Provided by:
manpages-pl_20060617-4_all 
NAZWA
ipmasqadm - administracja dodatkowymi modulami IP Masquerading
SK/LADNIA
ipmasqadm <modu/l> [opcje-specyficzne-dla-modulu]
ipmasqadm <modu/l> -h
ipmasqadm autofw opcje
ipmasqadm portfw opcje
ipmasqadm mfw opcje
OPIS
Ipmasqadm uywane jest do konfigurowania dodatkowych udogodnie
maskowania IP, zazwyczaj wspieranych przez dodatkowe moduly jdra.
Wszystkie przekierowania wewntrz-firewallowe s realizowane przez
maskowanieodwrotne(zang.reverse-masquerading) tak wic musisz stworzy
reguly cianki ogniowej, ktore musz pasowa do wytworzonego
przekierowania wedle polczenia wychodzcego (zamiast przychodzcego).
Jdro musi by skompilowane z opcjami
CONFIG_EXPERIMENTAL=y
CONFIG_IP_MASQUERADE=y
CONFIG_IP_MASQUERADE_MOD=y
i
CONFIG_IP_MASQUERADE_IPAUTOFW=y/m
CONFIG_IP_MASQUERADE_IPPORTFW=y/m
CONFIG_IP_MASQUERADE_MFW=y/m
dla odpowiednich modulow.
Jeli potrzebujesz przekierowa jeden (lub wicej) wewntrznych portow do
hostow wewntrznych rozwa uycie modulu o nazwie mfw
W skrocie:
Krotki modul modul opcja
opis ipmasqadm jdra jdra
------------------------------------------------------------------------
Auto autofw.so ip_masq_autofw.o CONFIG_IP_MASQUERADE_IPAUTOFW
Port portfw.so ip_masq_portfw.o CONFIG_IP_MASQUERADE_IPPORTFW
Fwmark mfw.so ip_masq_mfw.o CONFIG_IP_MASQUERADE_MFW
MODU/L autofw - Auto-forwarding
Modul ten jest, w pewnych okolicznociach, zdolny do przechwytywania
protokolow aplikacji, ktore nie maj wsparcia jako specyficzne
(dedykowane) moduly maskujce. Jdro musi by skompilowane z opcj
CONFIG_IP_MASQUERADE_IPAUTOFW=y/m
autofw -h
Pomoc komendy. Prosz na razie odnosi si do niej.
Po mnostwo uytecznych informacji dotyczcych uywania autofw prosz zajrze
do http://ipmasq.home.ml.org
MODU/L portfw - Port-forwarding
Ten modul jest w stanie przekierowa pakiety do-firewalla do wewntrznych
hostow, bazujc na adresie i numerze portu.
portfw -h
Pomoc komendy. Prosz na razie odnosi si do niej.
MODU/L mfw - fwmark-forwarding
Modul ten pozwala przekierowa pakiety do-firewalla do wewntrznych
hostow, bazujc na pasujcym znaczniku fwmark . Obejrzyj podrcznik
ipchains(8) aby dowiedzie si jak ustawia reguly firewall-a uywajc
fwmarkowania. Take zauwa prosz, e poniewa modul ten dziala tylko przy
pierwszym pakiecie polczenia, wic ma tutaj sens dodanie przelcznika -y
polecenia ipchains do regul TCP przy obsludze znacznikow.
KOMENDY
mfw -A -m fwmark -r adres [port] [-p waga]
Dolcza jedn regul do koca listy fwmark hostow podlegajcych
przekierowaniu.
Pakiety fwmarkowane wytworz tunel-maskujcy by nim przekazywa
poniejszy ruch polcze do adresu i portu.
Nastpi to co najmniej waga razy przed kolejkowaniem kolejnej
pozycji z tak sam wartoci fwmark .
