Provided by: manpages-es-extra_0.8a-17_all bug

NOMBRE

       ipfwadm - Administración del cortafuegos y contabilidad IP

SINOPSIS

       ipfwadm -A parámetros [opciones]
       ipfwadm -I parámetros [opciones]
       ipfwadm -O parámetros [opciones]
       ipfwadm -F parámetros [opciones]
       ipfwadm -M [-l | -s] [opciones]

DESCRIPCIÓN

       Ipfwadm  se  utiliza  para  configurar,  mantener  e inspeccionar los cortafuegos IP y las
       reglas de contabilidad del núcleo  Linux.   Estas  reglas  se  pueden  dividir  en  cuatro
       categorías diferentes: contabilidad de paquetes IP, cortafuegos de entrada IP, cortafuegos
       de salida IP y cortafuegos de reenvío.  Para cada una de estas categorías se mantiene  una
       lista separada de reglas.

       Las prestaciones de cortafuegos y de contabilidad del núcleo Linux proporcionan mecanismos
       para contabilizar paquetes IP, para construir cortafuegos basados en el filtrado  a  nivel
       de  paquetes, para construir cortafuegos que usen servidores proxy transparentes (mediante
       redirección de paquetes a conectores (sockets) locales), y para  el  reenvio  de  paquetes
       enmascarados  (con  IP-masquerade). La administración de estas funciones se mantiene en el
       núcleo mediante cuatro listas separadas, cada una de las cuales contiene reglas:  ninguna,
       una,  dos...   Cada  regla  contiene información específica sobre las direcciones origen y
       destino, protocolos, número de puerto y  algunas  otras  características.  Un  paquete  se
       ajusta a una regla cuando las características de una regla se ajustan a la dirección IP de
       ese paquete. Estas reglas se pueden dividir en cuatro categorías diferentes:

       Reglas de contabilidad del cortafuegos IP:
              Se usan para todos los paquetes IP que son enviados o  recibidos  por  el  interfaz
              local  de  red.  Cada  paquete  se  compara  con  la  lista de reglas, y en caso de
              coincidencia se incrementan los contadores de paquetes y bytes  asociados  con  las
              reglas.

       Reglas de entrada del cortafuegos IP:
              Estas  reglas se aplican a los paquetes IP entrantes. Todos los paquetes que llegan
              por algún interfaz local se comprueban con las reglas de entrada. La primera  regla
              que  se  verifica  determina  la política que se usa. Cuando no se ajusta a ninguna
              regla se utiliza la política por defecto.

       Reglas de salida del cortafuegos IP:
              Estas reglas definen los permisos para enviar paquetes IP. Todos los  paquetes  que
              están listos para ser enviados por un interfaz local son comprobados con las reglas
              de salida. La primera regla que  se  cumple  determina  el  comportamiento  que  se
              aplica. Cuando no se ajusta a ninguna regla se utiliza la política por defecto.

       Reglas de reenvío del cortafuegos IP:
              Estas  reglas  definen  los  permisos  para  el  reenvío de paquetes IP.  Todos los
              paquetes enviados por un host remoto con destino a otro host remoto  se  comprueban
              con  las  reglas  de reenvío. La primera regla que verifica un paquete determina la
              política que se utilizará.  Cuando no se  verifica  ninguna  regla,  se  aplica  el
              comportamiento por defecto.

       Para  cada una de estas categorías se mantiene una lista separada de reglas. Véase ipfw(4)
       para más detalles.

OPCIONES

       Las opciones reconocidas por ipfwadm se dividen en varios grupos diferentes.

   CATEGORÍAS
       Las siguientes opciones se usan para seleccionar la categoría  de  reglas  a  las  que  se
       aplican los comandos:

       -A [dirección]
              Reglas  de contabilidad IP. Opcionalmente se puede especificar un sentido (in, out,
              both), indicando si sólo se deben contar paquetes de entrada, de salida o de  ambos
              tipos. La opción por defecto es both.

       -I     Reglas de entrada al cortafuegos IP.

       -O     Reglas de salida del cortafuegos IP.

