Ubuntu Linux » Интернет

Как установить новый Chrome в Ubuntu или Mint

Admin — Tue, 14 Oct 2014 06:34:46 +0000

Рецепт подойдёт для скачивания последней стабильной версии Chrome (на момент написания - Chrome 38) и установки на Ubuntu 14.10, 14.04 ... 12.04, а также на Linux Mint 17, 16, 15.

Добавляем ключ Google для Linux

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub\
 | sudo apt-key add -

Добавляем репозиторий Chrome в список доступных

sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/\
 stable main" >> /etc/apt/sources.list.d/google.list'

Обновляем список пакетов

sudo apt-get update

Устанавливаем Chrome

sudo apt-get install google-chrome-stable

Как установить самую свежую версию Firefox в Ubuntu и Linux Mint

Admin — Tue, 25 Mar 2014 19:09:32 +0000

В отличии от Windows в Ubuntu пакеты устанавливаются не путём поиска в гугле, а через пакетные менеджеры. И именно наличие или отсутствие пакетов в репозиториях Ubuntu и определяет, какую версию мы можем установить. Однако, помимо удобств здесь есть и минусы: новые пакеты в старых версиях Ubuntu не появляются -- приоритет поддержки обновлений старых версий ниже.

Этот способ подойдёт для Ubuntu 14.10/14.04/13.10/13.04/12.10/12.04 -- именно для этих версий собираются свежие пакеты Firefox, а также для Linux Mint 16/15/14/13/12, учитывая совместимость пакетов. Полагаю, что и для более новых также удастся использовать.

Итак, открываем консоль или пакетный менеджер и добавляем источник ppa:mozillateam/firefox-next

sudo add-apt-repository ppa:mozillateam/firefox-next

Обновляем базу пакетов.

sudo apt-get update

Устанавливаем Firefox.

sudo apt-get install firefox

Samba — подключение сетевых дисков и принтеров по SMB/CIFS

Admin — Thu, 31 Jan 2013 06:20:34 +0000

Категория: Интернет → Обмен файлами

Установить

Samba -- это комплекс приложений, позволяющих взаимодействовать с сетевыми дисками и принтерами, работающими по протоколу SMB/CIFS. Реализует клиент-серверную архитектуру и позволяет работать с Windows-сетями, также работающими по SMB/CIFS.

Начиная с 4-ой версии, Samba может работать ещё и в роли ActiveDirectory -- контроллера доменов, распространяемого Microsoft.

Возможности 4-ой версии Samba

стабильные:
- преобразование идентификаторов пользователей и групп из представления Unix в представление Windows (Winbind);
- логин учётных записей пользователей в домен;
- учётные записи рабочих станций;
- групповые политики (GPO);
тестируется:
- DRS-репликация (известны случаи отказов при репликации);
на этапе завершения внедрения:
- поддержка протоколов SMB2 и SMB3 и в файловом сервере NTVFS, и в файловом сервере s3fs, с протоколом по умолчанию SMB3;
- запуск файлового и принт-сервера третьей ветки не отдельным процессом, а форком из процесса samba с настроенной аутентификацией файлового сервера в домене Samba4;
в активной разработке:
- встроенный DNS-сервер (пока без поддержки DNSSEC);
- доверительные отношения (Domain Trusts);
- консольная утилита для администрирования samba-tool (могут также использоваться встроенные в Windows средства администрирования AD);
- оригинальный файловый сервер четвёртой ветки NTVFS (не содержит полной реализации всех необходимых атрибутов);
- сервер печати (пока посредством сервера третьей ветки);
- RODC (Read Only DC);
- поддержка схем Microsoft Exchange.

KTorrent — BitTorrent-клиент для KDE

Admin — Sat, 01 Sep 2012 17:45:48 +0000

Категория: Интернет → Обмен файлами

Установить

KTorrent -- клиент для работы с BitTorrent -- пиринговым сетевым протоколом для кооперативного обмена файлами через Интернет. Написан на C++ с применением библиотек Qt. Является частым выбором пользователей KDE.

KTorrent доступен на Linux, MacOS и других Unix-подобных системах.

Возможности KTorrent:

Ограничение получения и передачи файлов (в том числе ограничение скорости закачки), количества одновременных закачек и соединений на одну закачку;
Поиск на серверах BitTorrent;
Шифрование протокола BitTorrent для того, чтобы интернет-провайдеры не могли обнаруживать и ограничивать трафик, генерируемый программой KTorrent;
Поддержка раздачи без трекера при помощи DHT и PEX;
Расстановка приоритетов файлов;
Автоматическая закачка торрентов из ленты новостей RSS;
Возможность перемещать готовые задания в другой каталог;
Управление через веб-интерфейс с портом по умолчанию 8080;
Поиск пиров в локальной сети по протоколу Zeroconf;
Предварительное выделение места на диске для недопущения фрагментации;
Поддержка IPv6;
Поддержка SOCKS 4 и 5.

А также многое другое.

Установить KTorrent в Ubuntu

Для установки нужно выполнить в консоли

sudo apt-get install ktorrent

Или воспользоваться Центром Приложений Ubuntu -- поиск "ktorrent".

Transmission — bittorrent клиент для Linux

Admin — Sun, 29 Jul 2012 18:22:24 +0000

Категория: Интернет → Обмен файлами

Установить

Transmission -- это свободный и бесплатный торрент-клиент, поддерживающий современные технологии и работающий на Linux, *BSD, MacOS.

Работая на разных операционных системах и в разных средах, Transmission может быть разным. Для того, чтобы bittorrent-клиент выглядел в большинстве сред "родным", для него написано несколько разных графических интерфейсов.

Transmission будет хорошо выглядеть и на MacOS (используя Cocoa):

И в Gnome / Unity среде (используя Gtk интерфейс):

Да и в KDE он будет прекрасно выглядеть (с Qt интерфейсом):

А можно поставить Transmission на маршрутизатор и управлять торрент-клиентом через web-интерфейс.

В общем, много где будет хорошо смотреться сей bittorrent-клиент.

Также можно отметить, что Transmission не старается покрыть все мыслимые и немыслимые потребности пользователя. Будь то поиск, рейтинг, комментарии и так далее. Вместо этого он хорошо делает то, что и должен делать хороший bittorrent-клиент: тихонько сидеть и качать / раздавать файлы.

Возможно, именно потому, что разработчики не превращают программу в "комбайн", приложение понятно с первого раза. Настроек немало, но в них всё ещё сложно запутаться

Установить Transmission в Ubuntu

Чтобы установить bittorrent-приложение "Transmission" в Ubuntu, нужно ввести в консоли

sudo apt-get install transmission-gtk

-- для Gtk версии (Unity, Gnome, Mate, Cinnamon).

sudo apt-get install transmission-qt

-- для Qt версии (KDE, Trinity).

Или же кликнуть по ссылке Gtk, Qt, чтобы открыть выбор этих приложений в Ubuntu Software Center.

Клиент обмена мгновенными сообщениями Pidgin

Admin — Fri, 11 May 2012 17:44:52 +0000

Категория: Интернет → Общение

Установить

Pidgin -- это мощный и популярный клиент для обмена сообщениями для большинства существующих IM протоколов: AIM, ICQ, Google Talk, Jabber/XMPP, MSN Messenger, Yahoo!, Bonjour, Gadu-Gadu, IRC, Novell GroupWise Messenger, Lotus Sametime, SILC, SIMPLE, MXit, MySpaceIM, и Zephyr.

Pidgin позволяет общаться с друзьями, использующими различные протоколы, из одного окна -- все Ваши контакты будут видны в одном списке и иметь единообразное оформление.

Приложение поддерживает многие возможности, используемые ныне широко в интернете: передача файлов, статусы пользователя, аватары пользователей, различные уведомления.

Pidgin интегрируется в системный лоток и не мешает на панели задач.

Программа переведена на многие языки, включая русский, что позволит без особых проблем настроить приложение под себя.

man mcabber (rus)

Admin — Sat, 22 May 2010 16:05:31 +0000

НАЗВАНИЕ
~~~~~~~~

mcabber - маленький консольный Jabber-клиент.

РЕЗЮМЕ
~~~~~~
mcabber [ -f configfile ] [ --help | -h ]

ОПИСАНИЕ
~~~~~~~~
mcabber(1) маленький консольный Jabber-клиент.
Для того, чтобы приступить к работе, необходим файл конфигурации, поэтому скопируйте пример mcabberrc и отредактируйте его согласно вашей конфигурации.

Так же Вам будет необходим аккаунт на сервисе Jabber, т.к. в настоящий момент mcabber не умеет регистрировать (удалять) аккаунты.

Здесь приведены некоторые возможности mcabber:

* поддержка SSL.

* поддержка конференций MUC (Multi-User Chat).

* поддержка PGP.

* поддержка определения статуса в конференции (уведомление о наборе текста)

* Ведение истории переписки: если включено (смотрите раздел в файле конфигурации), mcabber сможет записывать историю переписки в файл.

* Автодополнение комманд: Если это возможно, mcabber пытается завершить вводимую Вами команду, если Вы нажмете клавишу Tab.

* История командной строки: Любое сообщение или команда, введенные в командной строке, сохраняются и могут быть вызваны вновь.

* Дополнительные возможности: Некоторые события (такие как пересылка сообщения) могут быть выполнены как внешняя команда (наподобии shell-скрипта), если конечно Вы включите эту опцию в файле конфигурации. Простейший скрипт события ("eventcmd") поставляется вместе с исходным кодом mcabber, в каталоге contrib.

OPTIONS
~~~~~~~

--help, -h
Краткая справка

-f configfile
Использовать указанный файл конфигурации "configfile"