Jeli nie podano portu to zostanie uyte przekierowanie z
oryginalnym adresem docelowym pakietu.
mfw -I -m fwmark -r adres [port] [-p waga]
Dziala tak samo jak opcja -A z wyjtkiem tego, e regula jest
wstawiana na pocztek listy.
mfw -D -m fwmark [-r adres [port] ]
Usuwa podane reguly (podan regul).
mfw -E -m fwmark [-r address [port] ] -p pref
Edycja podanych regul, obecnie mona zmienia warto -p .
mfw -S -m fwmark
Wymu kolejkowanie w pozycjach przekierowa fwmark .
mfw -F Opronij (skasuj) wszystkie reguly.
mfw -L [-n]
Wywietl reguly, opcjonalnie pokazujc tylko adresy (bez nazw).
PRZYK/LADY
Przekieruj caly ruch Web do wewntrznych maszyn hostA i hostB, gdzie
hostB bdzie obslugiwal 2 razy polczenia hostA. Reguly przekazu ju
maskuj wewntrzne maszyny na zewntrz (typowe).
ipchains -I input -p tcp -y -d twoja.domena.com/32 80 -m 1
ipmasqadm mfw -I -m 1 -r hostA 80 -p 10
ipmasqadm mfw -I -m 1 -r hostB 80 -p 20
Przekieruj ruch ssh z zewntrznego klienta klientA do wewntrznego hostB,
a take poka regul maskujc by pozwoli na polczenia przychodzce do portu
ssh tylko dla maszyny hostB.
ipchains -I forward -p tcp -d klientA/32 -s hostB/32 22 -j MASQ
ipchains -I input -p tcp -y -s klientA/32 -d 0/0 22 -m 2
ipmasqadm mfw -I -m 2 -r hostB 22
Przekieruj caly ruch z zewntrznego klientaA do wewntrznego hostB, a
take poka regul maskujc by pozwoli maszynie hostB tylko (wyranie,
prosto, ... po prostu *zielono*)
ipchains -I forward -d klientA/32 -s hostB/32 -j MASQ
ipchains -I input -s klientA/32 -m 3
ipmasqadm mfw -I -m 3 -r hostB
PLIKI
/usr/lib/ipmasqadm/*.so
Moduly uywane przez interfejs jdra do ipmasqadm.
/proc/net/ipmasq/* Wewntrzne pliki stanu modulow maskujcych.
USTERKI
W jdrach 2.2 nie ma moliwoci by wsp'o/ldzieli numery portow z normalnymi
gniazdami. Obecnie moduly maskujce bior priorytet nad gniazdami.
Poniewa przekierowania s obecnie maskujcymi tunelami maj one takie same
wlaciwoci: czasy bezczynnoci, maksymalne liczby wpisow, itd.
Automatyczne ladowanie modulow przez jdro zadziala dla przelcznikow -A
i -I , ale nie dla -L, wic ujrzysz ostrzeenia o brakujcych wpisach list
/proc/net/ip_masq/... kiedy modul nie jest (automatycznie) zaladowany.
Zmieni si to w przyszlych wydaniach.
PRZESTROGI
Protokoly, ktore uywaj kontroli i wytwarzaj polczenie s zawsze
klopotliwe przy przekraczaniu cianek ogniowych. Przykladami mog tutaj
by ftp, irc, real audio, itd Poniewa mamy tu do czynienia z
przekazywaniem odwrotnego-maskowania problemy si te odwracaj; na
przyklad: ftp przekazywane z zewntrz do wewntrz i serwer ju nie
zadzia/la w trybie PASV poniewa serwer wyle swoj wewntrzny adres do
klienta na zewntrz, w przeciwiestwie do tradycyjnych nie-pasywnych
polcze, ktore si powiod (pomyl troch nad tym, prosz). Trwaj prac nad
wsparciem dla modulow dwukierunkowych .
UWAGI
To jest moja pierwsza strona man, tak w razie gdyby nie zauwayl ... ;)
Ostrzegam przed jej jakoci pre-alpha.
ZOBACZ TAKE
ipchains(8)
AUTOR
Juan Jose Ciarlante <jjciarla@raiz.uncu.edu.ar>
INFORMACJE O T/LUMACZENIU
Powysze tlumaczenie pochodzi z nieistniejcego ju Projektu Tlumaczenia
Manuali i moe nie by aktualne. W razie zauwaenia ronic midzy powyszym
opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji,
prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.
Grudnia 1998 IPMASQADM(8)