       -F     Reglas de reenvío del cortafuegos IP.

       -M     Administración  de  "IP  masquerading".  Esta  categoría  sólo  se  puede  usar  en
              combinación con el comando -l (list) o el comando -s (fijar tiempo de expiración).

       Se tiene que especificar exactamente una de estas opciones.

   COMANDOS
       Las siguientes opciones especifican la acción concreta que hay que realizar. Sólo se puede
       especificar  una  de  ellas  en la línea de comandos, salvo que se indique otra cosa en la
       descripción.

       -a [comportamiento]
              Añade una o más reglas al final de la lista seleccionada. Para la  contabilidad  no
              se  puede  especificar  ningún  comportamiento.  Para  el  cortafuegos es necesario
              especificar una de las siguientes políticas: accept, masquerade (válida  sólo  para
              reglas de reenvío), deny o reject.

              Cuando  los  nombre de origen y/o destino se resuelven con más de una dirección, se
              añadirá una regla para cada posible combinación.

       -i [comportamiento]
              Inserta una o más reglas al principio de la lista seleccionada. Vea la  descripción
              del comando -a para más detalles.

       -d [comportamiento]
              Borra  una  o  más  entradas  al comienzo de la lista seleccionada. La semántica es
              idéntica a la de  los  comandos  anteriores.  Los  parámetros  especificados  deben
              coincidir  exactamente  con  los  dados  en los comandos añadir o insertar. En otro
              caso, si no se ajusta a nada, no se borrará ninguna regla. Sólo se borra la primera
              coincidencia.

       -l     Lista todas las reglas de la lista seleccionada. Este comando se puede combinar con
              el comando -z (reiniciar el contador a cero). En ese caso los contadores de bytes y
              de  paquetes  se  reinician inmediatamente tras mostrar sus valores actuales. Salvo
              que la opción -x esté presente, los contadores de paquetes  (si  son  listados)  se
              mostrarán  como  númeroK  o  númeroM  donde  1K significa 1000 y 1M significa 1000K
              (redondeado al valor entero más cercano). Vea también las opciones -e y -x para ver
              más posibilidades.

       -z     Reinicia  los  contadores  de  bytes  y de paquetes de todas las reglas de la lista
              seleccionada. Este comando se puede combinar con el comando -l (list).

       -f     Vacía la lista de reglas seleccionada.

       -p política
              Cambia la política por  defecto  para  el  tipo  seleccionado  de  cortafuegos.  La
              política  dada  tiene que ser una de accept, masquerade (sólo válida para reglas de
              reenvío), deny o reject.  La política por defecto se utiliza cuando no se encuentra
              ninguna  regla  que  se  ajuste. Esta operación sólo es válida para cortafuegos IP,
              esto es, en combinación con las opciones -I, -O o -F.

       -c     Comprueba si este paquete IP sería aceptado, denegado o rechazado por  el  tipo  de
              cortafuegos  seleccionado.  Esta  operación  sólo  es válida para cortafuegos IP en
              combinación con las opciones -I, -O
               o -F.

       -s tcp tcpfin udp
              Cambia los valores de caducidad  (timeout)  usados  en  el  enmascaramiento.   Este
              comando  siempre  toma  tres  parámetros,  que representan valores de caducidad (en
              segundos) para sesiones TCP, sesiones TCP tras recibir un paquete  FIN  y  paquetes
              UDP,  respectivamente.   Un  valor  de caducidad 0 significa que el valor actual de
              caducidad, de la entrada correspondiente, se preserva.  Esta  operación  sólo  está
              permitida en combinación con la opción -M.

       -h     Ayuda. Da una descripción (actualmente breve) de la sintaxis del comando.

   PARÁMETROS
       Los siguientes parámetros se pueden usar en combinación con los comandos -a, -i, -d o -c:

       -P protocolo
              El  protocolo  de  la  regla  o del paquete a comprobar.  El protocolo especificado
              puede ser tcp, udp, icpm  o  all.   El  protocolo  all  se  adaptará  a  todos  los
              protocolos y se toma por defecto cuando se omite esta opción.  all no se puede usar
              en combinación con el comando -c.