ОКНАПАНЕЛИ
~~~~~~~~~~~

Рабочее окно mcabber(1) поделено на 4 области. Список контактов, псевдонимы пользователей - находяться слева. Окно чата (конференции) находится справа. Строка ввода команд и сообщений - внизу, под маленьким окном журнала событий.

Две строки с информацией о статусе обрамляют окно журнала событий. Нижняя строка статуса - это "строка основного статуса" и отображает общий статус mcabber`а. Другая строка (сверху окна журнала событий) - это "статус чата (конференции)" и отображает статус текущего пользователя.

Чтобы увидеть окно чата (конференции), Вы должны войти в режим чата (конференции). Вы можете войти в режим чата (конференции) нажав "Enter" и покинуть этот режим нажав клавишу "ESC". Простая отправка сообщений так же работает в режиме чата (конференции).

Есть несколько преймуществ в использовании двойного режима: первое, это позволяет правильно распределять непрочитанные сообщения, как появляющиеся в следующей области; без этого, только прокрутка к определенному пользователю позволит прочитать новые сообщения всех остальных пользователей. Второе, это позволяет легко скрывать диалог одним нажатием клавиши. В третьих, это позволяет перемещаться между несколькими пользователями, с которыми Вы беседуете, с помощью команды /roster описанной далее, не используя ручную прокрутку назад или вперед.

КОМБИНАЦИИ КЛАВИШ

Набор текста происходит в строке ввода (переводчик не виноват, так написано :)); простейшие операции так же поддерживаются (клавишы влево, вправо, home/end клавиши, insert, delete, backspace...).

Клавиши PageUp and PageDown использованы для перемещения в списке контактов.

Клавиши ВверхВниз могут быть использованы для перемещения по истории введенных команд и сообщений в командной строке; они перемещают к предыдущейследующей строке в истории введенных команд и сообщений.

Чтобы отправить сообщение, переместитесь к нужному пользователю в списке контактов, напиши сообщение и нажмите "Enter". Если строка начинается со слеша "/", данная строка будет распознана как команда (смотрите раздел КОМАНДЫ). Нажмите "ESCAPE" для выхода из режима чата.

Здесь приведены быстрые комбинации клавиш, используемые в программе:

Esc             Отключает режим чата
Ctrl-a 		Перемещает к началу набранной строки
Ctrl-e 		Перемещает в конец набранной строки
Ctrl-l 		Принудительная очистка
Up/Down 	Перемещает в истории введенных командсообщений
PgUp/PgDown 	Перемещает внутри списка контактов
Tab 		Дополнить вводимое слово в командной строке
Ctrl-g 		Отмена сообщения
Ctrl-c 		Отменить многострочное сообщениесообщение
Ctrl-d 		Отправитьпрервать многострочное сообщение
Ctrl-p/Ctrl-n 	Прокрутить вверхвниз половину экрана чата (конференции)
Ctrl-Left 	Переместить курсор к началу текущего или следующего слова word
Ctrl-Right 	Переместить курсор к концу текущего или следующего слова word
Ctrl-u 		Удалить текст с начала строки до позиции курсора
Ctrl-k 		Удалить текст с позиции курсора до конца строки
Ctrl-w 		Вернуть удаленное слово
Ctrl-t 		Переставить буквы
Ctrl-o 		Принять строку и поместить следующую строку из истории ввода командной строки в командную строку (accept-line-and-down-history)
Ctrl-q 		Переместиться к следующему непрочитанному сообщению

Дополнительные комбинации клавиш могут быть назначены с помощью команды /bind, описанной в разделе КОМАНДЫ

СПИСОК КОНТАКТОВ MCABBER`А
~~~~~~~~~~~~~~~~~~~~~~~~~~

Первый отображаемый элемент списка контактов это статус [status], который ведет историю всего, что появляется в окне событий, которое ниже основного окна чата (конференции). Окно истории было создано для отображения нескольких последних элементов отражающих статус [status], что делает удобнее просмотр истории событий, нежели прокрутка стандартным методом.

Имена групп отображаются над пользователями, которые в эту группу входят, и отемчаются символами "---" перед названием.

Для каждого реального Jabber-пользователя, списко контактов отображает 4 вида информации: имя или псевдоним пользователя, статус, статус авторизации и количество непрочтенных сообщений адресованных Вам.

Статус пользователя может принимать следующие значения:

o 	в сети
f 	свободен для чата
a 	ушел
n 	не доступен
d 	не беспокоить
i 	невидим (отображается только для вашего пользователя)
_ 	не в сети (или невидим для Вам)
? 	неизвестен, обычно означает, что Вы не авторизированы для просмотра статуса этого пользователя
x 	конференция в которой вы не участвуете
C 	конференция в которой вы участвуете

Статус авторизации показывает значение "авторизированы" ли Вы для получения статуса пользователя и отображается квадратными скобками вокруг статуса. Квадратный скобки, как [o], означают, что этот пользователь авторизирован для получения Вашего статуса. Волнистые скобки, как {o}, означают, что пользователь не авторизирован для получения Вашего статуса.Символ пропадает после того, как Вы просмотрите историю сообщений этого пользователя.

Примеры:

--- Buds 	Группы с название "Buds"
#[o] John 	John в сети, может видеть Ваш статус и послал Вам новое сообщение, которое Вы еще не прочли
{?} Sally 	Ни Вы ни Sally не авторизированы, чтобы видеть статус друг друга
{a} Jane 	Jane ушла, но она не может видеть Ваш статус
#[C] x@y.c 	Вы участник конференции x@y и там есть непрочитанные сообщения

КОМАНДЫ, ОТНОСЯЩИЕСЯ К MCABBER
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

/ALIAS [имя [= команды]]: Эта команда позволяет добавлять собственные альтернативные команды (обозначить ряд команд (одну команду) под определенным именем, для удобства использования).
/BIND [keycode [= command line]]: Присваивает клавише (определяется по ее keycode) определенную команду. Чтобы проверить, какие клавишы в настоящее время не используются, перейдите в "log window" и нажмите клавишу, которую Вы хотите определить для команды. Пример: "Unknown key=265" - это значит, что Вы можете присвоить клавише 265 (F1) свое значение и она не занята.
(от переводчика: многие windows manager`ы не очень охотно отдают keycode в терминале, поэтому проще проверять назначена или нет клавиша командой "/bind 'keycode'", если Вы получите в ответ "Key 265 is not bound." - значит клавише не присвоена команда).
/BUFFER [clear|purge|top|bottom|date|%|search_backward|search_forward] /BUFFER [scroll_lock|scroll_unlock|scroll_toggle]: Команда для управления буфером (от переводчика: историей переписки) с пользователеми jabber. То есть, Вы можете искать текст прямо в буфере (истории переписки), очищать окно чата и т.д.
/CLEAR: Эта команда просто альтернативное название (alias) для "/buffer clear". Она очищает текущее окно переписки.
/HELP [command|+topic]: Выводит помощь для указанной команды "command" или темы "topic"
/QUIT: Эта команда завершает все активные соединения и выходит из mcabber`а.
/VERSION: Отображает текущую версию mcabber`а.

КОМАНДЫ, ОТНОСЯЩИЕСЯ К СЕРВЕРУ И СОЕДИНЕНИЮ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

/CONNECT: Устанавливает соединение с Jabber-сервером
/DISCONNECT: Завершает соединение с Jabber-сервером.
/EVENT #N|* accept|ignore|reject /EVENT list: Говорит mcabber`у что делать с событиями.
Если первый параметр '*', команда будет применена ко всей очереди событий.
/RAWXML send string: Отправляет строку "string" (в формате XML) на Jabber-сервер.
Проверка строки не выполняется.
БУДЬТЕ ОСТОРОЖНЫ!
Используйте эту команду только если Вы знаете, что делаете или если Вы можете завершить соединение.

КОМАНДЫ, ОТНОСЯЩИЕСЯ К СПИСКУ КОНТАКТОВ И ПОЛЬЗОВАТЕЛЯМ JABBER`А

/ADD [jid [nickname]]: Добавляет "jid" пользователя Jabber в Ваш списко контактов (группа по умолчанию) и отправляет уведомление о подтверждении данному пользователю. Если "jid" не указан (или сторока пуста "") или "jid" указан как "." - используется текущий пользователь (участник).
/AUTHORIZATION allow|cancel|request|request_unsubscribe [jid]: Эта команда управляет уведомлениями о присутствии (статусе) пользователей: она позволяет Вам получать статус пользователей в Вашем списке контактов и позволяет Вам контролировать просмотр Вашего статуса другими пользователями.
Если jid пользователя не указан, используется jid текущего пользователя.
/DEL: Удаляет текущего пользователя из списка контактов, отключает уведомления о его статусе и отключает уведомления пользователя о нашем статусе.
/GROUP fold|unfold|toggle: Эта команда управляет отображением списка пользователей определенной группы в списке контактов.
/INFO: Выводит информацию о выделенной элементе (пользователь, агент, группа...).
Для пользователей, ресурсов отображается статус, приоритет и сообщение статуса (если возможно) для каждого ресурса.
/MOVE [groupname]: Перемещает пользователя в определенную группу. Если группа не указана, пользователь перещается в группу по умолчанию (default group). Если группа "groupname" не создана, она автоматически создается.
Полезно: Если включен режим чата (chatmode), Вы можете использовать "/roster alternate" для перемещения к перемещенному пользователю.
/MSAY begin|verbatim|send|send_to|toggle|abort: Посылает сообщение, состоящие из большого количества строк. Чтобы написать сообщение из нескольких строк должен использоваться режим поддержки многострочного сообщения 'multi-line mode'.
В режиме поддержки многостроных сообщений 'multi-line mode' каждая написанная строка (исключая командные строки) добавляется в тело многострочного сообщения. Когда многострочное сообщение написано, оно может быть отправлено текущему пользователю командой "/msay send".
Команда '/msay begin' включает режим многострочного сообщения. Обратите внимание, что может быть указана тема сообщения [subject].
Подкоманда 'verbatim' включает режим стенограммы. Только команда "/msay" (с параметром send или abort) может быть использована для выхода из режима стенограммы (соответственно, для пересылки или отмены сообщения).
Подкомандой 'toggle' можно назначить определенную клавишу для быстрого использования многострочного режима 'multi-line mode' (пример: "bind M13 = msay toggle" для переключения режима)
/PGP disable|enable|info [jid] /PGP setkey [jid [key]]: Эта команда управляет настройками PGP для определенного пользователя "jid" (по умолчанию, для выделенного контакта).
Запомните, что шифрование PGP не может быть использовано, если не обнаружена удаленная поддержка PGP.
/RENAME name: Переименовывает текущего пользователя или группу в заданное имя "name".
/REQUEST last|time|vcard|version [jid]: Отправляет "IQ" запрос текущему или указанному пользователю jabber. Если подобная функция не поддерживается указанным "jid", mcabber пошлет запрос всем известным интерфейсам для данного пользователя.
/ROOM join|leave|names|nick|remove|topic|unlock|destroy /ROOM privmsg|invite|kick|ban|role|affil /ROOM bookmark [add|del] [-autojoin|+autojoin]: Команда 'room' работает с конференциями (Multi-User Chat room).
/ROSTER bottom|top|up|down|group_prev|group_next /ROSTER alternate|unread_first|unread_next /ROSTER search bud /ROSTER hide_offline|show_offline|toggle_offline /ROSTER item_lock|item_unlock/ROSTER hide|show|toggle /ROSTER note [-|text]: Команда 'roster' управляет Вашим списком контактов.
/SAY text: Отправляет сообщение "text" текущему пользователю. Команда может быть полезна, если Вы хотите отправить сообщение начинающееся с флеша (/).
/SAY_TO jid text: Отправляет сообщение "text" определенному пользователю "jid".
Запомните, что, если Вы хотите отправить несколько сообщение определенному пользователю, данная команда должна вводиться перед каждым сообщением.
/STATUS [online|avail|invisible|free|dnd|notavail|away [-|StatusMessage]]: Отображает или устанавливает текущий статус.
Если статус не задан - отображается текущий статус.
Если статус задан, он будет задан согласно списку переменных в файле конфигурации.
Если указанного статуса не найдено в списке переменных, устанавливается текущий статус.
Если "StatusMessage" задан как "-", текущий статус очищается.
/STATUS_TO jid online|avail|invisible|free|dnd|notavail|away [StatusMessage]: Отправляет запрос на статус определенному пользователю.
Если "jid" указан как "." используется текущий пользователь.
Замечание: статус будет изменен следующей командой "/status". Если Вы пользуетесь функцией auto-away (автоматическая смена статуса), статус будет изменен также.
Замечание: "jid" может быть задан в виде записи user@server/resource

ФАЙЛ КОНФИГУРАЦИИ
~~~~~~~~~~~~~~~~~
Смотрите имеющийся пример файла конфигурации, он хорошо документирован.

ФАЙЛЫ
~~~~~
Следующие файлы используются mcabber`ом(1):

$HOME/.mcabber/mcabberrc Файл конфигурации по умолчанию
$HOME/.mcabberrc Файл конфигурации, используемые если не найдено ничего другого
$HOME/.mcabber/histo/ Каталог, в которой по умолчанию сохраняются файлы истории переписки (если ведение истории включено)

BUGS
~~~~
Обязательно. Сообщите мне, если найдете!

АВТОР
~~~~~

Программа написана Mikael BERTHE.
Первоначально основано на Cabber, обращайтесь к файлу AUTHOR для дополнительной информации.

