f0ff0c58

Различия между ipchains и ipfwadm.


Некоторые из этих изменений - результат изменений в ядре, и поэтому в ipchains есть отличия от ipfwadm.

  1. Многие параметры были повторно переопределены: заглавные буквы теперь указывают команду, а строчные буквы теперь указывают опцию.
  2. Поддерживаются произвольные цепочки, так даже встроенные цепочки обозначаются именами вместо флажков (напр. "input" вместо "-I").
  3. "-k" опция исчезла: используйте "! -y'.
  4. "-b" опция фактически вставляет/добавляет/удаляет два правила, скорее чем одно правило `bidirectional'.
  5. "-b" опцию можно использовать с "-C", чтобы сделать две проверки (в каждом направлении).
  6. "-x" опция в "-l" была заменена на "-v".
  7. Больше не поддерживаются множественные порты источника и адресата. Однако можно воспользоваться возможностью отрицать диапазоны портов.
  8. Интерфейсы могут быть определены только именем (не адресом). Старая семантика заменена в ядре 2.1.
  9. Фрагменты проверяются, не разрешены автоматически.
  10. Explicit accounting chains have been done away with.
  11. Могут быть проверены произвольные протоколы над IP.
  12. Изменено старое поведение соответствий SYN и ACK (который предварительно игнорировались для не-TCP пакетов); опция SYN не допустима для не-TCP-специфичных правил.
  13. Счетчики на 32-разрядных машинах теперь 64-разрядные, а не 32-разрядные.
  14. Поддерживаются обратные опции.
  15. Поддерживаются ICMP коды.
  16. Поддерживаются уайлдкарты интерфейсов.
  17. Исправлены манипуляции с TOS: старый код ядра просто зависал при (неправильном) управлении битом `Must Be Zero' TOS; теперь в этом и аналогичных случаях ipchains возвращает ошибку.


  18. Содержание раздела