       -S dirección[/máscara] [puerto...]
              Especificación de origen (obligatorio). La dirección puede ser bien  un  nombre  de
              host,  un  nombre  de  red  o  una  dirección IP concreta. La máscara puede ser una
              máscara de red o un número que indique el número de bits con valor 1 a la izquierda
              de  la  máscara  de  red.  Es decir, son equivalentes la máscara 255.255.255.0 y el
              número 24.  El origen puede incluir una o más especificaciones de puertos  o  tipos
              ICMP. Cada uno de ellos puede ser un nombre de servicio, número de puerto o un tipo
              ICPM (numérico). En el resto de este párrafo, puerto significa o una especificación
              de  puerto  o  un  tipo  ICPM.  Una de estas especificaciones puede ser un rango de
              puertos,  con  el  formato  puerto:puerto.  Además,  el  número  total  de  puertos
              especificados  con  las  direcciones  origen  y  destino  no  debe  ser  mayor  que
              IP_FW_MAX_PORTS (actualmente 10). Aquí un rango de puertos cuenta como dos puertos.

              Los paquetes que no son el primer fragmento de un  paquete  TCP,  UDP  o  ICMP  son
              siempre  aceptados por el cortafuegos.  Por motivos de contabilidad, estos segundos
              y posteriores fragmentos se tratan de forma especial para poderlos contar de alguna
              forma.  El  puerto  número  0xFFFF  (65535)  se usa para ajustarse con el segundo y
              siguientes fragmentos de paquetes TCP  o  UDP.  Estos  paquetes  se  tratarán  para
              propósitos  de contabilidad como si sus puertos fueran 0xFFFF. El número 0xFF (255)
              se usa para ajustarse con el segundo y siguientes fragmentos para  contabilidad  de
              paquetes ICPM. Estos paquetes se tratarán, para propósitos de contabilidad, como si
              sus tipos ICPM fueran 0xFF. Observe  que  los  comando  y  protocolo  especificados
              pueden  implicar  restricciones sobre el puerto que sea especificado en combinación
              con los protocolos tcp, udp o icpm.  También, cuando se especifica el  comando  -c,
              se requiere exactamente un puerto.

       -D dirección[/máscara] [puerto...]
              Especificaciones  de  destino  (obligatorio).  Vea  la  descripción de la opción -S
              (origen) para una descripción detallada de la sintaxis. Observe que los tipos  ICMP
              no  están permitidos en combinación con la opción -D; los tipos ICMP sólo se pueden
              especificar tras la bandera -S.

       -V dirección
              La dirección opcional de un interfaz a  través  del  cual  se  envía  o  recibe  un
              paquete.   dirección  puede  ser  un  nombre  de host o una dirección IP. Cuando se
              especifica un nombre de host, éste se debe resolver a exactamente una dirección IP.
              Cuando  se  omite  esta  opción,  se  supone  la  dirección  0.0.0.0,  que tiene un
              significado especial y se ajustará a  cualquier  dirección  de  interfaz.  Para  el
              comando -c, esta opción es obligatoria.

       -W nombre
              Nombre  opcional  de  un  interfaz  a través del cual se envían o reciben paquetes.
              Cuando se omite, se supone una cadena de caracteres vacía, que tiene un significado
              especial y se ajustará a cualquier nombre de interfaz.

   OTRAS OPCIONES
       Se pueden especificar las siguientes opciones adicionales:

       -b     Modo  Bidireccional.   La  regla  se ajustará con paquetes IP en ambas direcciones.
              Esta opción sólo es válida en combinación con los comandos -a, -i o -d.

       -e     Salida extendida.  Esta opción hace al comando -l mostrar también la dirección  del
              interfaz  y  las opciones de la regla (si existe). Para las listas del cortafuegos,
              también se mostrarán los contadores de  bytes  y  paquetes  (por  defecto  sólo  se
              muestran los contadores para las reglas de contabilidad) y se muestran las máscaras
              TOS. Cuando  se  usa  en  combinación  con  -M,  también  mostrará  la  información
              relacionada  con  la  secuencia  de  números  delta.  Esta opción sólo es válida en
              combinación con el comando -l.