Перевел L. Artyom [aka] dive.

RESOURCES
~~~~~~~~~
Главная страничка проекта

COPYING
~~~~~~~

Free use of this software is granted under the terms of the GNU General Public License (GPL).

Version 0.9.1
Last updated 12-Feb-2007 11:19:42 CEST

man iptables (rus)

Admin — Fri, 30 Apr 2010 18:05:32 +0000

Содержание

ИМЯ
ОБЗОР
ОПИСАНИЕ
ЦЕЛИ
ТАБЛИЦЫ
ОПЦИИ
КОМАНДЫ
ПАРАМЕТРЫ
ПРОЧИЕ ОПЦИИ
РАСШИРЕНИЯ МЕХАНИЗМА ТЕСТИРОВАНИЯ

РАСШИРЕНИЯ МЕХАНИЗМА ОБРАБОТКИ

ДИАГНОСТИКА
ОШИБКИ
СОВМЕСТИМОСТЬ С IPCHAINS
СМ. ТАКЖЕ
АВТОРЫ
ПЕРЕВОД

ИМЯ

iptables - инструмент администрирования фильтра пакетов IPv4 и NAT

ОБЗОР

iptables [-t таблица] -[AD] цепочка описание-правил [опции]
iptables [-t таблица] -I цепочка [номер-правила] описание-правил [опции]
iptables [-t таблица] -R цепочка номер-правила описание-правил [опции]
iptables [-t таблица] -D цепочка номер-правила [опции]
iptables [-t таблица] -[LFZ] [цепочка] [опции]
iptables [-t таблица] -N цепочка
iptables [-t таблица] -X [цепочка]
iptables [-t таблица] -P цепочка цель [опции]
iptables [-t таблица] -E старое-имя-цепочки новое-имя-цепочки

ОПИСАНИЕ

Iptables используется для установки, настройки и просмотра таблиц правил фильтрации IP-пакетов в ядре Linux.

Каждая таблица содержит несколько предопределённых цепочек и может содержать цепочки, определённые пользователем. Каждая цепочка - это список правил, которые могут воздействовать на множество пакетов. Каждое правило определяет, какие действие произвести с пакетами, на которые оно действует. Эти действия называются целью, целью может быть и переход на другую (определённую пользователем) цепочку в этой же таблице.

ЦЕЛИ

Правило брандмауэра (межсетевого экрана) определяет критерии для пакета и цели. Если пакет не попадает под действие правила, проверяется следующее правило в цепочке; если попадает - проверяется правило, указанное в цели, которая может быть именем новой цепочки или одно из специальных целей: ACCEPT, DROP, QUEUE или RETURN

ACCEPT принять (пропустить далее) пакет DROP проигнорировать (отбросить) пакет. QUEUE передать пакет в адресное пространство пользователя (получение пакета пользовательским процессом зависит от обработчика очереди; в ядрах 2.4.x и 2.6.x до 2.6.13 использовался обработчик ip_queue; в ядрах начиная с 2.6.14 появился дополнительный обработчик nfnetlink_queue; в этом случае пакеты с целью QUEUE отправляются очереди номер 0; см. также цель NFQUEUE ниже по тексту). RETURN остановить применение правил этой цепочки и передать пакет следующему правилу предыдущей (вызывающей) цепочки. Если достигается конец встроенной (предопределённой) цепочки или в ней к пакету применяется правило с целью RETURN, то окончательное действие над пакетом (цель) определяется стратегией (политикой) цепочки.

ТАБЛИЦЫ

Существует три независимых таблицы (какие именно таблицы присутствуют в данный момент -- зависит от конфигурации ядра и наличия его модулей).

-t, --table таблица

Задаёт таблицу, к которой будет применена команда. Если ядро скомпилировано с автоматической загрузкой модулей, то при необходимости будет загружен модуль, соответствующий таблице. Итак, таблицы:

filter:

Таблица используемая по-умолчанию (если опция -t не задана). Эта таблица содержит предопределённые цепочки INPUT (для входящих пакетов - направленных в локальные сокеты), FORWARD (для проходящих пакетов) и OUTPUT (для исходящих пакетов - сгенерированных в локальной системе).

nat:

Эта таблица используется, когда встречается пакет, устанавливающий новое соединение. Она содержит три предопределённых цепочки: PREROUTING (для изменения входящих пакетов), OUTPUT (для изменения локально сгенерированных пакетов перед их отправлением) и POSTROUTING (для изменения всех исходящих пакетов).

mangle:

Эта таблица используется для специальных изменений пакетов. Она содержала две предопределённые цепочки в ядрах до версии 2.4.17: PREROUTING (для изменения входящих пакетов до их перенаправления-маршрутизации) и OUTPUT (для изменения локально сгенерированных пакетов перед их маршрутизацией). Начиная с ядер версии 2.4.18, включены ещё три другие предопределённые цепочки: INPUT (для изменения входящих пакетов), FORWARD (для изменения проходящих пакетов) и POSTROUTING (для изменения исходящих пакетов).

raw:

Используется преимущественно для создания исключений в слежении за соединениями совместно с целью NOTRACK. Для неё в netfilter сделаны специальные вставки, имеющие высший приоритет, и поэтому вызываемые до ip_conntrack и всех других таблиц. В таблице имеются следующие предопределённые цепочки: PREROUTING (для пакетов приходящих из сетевых интерфейсов) OUTPUT (для пакетов генерируемых локальными процессами)

ОПЦИИ

Опции iptables могут быть разделены на несколько групп.

КОМАНДЫ

Эти опции определяют действие, выполняемое в данном сеансе работы программы. В командной строке может быть указана только одна из этих опций, если противоположное явно не указано в описании. Длинные команды можно сокращать до первых букв, но их должно быть достаточно, чтобы программа могла однозначно идентифицировать команду.

-A, --append цепочка определение-правила

Добавить одно или несколько правил в конец указанной цепочки. Если имя источника и/или стока (назначения) соответствует нескольким адресам, правило будет добавлено для всех возможных комбинаций адресов.

-D, --delete цепочка определение-правила
-D, --delete цепочка номер-правила

Удалить одно или несколько правил из указанной цепочки. Существует две версии этой команды: правило может быть указано через его номер в цепочке (счёт первого правила начинается с 1) или через соответствие определения правила.

-I, --insert цепочка [номер-правила]

определение-правила" В указанной цепочке вставить одно или более правил в позицию заданную номером. Так, если указан номер 1, правило или правила будут вставлены в начало цепочки. Это подразумеваемая позиция, если номер не указан.

-R, --replace цепочка номер-правила определение-правила

Заменить правило в указанной цепочке. Если имена источника и/или стока соответствуют нескольким адресам, команда не будет выполнена с сообщением об ошибке. Правила нумеруются с 1.

-L, --list [цепочка]

Показать все правила в выбранной цепочке. Если цепочка не указана, то команда применяется ко всем цепочкам. Как и всякая другая команда iptables, она воздействует на указанную таблицу (filter, если таблица не указана), к примеру следующая команда выводит список правил NAT:

 iptables -t nat -n -L

Обратите внимание на опцию -n которая часто используется для отключения (медленного) определения имён DNS. Также можно указать опцию -Z -Z (zero), в этом случае автоматически произойдёт перечисление правил цепочки и обнуление её счётчиков. Вид результата зависит от других аргументов. Самый детальный результат может быть получен так:

 iptables -L -v

-F, --flush [цепочка]

Сбросить выбранную цепочку (все цепочки в таблице, если ни одна не указана). Это эквивалентно удалению по одному всех правил.

-Z, --zero [цепочка]

Обнулить счётчики количества пакетов и байтов во всех или указанной цепочке. Можно также указать -L, --list чтобы отобразить значения счётчиков непосредственно перед их обнулением (см. выше).

-N, --new-chain цепочка

Создать новую, определённую пользователем цепочку с заданным именем. В момент создания цепочки не должно быть уже существующих целей с указанным именем.

-X, --delete-chain [цепочка]

Удалить цепочку, определённую пользователем. При этом не должно быть ссылок на удаляемую цепочку. Если такие ссылки есть, необходимо сначала удалить или изменить правила, ссылающиеся на удаляемую цепочку. Если цепочка не указана, из таблицы будут удалены все цепочки кроме встроенных.

-P, --policy цепочка цель

Определить стратегию для цепочки. Допустимые цели описаны в разделе ЦЕЛИ настоящего документа. Стратегия может быть задана только для встроенных цепочек и не может быть задана для цепочек определённых пользователем.

-E, --rename-chain старое-имя новое-имя

Переименовать цепочку, определённую пользователем. Эта команда не изменяет структуру таблицы и используется только в косметических целях.

-h

Подсказка. Выдаёт очень короткое описание синтаксиса команд.

ПАРАМЕТРЫ

Следующие параметры предназначены для формирования правил (используются в командах add, delete, insert, replace и append).

-p, --protocol [!] протокол

Сетевой протокол применяемого правила или проверяемого пакета. Допустимые значения: tcp, udp, icmp, all. Также можно указывать в виде числа (соответствующего одному из перечисленных ил иному протоколу). Названия протоколов также можно брать из файла /etc/protocols. Знак "!" перед названием протокола инвертирует результат теста. Число 0 эквивалентно all. Значение all соответствует всем протоколами и используется если данный параметр опущен.

-s, --source [!] адрес[/маска]

Адрес источника. Адресом может быть сетевое имя, имя хоста (не рекомендуем указывать имена хостов, разрешаемые через запросы к удалённым DNS), диапазон IP-адресов (с маской через слэш) или одиночный IP-адрес. Маской может быть сетевая маска или число, соответствующее количеству определяющих разрядов в сетевой маске. Например, маска 24 эквивалентна 255.255.255.0. Знак "!" перед спецификацией адреса инвертирует результат теста. Опция --src является псевдонимом данного параметра.

