
        ipchains -N acctwe
        ipchains -N acctwy
        ipchains -N acctwewy
        ipchains -I input -j acctwewy
        ipchains -I input -j acctwe
        ipchains -I output -j acctwewy
        ipchains -I output -j acctwy
       Stworzy  to trzy zdefiniowane przez użytkownika łańcuchy, acctwe, acctwy i acctwewy, które
       mogą zawierać dowolne reguły zliczające (reguły te powinny być podane bez flagi  -j,  więc
       pakiety te są w prosty sposób przepuszczane w nienaruszonej postaci).

       Cel  MASQ  lub  REDIRECT przy starciu z brakiem miejsca na operacje jądra (np. przy regule
       przekazującej lub wejściowej) sprawi, że do syslog zostanie wysłana odpowiednia  wiadomość
       a pakiet będzie odrzucony.

       Stary  sposób rozpoznawania SYN i ACK (który był poprzednio ignorowany dla pakietów innych
       niż TCP) uległ zmianie; opcja SYN nie jest już poprawna dla reguł innych  niż  dotyczących
       TCP.

       Opcja  rozpoznawania  ACK  (  -k)  nie  jest  już  wspierana;  kombinacja !  i -y jest jej
       zastępnikiem).

       Nie jest już możliwe określenie maski TOS, która ustawi lub wyzeruje ostatni znaczący  bit
       TOS; poprzednio maski TOS były po cichu zerowane przez jądro jeśli próbowały tego dokonać.

       Flaga  -b  jest  teraz  w  prosty sposób obsługiwana poprzez wstawienie lub usunięcie pary
       reguł, w tym jednej z odwróconym określeniem adresu źródła i adresu docelowego.

       Nie ma możliwości określenia interfejsu za pomocą jego adresu: użyj nazwy.

ZOBACZ TAKŻE

       ipfw_chains(4), ipchains-save(8), ipchains-restore(8)

AUTOR

       Paul ``Rusty'' Russell  <ipchains@rustcorp.com>.   Podziękowania  dla  Hansa  Perssona  za
       dokonanie   szczegółowej   korekty;  chciałbym,  aby  poprawiał  wszystkie  moje  przyszłe
       dokumenty!

INFORMACJE O TŁUMACZENIU

       Powyższe tłumaczenie pochodzi z nieistniejącego już Projektu Tłumaczenia  Manuali  i  może
       nie  być  aktualne.  W  razie  zauważenia  różnic  między  powyższym opisem a rzeczywistym
       zachowaniem opisywanego programu lub  funkcji,  prosimy  o  zapoznanie  się  z  oryginalną
       (angielską) wersją strony podręcznika.

                                          8 lutego 1998                               IPCHAINS(8)