       -k     Ajustar sólo a paquetes TCP con el bit ACK activo.  Esta opción sólo es  válida  en
              combinación con los comandos -a, -i o -d, y el protocolo TCP.

       -m     Enmascaramiento de paquetes aceptados para reenvío.  Cuando se utiliza esta opción,
              los paquetes aceptados por esta regla serán enmascarados como si fueran  originales
              del  host  local.  Además, los paquetes de respuesta serán reconocidos como tales y
              serán desenmascarados automáticamente pasando  el  cortafuegos  de  reenvío.   Esta
              opción  es  sólo  válida  para  las  reglas de reenvío con comportamiento accept (o
              cuando se haya especificado accept como el comportamiento por defecto), y  sólo  se
              puede usar cuando se compila el núcleo con la opción CONFIG_IP_MASQUERADE.

       -n     Salida  numérica.   Las direcciones IP y números se imprimirán en formato numérico.
              Por defecto, el programa intentará mostrarlos como nombres de host, nombres de  red
              o servicios (cuando sea aplicable).

       -o     Activa  el  registro  del núcleo de paquetes ajustados.  Cuando se pone esta opción
              para una regla, el núcleo de Linux imprimirá cierta información básica de todos los
              paquetes  que  se ajusten a ella mediante printk().  Esta opción sólo será efectiva
              cuando se compile el núcleo con la opción CONFIG_IP_FIREWALL_VERBOSE.  Esta  opción
              sólo es válida en combinación con los comandos -a, -i o -d.

       -r [puerto]
              Redirecciona  paquetes a un conector (socket) local. Cuanto se utiliza esta opción,
              los paquetes aceptados por la regla serán  redireccionados  a  un  conector  local,
              incluso  si fueran redireccionados a un host remoto. Si el puerto redireccionado es
              0, que es el valor por defecto, se usará el puerto  destino  del  paquete  como  el
              puerto  de  redirección.  Esta  opción  es sólo válida en las reglas de entrada del
              cortafuegos con comportamiento accept y sólo puede ser utilizada cuando  el  núcleo
              de Linux está compilado con la opción CONFIG_IP_TRANSPARENT_PROXY.

       -t andmask xormask
              Máscara  utilizada para modificar el campo TOS en la cabecera IP. Cuando un paquete
              se acepta (con o sin masquerade) por una regla del  cortafuegos,  a  su  campo  TOS
              primero  se  le hace un Y-lógico con la máscara andmask y al resultado se le aplica
              un O-lógico exclusivo con la máscara xormask.  La máscara se  debe  especificar  en
              valores  de 8 bits hexadecimales. Esta opción sólo es válida en combinación con los
              comandos -a, -i o -d, y no tendrá efectos cuando  se  utilice  en  combinación  con
              reglas de contabilidad o de cortafuegos para rechazar o denegar un paquete.

       -v     Salida  detallada.   Imprime  información  detallada de la regla o paquete añadido,
              borrado o comprobado.  Esta opción sólo tendrá efecto con los comandos -a, -i, -d o
              -c.

       -x     Expande números.  Muestra el valor exacto de los contadores de bytes y de paquetes,
              en lugar de sólo los números redondeados a múltiplos de 1K o  de  1M  (múltiplo  de
              1000K).  Esta  opción  sólo  tendrá  efecto  cuando  se  muestren los contadores de
              cualquier forma (vea la opción -e).

       -y     Solo ajusta paquetes TCP con el bit SYN activado y el  bit  ACK  desactivado.  Esta
              opción  sólo  es válida en combinación con los comandos -a, -i o -d, y el protocolo
              TCP.

FICHEROS

       /proc/net/ip_acct
       /proc/net/ip_input
       /proc/net/ip_output
       /proc/net/ip_forward
       /proc/net/ip_masquerade

VÉASE TAMBIÉN

       ipfw(4)

AUTOR

       Jos Vos <jos@xos.nl>
       X/OS Expert in Open Systems BV, Amsterdam, The Netherlands