-d, --destination [!] адрес[/маска]

Адрес цели. Синтаксис аналогичен синтаксису параметра -s Опция --dst является псевдонимом данного параметра.

-j, --jump цель

Определяет цель правила; т.е., что делать, когда пакет попадает под условия правила. Целью может быть цепочка, определённая пользователем (отличная от цепочки правила), одна из встроенных целей, определяющая окончательное действие над пакетом, или расширение (см. раздел РАСШИРЕНИЯ далее по тексту). Если эта опция не задана в правиле (и ключ -g также не использован), то правило не будет применяться, но счётчик количества применений правила будет увеличен.

-g, --goto цепочка

Продолжить обработку в цепочке, определённой пользователем. В отличие от опции --jump, после возврата из вызванной цепочки, применение правил будет продолжено не в текущей цепочке, а в той цепочке, которая вызвала текущую через --jump.

-i, --in-interface [!] имя

Имя интерфейса, через который должен быть получен обрабатываемый пакет (только для пакетов входящих в цепочки INPUT, FORWARD и PREROUTING ). Использование аргумента "!" перед именем интерфейса инвертирует результат теста. Если имя интерфейса оканчивается на "+", то это означает любой интерфейс, имя которого начинается с указанного имени. Если эта опция опущена, при обработке пакета интерфейс, с которого он был получен, не учитывается.

-o, --out-interface [!] имя

Имя интерфейса, через который отправляется обрабатываемый пакет (только для пакетов входящих в цепочки FORWARD, OUTPUT и POSTROUTING ). Использование аргумента "!" перед именем интерфейса инвертирует результат теста. Если имя интерфейса оканчивается на "+", то это означает любой интерфейс, имя которого начинается с указанного имени. Если эта опция опущена, при обработке пакета интерфейс, с которого он был получен, не учитывается.

[!] -f, --fragment

Означает, что это правило будет применяться ко второму и последующим фрагментам фрагментированного пакета. Так как у фрагмента невозможно определить номер порта источника или цели, равно как и тип ICMP, такие пакеты не обрабатываются правилами, содержащими номера портов или тип ICMP. Если перед флагом -f указан "!", то правило будет применяться только к первому фрагменту или к нефрагментированному пакету.

-c, --set-counters число-пакетов число-байт

Позволяет инициализировать в правиле счётчики пакетов и байтов (при выполнении операций INSERT, APPEND, REPLACE ).

ПРОЧИЕ ОПЦИИ

Имеются следующие дополнительные опции:

-v, --verbose

Увеличить подробность сообщений. При указании её с командой list будет выводиться имя интерфейса, параметры правил и маски TOS. Также выводятся счётчики ("K", "M", "G" соответствуют множителям 1000, 1 000 000 и 1 000 000 000; см. -x ). Если ключ используется с командами --append, --insert, --delete или --replace, то будет выведен подробный отчёт о произведенной операции.

-n, --numeric

Выводить IP-адреса и номера портов в числовом виде предотвращая попытки преобразовать их в символические имена.

-x, --exact

Для всех чисел в выходных данных выводить их точные значения без округления и без использования множителей K, M, G. Этот ключ используется только с командой -L и не применим с другими командами.

--line-numbers

Режим вывода номеров строк при отображении списка правил командой --list. Номер строки соответствует позиции правила в цепочке.

--modprobe=команда

Команда загрузки модулей ядра (при добавлении правил в цепочку). Может использоваться в случае, когда модули ядра находится вне стандартного пути поиска.

РАСШИРЕНИЯ МЕХАНИЗМА ТЕСТИРОВАНИЯ

Возможности тестирования пакетов расширяются через модули. Последние загружаются либо автоматически при указании -p / --protocol , либо явно при указании имени модуля через -m / --match . После загрузки модуля становятся доступными дополнительные опции командной строки, в зависимости от модуля. Справку по новым ключам можно получить с помощью ключа -h / --help . Допустимо указание нескольких модулей. Результаты тестирования, выдаваемые модулем, обычно можно инвертировать указав ! перед его именем. В базовую поставку входят следующие модули.

account

Вести учёт трафика для всех хостов в определённой подсети (по маске).

Возможности:

- подробная (один счётчик на протокол - TCP/UDP/IMCP/Прочие) и краткая статистика

- одно правило iptables для всех хостов в определённой подсети (по маске).

- загрузка/сохранение счётчиков (посредством записей procfs)

--aaddr сеть/маска

Подсеть, для которой следует вести статистику.

--aname имя

Имя таблицы для данной статистики. По умолчанию - DEFAULT.

--ashort

Не разделять учёт по протоколам. Пример использования:Вести учёт трафика из/в сеть 192.168.0.0/24 в таблице mynetwork:

# iptables -A FORWARD -m account --aname mynetwork --aaddr 192.168.0.0/24

Вести учёт трафика WWW-сервера из/в сеть 192.168.0.0/24 в таблице mywwwserver:

# iptables -A INPUT -p tcp --dport 80
-m account --aname mywwwserver --aaddr 192.168.0.0/24 --ashort

# iptables -A OUTPUT -p tcp --sport 80
-m account --aname mywwwserver --aaddr 192.168.0.0/24 --ashort

Снять показания счётчиков:

# cat /proc/net/ipt_account/mynetwork # cat /proc/net/ipt_account/mywwwserver

Установить показания счётчиков:

# echo "ip = 192.168.0.1 packets_src = 0" > /proc/net/ipt_account/mywwserver

Веб-страница:
http://www.barbara.eu.org/~quaker/ipt_account/

addrtype

Данный модуль тестирует пакеты по типу адреса. Точное определение конкретного "типа адреса" зависит от соответствующего протокола третьего уровня.

Имеются следующие типы адресов:
UNSPEC

неопределённый адрес (0.0.0.0) UNICAST адрес для конкретного устройства LOCAL локальный адрес BROADCAST широковещательный адрес ANYCAST адрес для любого устройства MULTICAST адрес для нескольких устройств BLACKHOLE адрес "в никуда" UNREACHABLE недоступный адрес PROHIBIT запрещённый адрес THROW не описан NAT не описан XRESOLVE не описан

--src-type тип

Исходный адрес должен иметь указанный тип

--dst-type тип

Целевой адрес должен иметь указанный тип

ah

Этот модуль тестирует по последовательным периферийным интерфейсам (SPI) в аутентификационном заголовке пакетов IPsec.

--ahspi [!] spi[:spi]

childlevel

Экспериментальный модуль. Он тестирует по факту принадлежности пакета к основному соединению непосредственно или через дочерние соединения. Например, большинство пакетов принадлежат к основному соединению непосредственно (уровень 0). Данные FTP - дочернему (уровень 1). Уровень может быть сколь угодно большим.

--childlevel [!] уровень

comment

Позволяет добавлять комментарии (до 256 символов) в правила.

--comment комментарий
Пример:

iptables -A INPUT -s 192.168.0.0/16 -m comment --comment "A privatized IP block"

condition

Результат теста совпадает со значением в соответствующем файле /proc - 0 или 1.

--condition [!] имя-файла

Выдать результат теста из /proc/net/ipt_condition/имя-файла

connbytes

Результат теста будет зависеть от количества байт или пакетов, переданных на данный момент (в обоих или одном из направлений), или по среднему числу байт, приходящихся на пакет.

Под каждый из счётчиков отводится 64 бита, поэтому их переполнение практически невозможно.

Обычно данный модуль используется для уменьшения приоритета долгих загрузок.

Статистику по трафику соединений можно просмотреть в файле /proc/net/ip_conntrack, для обращения к ней воспользуйтесь ctnetlink

[!] --connbytes мин:[макс]

Результат теста будет положительным для пакетов соединения через которое принято пакетов/байтов больше первого числа, и меньше второго (если оно указано). Также первое число может выступать нижней границей для среднего размера пакета. "!" инвертирует результат.

--connbytes-dir [original|reply|both]

Какие пакеты учитывать (свои, ответные или все)

--connbytes-mode [packets|bytes|avgpkt]

Отслеживаемый показатель - число пакетов, байтов или средний размер всех полученных пакетов (в байтах). Если в предыдущей опции указано both, а в данной - avgpkt, и данные передаются (преимущественно) в одном направлении (например, HTTP), средний размер пакета будет приблизительно в два раза меньше размера пакетов несущих данные.

Пример:

iptables .. -m connbytes --connbytes 10000:100000 --connbytes-dir both --connbytes-mode bytes ...

connlimit

Позволяет ограничить число одновременных соединений TCP для одного IP-адреса (клиента) либо блока адресов.

[!] --connlimit-above n

Выдавать положительный результат если число tcp-соединений (не) больше n

--connlimit-mask биты

Группировать хосты по указанной маске Примеры:

# допускать не больше 2 соединений telnet с одного хоста

iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# то же самое:

iptables -A INPUT -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# ограничить число одновременных запросов http до 16 на подсеть класса C (24

первых разряда) iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT

connmark

Этот модуль позволяет использовать в правилах проверку значений маркеров соединения, установленных с помощью операции (цели) CONNMARK (см. ниже).

--mark маркер[/маска]

Значение маркера соединения, при котором выполняется условие. Если указана маска, она накладывается (операция поразрядного И) на значение маркера соединения перед проверкой условия.

connrate

Выдаёт результат теста на основе текущей скорости передачи данных по соединению.

--connrate [!] [мин]:[макс]

Выдавать положительный результат если текущая скорость находится в указанных рамках. Указание "!" перед аргументом обращает смысл последнего.

conntrack

Этот модуль при использовании совместно с компонентом мониторинга соединений предоставляет более широкие сведения о состоянии соединения, чем "state". Модуль доступен если сборка iptables проводилась с ядром, имеющим возможности требуемые для модуля.

--ctstate состояния

Список состояний соединения через запятую, при которых результат будет положительным. Возможные состояния: INVALID - пакет не связан с каким-либо известным соединением, ESTABLISHED - пакет связан с соединением, по которому уже проходили пакеты в обоих направлениях, NEW - пакет инициирует новое соединение, либо связан с соединением, по которому ещё не проходили пакеты в обоих направлениях , RELATED - пакет инициирует новое соединение, но также связан с уже существующим соединением, например при передаче данных по FTP или сообщении об ошибке ICMP, SNAT - виртуальное состояние, положительный результат выдаётся если исходный адрес источника отличен от адреса, который должен получить ответ, DNAT - виртуальное состояние, положительный результат выдаётся если исходный адрес получателя отличен от адреса отправителя ответа,

--ctproto протокол

Проверяет принадлежность пакета к протоколу, указанному номером или символьным именем.

--ctorigsrc [!] адрес[/маска]

Проверяет соответствие исходного (нетранслированного) адреса отправителя указанному адресу или диапазону адресов.

--ctorigdst [!] адрес[/маска]

Проверяет соответствие исходного (нетранслированного) адреса получателя указанному адресу или диапазону адресов.

--ctreplsrc [!] адрес[/маска]

Проверяет соответствие адреса отправителя отклика указанному адресу или диапазону адресов.

--ctrepldst [!] fIадрес[/маска]

Проверяет соответствие адреса получателя отклика указанному адресу или диапазону адресов.

--ctstatus [NONE|EXPECTED|SEEN_REPLY|ASSURED][,...]

Проверяет соответствие пакета одному или группе внутренних состояний conntrack.

--ctexpire time[:time]

Проверяет соответствие оставшегося для пакета времени жизни заданному значению или диапазону.

dccp

--source-port,--sport [!] порт[:порт]
--destination-port,--dport [!] порт[:порт]
--dccp-types [!] типы-пакетов

Тип пакета DCCP должен быть одним из перечисленных (через запятую) Возможные типы: REQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC SYNCACK INVALID" .

--dccp-option [!] число

Для положительного результата должна быть установлена опция DCP.

dscp

Этот модуль проверяет 6-разрядное значение DSCP в поле TOS заголовка IP. В соответствии с RFC 247413 значение DSCP заменяет собой значение TOS.

--dscp значение

Значение в десятичной или шестнадцатеричной форме (0-32).

--dscp-class класс-DiffServ

Класс DiffServ. Возможные значения: BE, EF, AFxx, CSx.

dstlimit

Позволяет ограничивать скорость обмена пакетами в секунду (pps) для одного целевого IP/порта.

ЭТОТ МОДУЛЬ УСТАРЕЛ. ИСПОЛЬЗУЙТЕ МОДУЛЬ "hashlimit"
--dstlimit скорость

Ограничение на среднюю скорость обмена пакетами. Допустимо дополнение в конце /sec /minute /hour /day.

--dstlimit-mode режим

Режим ограничения: это один из наборов dstip + dstip-dstport , srcip-dstip , либо srcipdstip-dstport .

--dstlimit-name имя

Имя файла /proc/net/ipt_dstlimit/*

[--dstlimit-burst burst]

Число пакетов в пике, для которых будет результат теста будет положительным. Значение по умолчанию: 5

[--dstlimit-htable-size размер]

Число наборов (buckets) в хэш-таблице

[--dstlimit-htable-max максимум]

Ограничение на число элементов в хэш-таблице

[--dstlimit-htable-gcinterval интервал]

Интервал между сбором мусора в хэш-таблице (в мс). Значение по умолчанию - 1000 (1 секунда).

[--dstlimit-htable-expire время

Время после которого неиспользуемые элементы подлежат удалению, в мс. Значение по умолчанию - 10000 (10 секунд).

ecn

Используется для проверки соответствия значения поля ECN в заголовках IPv4 и TCP. ECN - это механизм явного предуведомления о перегрузке (Explicit Congestion Notification) определённый RFC3168

--ecn-tcp-cwr

Результат определяется разрядом TCP ECN CWR (Congestion Window Received).

--ecn-tcp-ece

Результат определяется разрядом TCP ECN ECE (ECN Echo).

--ecn-ip-ect num

IPv4 ECT (ECN-Capable Transport) должен быть равным указанному числу (от `0' до `3').

esp

Модуль esp служит для проверки значений SPI в заголовках ESP пакетов IPSec.

--espspi [!] spi[:spi]

fuzzy

Результат теста зависит от скорости доставки пакетов по методу FLC (Fuzzy Logic Controller): пока скорость доставки пакетов не достигает нижнего порога, условие никогда не будет выполняться; при скорости в диапазоне между нижним и верхним порогами частота выполнения условий будет расти пропорционально скорости доставки пакетов; после превышения верхнего порога скорости частота выполнения условий достигнет максимального значения.

--lower-limit скорость

Нижний порог (пакетов в секунду).

--upper-limit скорость

Верхний порог (пакетов в секунду).

hashlimit

Этот модуль добавляет новое условие проверки hashlimit, позволяющее вводить ограничения на один адрес назначения или пару "адрес-порт".

С помощью данного условия можно задавать ограничения типа

"не более 1000 пакетов в секунду для каждого хоста в сети 192.168.0.0/16"

"не более 100 пакетов в секунду для каждого сервиса на хосте 192.168.1.1" одним правилом iptables.

--hashlimit скорость

Среднее значение скорости. Параметр представляет собой целое число, определяющее максимальное количество пакетов, и суффикс, который определяет единицу времени. В качестве суффикса могут использоваться значения /second, /minute, /hour, /day. По умолчанию подразумевается число пакетов в секунду.

--hashlimit-burst число

Число пакетов в пике

--hashlimit-mode destip | destip-destport

Ограничение по адресам или портам.

--hashlimit-name foo

Имя для /proc/net/ipt_hashlimit/foo.

--hashlimit-htable-size num

Число элементов (buckets) в хэш-таблице.

--hashlimit-htable-max num

Максимальное количество записей в хэше.

--hashlimit-htable-expire num

Время (в миллисекундах) жизни записи в хэш-таблице. По умолчанию время жизни составляет 10000 (10 секунд).

--hashlimit-htable-gcinterval num

Интервал "сборки мусора" в хэш-таблице.

helper

Выдаёт положительный результат для пакетов относящихся к конкретному вспомогательному компоненту conntrack.

--helper имя

Вспомогательный компонент conntrack.

Может принимать значение "ftp" для пакетов ftp-сеанса на стандартном порте. В случае нестандартных портов добавляйте их к имени: "ftp-2121".

Аналогично и для других компонентов.

icmp

Эта расширение загружается при указании `--protocol icmp'.

--icmp-type [!] тип

Тип ICMP в виде числа или имени в соответствии с

 iptables -p icmp -h

iprange

Результат теста зависит от адреса IPv4.

[!]--src-range ip-ip

Диапазон IP-адресов отправителя.

[!]--dst-range ip-ip

Диапазон IP-адресов получателя.

ipv4options

Результат теста зависит от параметров заголовка IPv4, таких как параметры маршрутизации, запись маршрута, запрос времени, оповещение маршрутизатора.

--ssrr

Должен быть установлен флаг strict source routing (маршрутизация указывается источником).

--lsrr

Должен присутствовать флаг loose source routing (свободная маршрутизация).

--no-srr

Флаг, позволяющий источнику определить режим маршрутизации, должен отсутствовать.

[!] --rr

Должен присутствовать флаг RR (route record).

[!] --ts

Должен присутствовать флаг TS (timestamp).

[!] --ra

Должен присутствовать флаг оповещения маршрутизатора (router-alert).

[!] --any-opt

Выдавать положительный результат если хотя бы один пункт из указанных выше был выполнен. Если указан !, ни одно из условий не должно выполняться.

Примеры:
$ iptables -A input -m ipv4options --rr -j DROP

отбрасывать пакеты с флагом record-route.

$ iptables -A input -m ipv4options --ts -j DROP

отбрасывать пакеты с флагом timestamp.

length

Позволяет проверять размеры пакетов (точно или по диапазону).

--length [!] размер[:размер]

limit

Этот модуль выдаёт положительный результат с фиксированной частотой. Правило использующее это расширение будет выполняться до момента достижения лимита (и наоборот, если указан "!"). Может использоваться вместе с целью LOG для получения ограниченного протоколирования.

--limit частота

Максимальная средняя частота положительных результатов. После числа можно указывать единицы: `/second', `/minute', `/hour', `/day'; значение по умолчанию - 3/hour.

--limit-burst number

Ограничение на исходное число пропускаемых пакетов: это число увеличивается на единицу каждый раз когда ограничение на частоту положительных результатов не достигается. Это происходит столько раз, сколько указано в данном параметре. Значение по умолчанию - 5.

mac

--mac-source [!] адрес

Выполнять тестирование по MAC-адресу отправителя. Адрес должен указываться в форме XX:XX:XX:XX:XX:XX. Использование данного условия имеет смысл только при получении пакетов от устройства Ethernet, проходящих на одну из цепочек PREROUTING, FORWARD или INPUT .

mark

Тестирует по полю mark. Это специальное поле, которое существует только в области памяти ядра и связывается с конкретным пакетом. (для установки этого поля используется цель MARK , описанная ниже).

--mark число[/маска]

Пропускать пакеты с указанной отметкой (представляющей собой беззнаковое целое) Если указана маска, то перед сравнением она накладывается на указанное значение (логическое И).

mport

Модуль пропускает пакеты на заданном наборе портов (исходных или целевых). Возможно указание до 15 портов. Используется только вместе с -p tcp или -p udp.

--source-ports порт[,порт[,порт...]]

Пропускать пакеты с исходным портом равным одному из указанных. Краткая форма ключа - --sports .

--destination-ports порт[,порт[,порт...]]

Пропускать пакеты с портом назначения равным одному из указанных. Краткая форма ключа - --dports .

--ports порт[,порт[,порт...]]

Пропускать пакеты с одинаковыми исходным и портом назначения и равными одному из указанных.

multiport

Позволяет указывать в тексте правила несколько (до 15) портов и диапазонов портов. Диапазон портов (порт:порт) считается за два порта (в отношении ограничения в 15). Используется только вместе с -p tcp или -p udp.

--source-ports [!] порт[,порт[,порт:порт...]]

Пропускать пакеты с исходным портом равным одному из указанных. Краткая форма ключа - --sports .

--destination-ports [!] порт[,порт[,порт:порт...]]

Пропускать пакеты с портом назначения равным одному из указанных. Краткая форма ключа - --dports .

--ports [!] порт[,порт[,порт:порт...]]

Пропускать пакеты с одинаковыми исходным и портом назначения и равными одному из указанных.

nth

Пропускает каждый `n'-ый пакет

--every n

Пропускать каждый n-ый пакет.

[--counter номер]

Использовать внутренний счётчик с указанным номером. Значение по умолчанию - `0'.

[--start число]

Начальное значение счётчика (вместо стандартного `0'). Обычно между `0' и `n'-1.

[--packet k]

Пропускать k-ый пакет из набора n пакетов. Соответственно, значение должно быть между `0' и `n'-1.

osf

Идея фильтрации по пассивным сигнатурам ОС (passive OS fingerprint) была изначально реализована в брандмауэре pf из OpenBSD.

Оригинальная таблица сигнатур составлена Михаилом Залевски (Michal Zalewski) <lcamtuf@coredump.cx>.

Данный модуль фильтрует пакеты по данным из (первого) пакета SYN (WS, MSS, опциям и их порядку, ttl, df и т.д.), определяя ОС отправителя на основе динамической таблицы сигнатур ОС.

--log 1/0

Записывать в протокол семейства ОС даже если они не совпадают с ожидаемыми. 0 - записывать все данные; 1 - только первые.Данные записываются в syslog в таком формате:

ipt_osf: Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139

ipt_osf: Unknown: 16384:106:1:48:020405B401010402 44.33.22.11:1239 -> 11.22.33.44:80

--smart

Включить дополнительные алгоритмы определения удалённой ОС. OSF будет учитывать исходный TTL только если соединение установлено в рамках локальной сети.

--netlink

Протоколировать все события в NETLINK_NFLOG groupt 1.

--genre [!] string

Пропускать пакеты от семейства ОС. Пример:#iptables -I INPUT -j ACCEPT -p tcp -m osf --genre Linux --log 1 --smart

Обратите внимание, что указание -p tcp обязательно, поскольку проверка ведётся на уровне этого протокола.

Сигнатуры хранятся в файле /proc/sys/net/ipv4/osf. Очистить список сигнатур можно командой

echo -en FLUSH > /proc/sys/net/ipv4/osf Допустима только одна сигнатура за открытие/запись/закрытие.Список сигнатур доступен в Интернете по адресу http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os

owner

Позволяет фильтровать по параметрам "владельца" пакета. Этот критерий можно использовать только в цепочке OUTPUT , но даже в этом случае могут попадаться пакеты без владельца (например, ответы ISMP ping), и такие пакеты не будут пропускаться.

--uid-owner идентификатор-пользователя

Пропускать пакеты генерируемые процессами работающими от указанного пользователя.

--gid-owner идентификатор-группы

Пропускать пакеты генерируемые процессами работающими от пользователя входящего в указанную группу.

--pid-owner идентификатор-процесса

Пропускать пакеты генерируемые процессом с указанным идентификатором.

--sid-owner идентификатор-сеанса

Пропускать пакеты генерируемые процессами в сеансе с указанным идентификатором.

--cmd-owner имя-команды

Пропускать пакеты генерируемые процессами с указанным именем команды. (ключ поддерживается только если пакет iptables был собран с ядром, имеющим соответствующую функцию)

Примечание: фильтрация по pid, sid и команде не работает в SMP-системах

physdev

Позволяет организовывать фильтрацию по устройствам используемым для связи двух локальных сетей. Это модуль является частью инфраструктуры для IP-брандмауэра "прозрачно" связывающего сети. Имеет смысл использовать только с ядрами 2.5.44.

--physdev-in [!] имя

Порт связи сетей, через который получен пакет (только для пакетов, проходящих цепочки INPUT, FORWARD или PREROUTING ). Если имя интерфейса оканчивается на "+", то будут пропускаться пакеты со всех интерфейсов, имя которых начинается с указанной последовательности. Если пакет получен из устройства, которое не связывает локальные сети, он не будет пропущен (если только не указано "!").

--physdev-out [!] имя

Порт связи сетей, через который пакет отправляется (для пакетов, проходящих цепочки FORWARD, OUTPUT или POSTROUTING ). Если имя интерфейса оканчивается на "+", то будут пропускаться пакеты со всех интерфейсов имя которых начинается с указанной последовательности. Тестирование по порту вывода в цепочках OUTPUT nat и mangle невозможно, зато в filter OUTPUT - возможно. Если пакет отправляется не через устройство связи двух сетей, или если отправляющее устройство на данном этапе неизвестно, то такой пакет не будет пропущен (если только не указан "!").

[!] --physdev-is-in

Пропускать пакеты, полученные через интерфейс связи двух сетей.

[!] --physdev-is-out

Пропускать пакеты, отправляемые через интерфейс связи двух сетей.

[!] --physdev-is-bridged

Пропускать пакеты, для которых не выполняется маршрутизация (т.к. они проходят через "мост" между сетями) Имеет смысл только в цепочках FORWARD и POSTROUTING.

pkttype

Позволяет фильтровать пакеты по их типу на уровне канала связи.

--pkt-type [unicast|broadcast|multicast]

policy

Позволяет фильтровать пакеты по стратегии обработки пакета IPsec.

--dir in|out

Стратегия, по которой следует фильтровать: стратегии извлечения данных из сообщения или включения (инкапсуляции) оных. Вариант in допустим в цепочках PREROUTING, INPUT и FORWARD , вариант out
- в цепочках POSTROUTING, OUTPUT и FORWARD .

--pol none|ipsec

Должен ли пакет подлежать обработке IPsec.

--strict

Пропускать пакеты с хотя бы одним правилом, соответствующим заданной стратегии, или обязательно со всеми.

--reqid id

Пропускать пакеты с указанным идентификатором reqid правила стратегии. Идентификатор указывается с помощью команды setkey(8) , в качестве уровня используется unique:id .

--spi spi

Фильтровать пакеты на основе последовательного периферийного интерфейса (SPI) SA.

--proto ah|esp|ipcomp

Фильтровать пакеты на основе протокола инкапсуляции.

--mode tunnel|transport

Фильтровать пакеты на основе режима инкапсуляции.

--tunnel-src адрес[/маска]

Пропускать пакеты с исходным адресом [пункта] режима tunnel SA, входящим в указанный диапазон. Имеет смысл только при --mode tunnel.

--tunnel-dst адрес[/маска]

Пропускать пакеты с адресом назначения режима tunnel SA, входящим в указанный диапазон. Имеет смысл только при --mode tunnel.

--next

Начать следующий элемент в спецификации стратегии. Может указываться вместе с --strict

psd

Пытаться обнаружить сканирование портов TCP и UDP. Реализовано на основе scanlogd из Solar Designer.

--psd-weight-threshold порог

Общий вес (см. ниже) пакетов TCP/UDP за последнее время, приходящих от одного источника, но на разные порты, при котором можно считать, что это умышленное сканирование портов.

--psd-delay-threshold задержка

Максимальная задержка (в сотых секунды) между пакетами приходящими на различные порты от одного источника, при которой они будут считаться подпоследовательностью пакетов при сканировании.

--psd-lo-ports-weight вес

Вес пакетов, приходящих на привилегированные порты (<=1024).

--psd-hi-ports-weight weight

Вес пакетов, приходящих на непривилегированные порты.

quota

Позволяет квотировать использование сети - уменьшает счётчик байтов на единицу при обработке каждого пакета.

--quota размер

Квота в байтах. Примечание: не работает в SMP-системах.

random

Вероятностная фильтрация.

--average доля

Пропускать указанную часть пакетов (в процентах). Значение по умолчанию - 50%.

realm

Фильтровать пакеты по области маршрутизации. Последние используются в сложных конфигурациях сетей, задействующих динамические протоколы маршрутизации наподобие BGP.

--realm [!] значение[/маска]

Пропускать пакеты с указанным номером области (диапазон областей можно указывать добавлением маски). Также можно указывать области по имени, в соответствии с /etc/iproute2/rt_realms (в этом случае указание маски недопустимо).

recent

Позволяет динамически составлять списки IP-адресов и выполнять фильтрацию по ним различными способами.

Например, можно создать список `badguy', соответствующий компьютерам,
с которых поступали запросы на порт 139, и затем отбрасывать все их любые последующие запросы.

--name имя

Список, с которым следует работать. Значение по умолчанию - 'DEFAULT'.

[!] --set

Добавить адрес источника пакета в список. Если адрес уже в списке, он будет обновлён. Этот "критерий" всегда возвращает положительный результат (либо всегда отрицательный - если указано "!").

[!] --rcheck

Проверить, имеется ли адрес источника пакета в списке.

[!] --update

Как и --rcheck, если адрес будет найден, запись о времени последнего его появления будет обновлена.

[!] --remove

Возвращает положительный результат, если адрес источника пакета найден в списке (в этом случае адрес также удаляется из него).

[!] --seconds интервал

Используется с --rcheck или --update. Учитывать в списке только адреса, которые появлялись в последние n секунд.

[!] --hitcount количество

Используется с --rcheck или --update. Учитывать в списке только адреса, которые появлялись указанное количество раз (или больше). Для ещё большего сужения критерия воспользуйтесь также --seconds.

--rttl

Используется с --rcheck или --update. Пропускать пакеты, только если их источник в списке, и их TTL совпадает с TTL пакета, который привёл к добавлению источника в список (--set). Может быть полезно для предотвращения DoS-атак посредством подмены исходного адреса (т.е. когда модуль будет блокировать "невиновные" адреса). Примеры:

# iptables -A FORWARD -m recent --name badguy --rcheck --seconds 60 -j DROP# iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name badguy --set -j DROP Дополнительные примеры приведены на сайте http://snowman.net/projects/ipt_recent/.

Таблицы адресов хранятся в /proc/net/ipt_recent/.

Таким образом, можно просмотреть текущее содержимое списков адресов, а также модифицировать их:

echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT

для добавления адреса в список по умолчанию

echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT

для удаления адреса из списка по умолчанию

echo clear > /proc/net/ipt_recent/DEFAULT

для очистки списка по умолчанию. Параметры модуля (со значениями по умолчанию):

ip_list_tot=100

Ограничение на количество адресов в одной таблице

ip_pkt_list_tot=20

Ограничение на количество пакетов для одного адреса, сведения о которых запоминаются

ip_list_hash_size=0

Размер хэш-таблицы. 0 - вычислять размер на основе ip_list_tot, при значениях по умолчанию это 512

ip_list_perms=0644

Права доступа для файлов /proc/net/ipt_recent/*

debug=0

Установите в 1 для получения отладочной информации

sctp

--source-port,--sport [!] порт[:порт]
--destination-port,--dport [!] порт[:порт]
--chunk-types [!] all|any|only

тип-части[:флаги] [...] Если буква отвечающая флагу указана в верхнем регистре, то положительный результат будет выдаваться если он установлен, и наоборот.Типы частей: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE ASCONF ASCONF_ACK

тип части доступные флаги
DATA U B E u b e
ABORT T t
SHUTDOWN_COMPLETE T t

(нижний регистр = флаг должен быть "выключен", верхний - "включен") Примеры:

iptables -A INPUT -p sctp --dport 80 -j DROP

iptables -A INPUT -p sctp --chunk-types any DATA,INIT -j DROP

iptables -A INPUT -p sctp --chunk-types any DATA:Be -j ACCEPT

set

Фильтрует по принадлежности IP множествам определяемым с помощью ipset(8).

--set имя-множества флаг[,флаг...]

где флаги - src и/или dst. Множеств может быть не больше шести. Например, условию

 iptables -A FORWARD -m set --set test src,dst

будут соответствовать пакеты, адрес или порт (в зависимости от множества) источника которых имеется во множестве.Если адрес/порт имеется в множестве, и для соответствующего элемента множества (либо для всего множества) определён адрес назначения (т.е. адрес), то для получения положительного результата необходимо также чтобы совпадали адреса назначения.

state

Используется с компонентом мониторинга соединений, и позволяет использовать состояние трассировки пакета.

--state состояния

Список фильтруемых состояний через запятую. Возможные значения: INVALID - соединение, с которым связан пакет, определить не удалось, например, из-за нехватки памяти, или пакет является сообщением об ошибке ICMP. ESTABLISHED - пакет принадлежит уже установленному соединению, через которое пакеты идут в обоих направлениях. NEW - пакет открывает новое соединение или принадлежит однонаправленному (до данного момента времени) потоку. RELATED - пакет принадлежит уже существующему соединению, но при этом он открывает новое соединение. Примером тому может служить передача данных по FTP или выдача сообщения ICMP об ошибке создания соединения, которое должно было быть связано с существующим TCP или UDP соединением.

string

Фильтровать по содержимому пакета. Для работы требуется ядро linux >= 2.6.14.

--algo bm|kmp

Стратегия сравнения/поиска. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

--from позиция

Позиция в данных с которой следует начинать поиск. Значение по умолчанию - 0.

--to позиция

Позиция в данных, при достижении которой следует прекращать поиск. Значение по умолчанию - размер пакета.

--string последовательность

Последовательность символов, которую следует искать в пакете. --hex-string pattern Последовательность символов, которую следует искать в пакете (в шестнадцатеричном представлении).

tcp

Это расширение загружается при указании `--protocol tcp'. Становятся доступными следующие ключи:

--source-port [!] порт[:порт]

Исходный порт (или диапазон портов), с которого должен быть отправлен пакет для прохождения теста. В качестве значения может указываться номер порта или название сетевой службы. Диапазон (включительно) портов указывается в формате первый-порт:последний-порт. Если опускается первый порт, т.е. когда критерий записывается как --source-port :80, то в качестве начала диапазона принимается число 0. Если опускается максимальный порт, т.е. когда критерий записывается как --source-port 22:, то в качестве конца диапазона принимается число 65535. Если первый порт больше последнего, они меняются местами. Краткая форма ключа - --sport .

--destination-port [!] порт[:порт]

Порт (или диапазон портов) назначения. Краткая форма ключа - --dport .

--tcp-flags [!] флаги comp

Пропускать пакеты с указанным набором флагов TCP. Первый аргумент - флаги (через запятую), которые нужно проверять, второй - те флаги, которые должны быть установлены. Возможные флаги: SYN ACK FIN RST URG PSH ALL NONE. Так, условию

 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN

будут соответствовать пакеты с установленным флагом SYN, и снятыми флагами ACK, FIN, RST.

[!] --syn

Пропускать пакеты TCP с установленным флагом SYN и снятыми ACK,RST,FIN. Такие пакеты используются для запроса создания TCP-соединения; очевидно, блокирование таких пакетов приведёт к невозможности создания входящих TCP-соединений. Эквивалентно --tcp-flags SYN,RST,ACK,FIN SYN. При указании "!" перед "--syn", смысл ключа инвертируется.

--tcp-option [!] номер-опции

Пропускать пакеты с установленной опцией TCP.

--mss число[:число]

Пропускать пакеты TCP SYN и SYN/ACK с указанным значением MSS (или значением входящим в диапазон), что ограничивает размер пакетов для соединения.

tcpmss

Фильтрует по полю MSS (maximum segment size - максимальный размер сегмента) заголовка TCP. Возможно применять только к пакетам TCP SYN и SYN/ACK, т.к. MSS определяется в рамках процедуры согласования (handshake) в начале соединения.

[!] --mss число[:число]

Пропускать пакеты с TCP MSS в указанном диапазоне.

time

Фильтрует пакеты по времени/дате прибытия. Все ключи являются необязательными.

--timestart чч:мм

Пропускать только при времени прибытия после указанного (включительно). Значение по умолчанию - 00:00.

--timestop чч:мм

Пропускать только при времени прибытия до указанного (включительно). Значение по умолчанию - 23:59.

--days дни-недели

Пропускать пакеты в указанные дни недели (Mon,Tue,Wed,Thu,Fri,Sat,Sun); по умолчанию - в любой день)

--datestart ГГГГ[:ММ[:ДД[:чч[:мм[:сс]]]]]

Пропускать только при дате прибытия после указанной (включительно). Значение по умолчанию - 1970.

--datestop date

Пропускать только при дате прибытия до указанной (включительно). Значение по умолчанию - 2037.

tos

Фильтрует по разрядам байта TOS (Type Of Service - говоря вообще, приоритет пакета) в заголовке IP-пакета.

--tos tos

Стандартное имя (список можно вывести командой

iptables -m tos -h
) или число.

ttl

Фильтрует по полю заголовка IP, определяющему время жизни пакета.

--ttl-eq ttl

Значение TTL должно быть равно указанному.

--ttl-gt ttl

Значение TTL должно быть больше указанного.

--ttl-lt ttl

Значение TTL должно быть меньше указанного.

u32

Позволяет извлекать из пакета данные размером до 4 байт, применять к ним операции логического И, сдвига, и проверять принадлежность получающихся данных определённым диапазонам.

Более подробное описание и примеры доступны в исходном коде ядра.

udp

Это расширение загружается при указании `--protocol udp'. Доступны следующие ключи:

--source-port [!] порт[:порт]

Диапазон, в который должен входить исходный порт. См. описание ключа --source-port расширения TCP.

--destination-port [!] port[:port]

Диапазон, в который должен входить целевой порт. См. описание ключа --destination-port расширения TCP.

unclean

Фильтрует предположительно ошибочные и бесполезные пакеты. Это экспериментальный модуль.

РАСШИРЕНИЯ МЕХАНИЗМА ОБРАБОТКИ

В iptables можно добавлять дополнительные цели: Далее описаны модули включенные в стандартную поставку.

BALANCE

Позволяет равномерно распределять соединения между компьютерами в локальной сети в заданном диапазоне (целевых) адресов.

--to-destination ip1-ip2

Диапазон адресов.

CLASSIFY

Устанавливает значение skb->priority (т.е. классифицировать пакет по критерию CBQ).

--set-class главное-число:дополнительное-число

Идентификатор класса

CLUSTERIP

Позволяет реализовывать простые конфигурации кластеров с общим IP и MAC без явного использования балансировщика (см. выше). Соединения распределяются статически.

--new

Добавить новый кластерный IP. Этот ключ всегда необходимо использовать в первом правиле для данного кластерного IP.

--hashmode режим

Режим хэширования: sourceip, sourceip-sourceport, sourceip-sourceport-destport

--clustermac mac

MAC кластерного IP. Это должен быть адрес для доставки подмножеству абонентов на уровне канала связи.

--total-nodes число

Общее число узлов в кластере.

--local-node число

Число локальных узлов в кластере.

--hash-init случайное-число

Начальное число для инициализации хэша.

CONNMARK

Помечает соединения.

--set-mark метка[/маска]

Метка соединения. Если указана маска, изменяются только разряды которые равны единице в маске.

--save-mark [--mask маска]

Перенести метку пакета в соединение. Если указана маска, копируются только разряды, которые равны единице в маске.

--restore-mark [--mask маска]

Перенести метку соединения в пакет. Если указана маска, копируются только разряды, которые равны единице в маске. Допустимо только в таблице mangle .

CONNSECMARK

Переносит метки механизма защиты из пакетов в соединения (если они ещё не имеют меток), и из соединений обратно в пакеты (также если они ещё не имеют меток). Обычно используется совместно с SECMARK и только в таблице mangle .

--save

Если пакет имеет метку, а соединение нет, то перенести её в соединение.

--restore

Если соединение имеет метку, а пакет нет, то перенести её в соединение.

DNAT

Применяется только в таблице nat и цепочках PREROUTING , OUTPUT и вызываемых из них цепочках определяемых пользователем. DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета. Если пакет подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все последующие пакеты из этого же потока, будут подвергнуты преобразованию адреса назначения и переданы на требуемое устройство, хост или сеть. Доступен один ключ:

--to-destination

"[ip-адрес][-ip-адрес][:порт-порт]" Определяет новый целевой IP-адрес, либо диапазон (включительно) IP-адресов и (необязательно) диапазон портов (последнее допустимо только при указании -p tcp или -p udp). Если диапазон портов не указывается, порты не будут меняться. То же самое относится IP-адресов.

При использовании ядра до 2.6.10 допустимо указание нескольких ключей --to-destination. В этом случае производится простая кольцевая балансировка. Ядра (>= 2.6.11-rc1) не позволяют распределять нагрузку по нескольким диапазонам IP-адресов.

DSCP

Позволяет изменять разряды DSCP в заголовке TOS пакетов IPv4. Может использоваться только в mangle.

--set-dscp значение

Устанавливать поле DSCP в указанное значение (десятичное или шестнадцатеричное)

--set-dscp-class класс

Устанавливать класс DiffServ в поле DSCP.

ECN

Позволяет закрывать известные "дыры" ECN. Используется в mangle.

--ecn-tcp-remove

Удалять все разряды ECN из заголовка TCP. Используется вместе с -p tcp.

IPMARK

Отмечает принимаемые пакеты на основе IP-адресов, связанных с ними. Позволяет заменить несколько записей mangle/mark одной в случае использования классификатора брандмауэра.

Используется в mangle, PREROUTING, POSTROUTING и FORWARD.

--addr src/dst

IP-адрес, с которым следует работать: исходный или конечный.

--and-mask маска

Применять логическое И маски к IP-адресу.

--or-mask mask

Применять логическое ИЛИ маски к IP-адресу. Порядок байт IP-адрес обращается для соответствия представлениям человека: 192.168.0.1 - 0xc0a80001. Сначала выполняется операция И, затем ИЛИ.Примеры:

Создадим очередь для каждого пользователя, номер очереди будет соответствовать IP-адресу: все пакеты приходящие от/отправляемые в 192.168.5.2 будут перенаправляться в очередь 1:0502, 192.168.5.12 -> 1:050c и т.д.

Имеется одно правило классификации:

tc filter add dev eth3 parent 1:0 protocol ip fw Теперь вместо:

iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.2 -j MARK --set-mark 0x10502

iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.3 -j MARK --set-mark 0x10503 можно будет указать:

iptables -t mangle -A POSTROUTING -o eth3 -j IPMARK --addr=dst --and-mask=0xffff --or-mask=0x10000 Это значительно (вдвое) уменьшает нагрузку на маршрутизаторы, обслуживающие сотни пользователей.

IPV4OPTSSTRIP

Удаляет все опции IP из пакета.

Никаких дополнительных параметров не требуется:

# iptables -t mangle -A PREROUTING -j IPV4OPTSSTRIP

LOG

Вносить в протокол ядра записи о пакетах (например, поля заголовка IP), для которых указана данная цель. Протокол ядра доступен по команде dmesg . См. syslogd(8)). Обработка после этой цели продолжается. Так, для внесения записей о блокируемых пакетах укажите два отдельных правила с одинаковыми условиями, для первого укажите цель LOG, для второго - DROP (или REJECT).

--log-level уровень

Степень подробности (число, см. syslog.conf(5)).

--log-prefix префикс

Префикс для выделения записей протокола среди других. До 29 символов.

--log-tcp-sequence

Протоколировать номера последовательностей (sequence numbers) TCP. Если протокол доступен обычным пользователям, это отрицательно скажется на защищённости системы.

--log-tcp-options

Вносить в протокол параметры заголовка TCP.

--log-ip-options

Вносить в протокол параметры заголовка IP.

--log-uid

Вносить в протокол идентификатор пользователя, которому принадлежит процесс, сгенерировавший пакет.

MARK

Используется для присвоения пакетам меток. Может использоваться только в пределах таблицы mangle . Обычно используется вместе с iproute2.

--set-mark значение

Задать значение nfmark.

--and-mark значение

Выполнить операцию "логическое И" над значением nfmark и указанным.

--or-mark значение

Выполнить операцию "логическое ИЛИ" над значением nfmark и указанным.

MASQUERADE

Цель допустима только в таблице nat в цепочке POSTROUTING , для конфигураций с динамической выдачей IP (dialup): если у вас статический IP-адрес, используйте SNAT (это уменьшит нагрузку на систему). Маскарадинг - это по сути привязывание к IP-адресу интерфейса, через который пакет выходит, но он также имеет хорошее свойство - забывать соединения при остановке сетевого интерфейса. Это корректное поведение если каждый раз при установлении связи с Internet получается новый адрес (потому имеющиеся соединения теряются в любом случае).

--to-ports порт[-порт]

Диапазон исходных портов, который следует использовать вместо эвристически определяемого модулем SNAT (см. выше). Допустимо только при указании -p tcp или -p udp.

MIRROR

Экспериментальная цель, созданная в демонстрационных целях, поскольку это действие может привести к "зацикливанию" пакета и, в результате, к отказу в обслуживании.

Данное действие допускается использовать только в цепочках INPUT, FORWARD , PREROUTING и в цепочках, вызываемых из них. Пакеты, отправляемые в сеть действием MIRROR, больше не подвергаются фильтрации, трассировке или NAT, избегая тем самым "зацикливания" и других неприятностей. NOT .

NETMAP

Позволяет задать статическое отображение адресов одной подсети в адреса другой. Используется только в таблице nat .

--to адрес[/маска]

Целевой адрес (или диапазон адресов). Отображённый адрес будет получаться следующим образом: все единицы в маске заменяются на цифры в соответствующих позициях нового "адреса"; все остальные разряды заполняются из отображаемого адреса.

NFQUEUE

Это расширение QUEUE. В отличие от QUEUE, позволяет помещать пакет в определённую очередь, идентифицируемую по 16-разрядному номеру.

--queue-num номер

Номер очереди QUEUE. Допустимые номера - от 0 до 65535. По умолчанию - 0.

Работает только с ядрами 2.6.14 и позже, т.к. требует поддержку

nfnetlink_queue.

NOTRACK

Исключает пакет из множества наблюдаемых.

Используется только в таблице

raw .

REDIRECT

Может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat , а также в цепочках, вызываемых из вышеуказанных.

Выполняет перенаправление пакетов на другой порт той же самой машины. Очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси-сервера. При перенаправлении целевой IP-адрес пакета меняется на основной адрес интерфейса отправки (локальным пакетам присваивается 127.0.0.1). Для действия REDIRECT предусмотрен только один ключ:

--to-ports порт[-порт]

Диапазон портов, на которые следует перенаправлять пакет. Допустимо только при указании -p tcp или -p udp.

REJECT

Используется для отправки сообщения об ошибке на хост, от которого получен исходный пакет, в остальном эквивалентно DROP , обработка пакета останавливается на этой цели. Может использоваться только в цепочках INPUT, FORWARD , OUTPUT , а также в цепочках, вложенных в них. Следующий ключ определяет форму пакета с сообщением об ошибке:

--reject-with тип

Сообщение ICMP об ошибке. Возможные значения:

 icmp-net-unreachable
 icmp-host-unreachable
 icmp-port-unreachable
 icmp-proto-unreachable
 icmp-net-prohibited
 icmp-host-prohibited
 icmp-admin-prohibited (*)

По умолчанию отправляется port-unreachable. Для правил, которые фильтруют пакеты только принадлежащие протоколу TCP, можно указывать tcp-reset : это приведёт к возврату пакетов TCP RST и полезно для блокирования тестов ident (113/tcp) выполняемых при отправке почты на недоступные узлы.

(*) Указание icmp-admin-prohibited в случае если ядро не поддерживает этого

равносильно цели DROP

ROUTE

Позволяет явно изменять логику маршрутизации сетевой подсистемы. Используется в таблице mangle .

--oif интерфейс

Направить пакет через указанный интерфейс.

--iif интерфейс

Изменить сведения об интерфейсе, который доставил пакет.

--gw IP-адрес

Направить пакет через указанный шлюз.

--continue

Не прекращать тестирование пакета в цепочке. Недопустимо, если указан один из ключей `--iif' / `--tee'

--tee

Выполнять указанные действия над копией пакета, не прекращать тестирование исходного пакета в цепочке. Недопустимо, если указан один из ключей `--iif' / `--continue'

SAME

Аналогично SNAT/DNAT, в зависимости от цепочки: на вход принимается диапазон адресов (`--to 1.2.3.4-1.2.3.7'), после чего клиентам выдаётся одна и та же пара исходного/целевого адресов для одного соединения.

--to ip1-ip2

Адреса, в которые будут отображаться получаемые адреса пакетов. Допустимо указание нескольких ключей.

--nodst

Не учитывать изначальный целевой IP-адрес при определении нового исходного адреса.

SECMARK

Устанавливает метки механизма защиты в пакетах. Они используются подсистемами защиты наподобие SELinux. Допустимо указание только в таблице mangle .

--selctx контекст-защиты

SET

Добавляет и удаляет элементы из множеств IP, определяемых с помощью ipset(8).

--add-set имя-множества флаг[,флаг...]

Добавить адреса/порты пакета в указанные множества

--del-set имя-множества флаг[,флаг...]

Удалить адреса/порты пакета в указанные множества, где флаги - src и/или dst, ограничение - 6 штук.

Для многоуровневого добавления/удаления элементов с помощью SET

необходимо предварительно определить связывание (адресов).

SNAT

Используется только в цепочке POSTROUTING таблицы nat . Изменяет адрес источника пакета, если он удовлетворяет условиям, и всех последующих пакетов соединения (последние не будут тестироваться).

--to-source ip1[-ip2][:порт1-порт2]

IP-адрес или диапазон адресов (включительно) источника, а также (необязательно, и только в случае -p tcp или -p udp) диапазон портов. Если последний не указан, то выполняются следующие отображения: порты до 512 будут отображаться в порты до 512; порты от 512 до 1023 включительно - в порты до 1024; остальные - в порты начиная с 1024. По возможности порты будут отображаться сами в себя.

В ядрах до 2.6.10 возможно указание нескольких ключей --to-source. В этом случае производится простая кольцевая балансировка. Ядра >= 2.6.11-rc1 не могут работать с несколькими диапазонами IP-адресов.

TARPIT

Удерживает входящие соединения TCP (объём используемых модулем ресурсов не зависит от количества соединений). Запросы на установление соединения принимаются, но сразу после этого соединения переводятся в состояние удерживания (persist - окно нулевого размера), в которых удалённая сторона не посылает никаких данных, и только отправляет запросы на продолжение каждые 60-240 секунд. Попытки закрытия соединения игнорируются, и оно закрывается по истечении времени ожидания (12-24 минут).

Аналогично LaBrea <http://www.hackbusters.net/LaBrea/>, но не требует выделенного сервера и IP-адресов. Любой порт TCP, для которого иначе бы выполнялось одно из действий DROP или REJECT, может удерживать соединения (стать tarpit).

Для удерживания соединений на порт TCP 80 данного компьютера:

iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT Для значительного замедления сканирования неиспользуемых адресов по схеме Code Red/Nimda перенаправьте их на компьютер с Linux, не выполняющий функцию маршрутизации (ip route 10.0.0.0 255.0.0.0 ip.of.linux.box на Cisco), включите перенаправление IP на компьютере с Linux и:

iptables -A FORWARD -p tcp -j TARPIT

iptables -A FORWARD -j DROP

Примечание:

Если вы используете модуль conntrack, то необходимо также указывать цель NOTRACK, иначе ядро будет выделять ресурсы без надобности для каждого удерживаемого соединения. Так, при удерживании входящих соединений на порт IRC:

iptables -t raw -A PREROUTING -p tcp --dport 6667 -j NOTRACK

iptables -A INPUT -p tcp --dport 6667 -j TARPIT

TCPMSS

Позволяет изменять значение MSS пакетов TCP SYN, для ограничения размера пакетов соединения (обычно ограничение равно MTU исходящего интерфейса минус 40). Натурально, может использоваться только при -p tcp, в таблице mangle.
Эта цель полезна если провайдер или серверы блокируют пакеты ICMP запроса фрагментации. Определить, так ли это в вашем случае, легко: с компьютера Linux, выступающего в роли брандмауэра/маршрутизатора всё работает, но компьютеры, которые он обслуживает, не могут обмениваться пакетами большого размера:

Веб-браузеры устанавливают соединение, но не получают никаких данных.

Не удаётся получать электронные сообщения большого размера.

ssh работает нормально, но scp бездействует после процедуры согласования.

Как это можно исправить: включите указанную опцию и добавьте правило в брандмауэр:

 iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN 
             -j TCPMSS --clamp-mss-to-pmtu

--set-mss значение

Значение опции MSS, которое следует устанавливать.

--clamp-mss-to-pmtu

Автоматически вычислять значение MSS по формуле (path_MTU - 40).

Допустимо одновременное указание только одного из этих ключей.

TOS

Используется для установки разрядов в поле Type of Service заголовка IP. Допустимо только в таблице mangle .

--set-tos tos

Возможно указание значения в виде числа или имени в соответствии со списком

 iptables -j TOS -h

TRACE

Включает трассировку пакетов соответствующих условию правила.

TTL

Используется для изменения содержимого поля Time To Live в заголовке IPv4. TTL определяет число маршрутизаторов которое пакет должен пройти прежде чем он будет считаться утерянным.

Изменение (особенно - увеличение) поля TTL может быть опасным, потому желательно

избегать этого.

Никогда не изменяйте (особенно - не увеличивайте) TTL пакетов, покидающих

локальную сеть. Таблица mangle .

--ttl-set число

Установить новое значение TTL.

--ttl-dec число

Уменьшить значение TTL на указанное число.

--ttl-inc число

Увеличить значение TTL на указанное число.

ULOG

Предоставляет возможность протоколирования сведений о пакетах в пользовательском пространстве. При использовании этого действия пакет через сокеты netlink доставляется произвольному количеству адресатов. В качестве адресатов выступают процессы в пользовательском пространстве. Как и в случае с LOG, тестирование пакета в цепочке не прекращается.

--ulog-nlgroup группа-netlink

Группа netlink (1-32), которой следует посылать пакет. Значение по умолчанию - 1.

--ulog-prefix префикс

Префикс для записей в протоколе для выделения среди других сообщений. До 32 символов.

--ulog-cprange размер

Количество байтов, которое следует переносить в пользовательское пространство. По умолчанию - 0 (копировать весь пакет).

--ulog-qthreshold размер

Размер буфера пакетов в ядре. При заполнении буфера он будет посылаться в пользовательское пространство как одно сообщение netlink. По умолчанию - 1 (для обратной совместимости).

XOR

Шифровать трафик TCP и UDP простым кодом XOR

--key строка

Ключ.

--block-size

Размер блока

ДИАГНОСТИКА

Разнообразные сообщения выводятся на стандартный вывод. Код выхода в случае отсутствия ошибок - 0. Если команде переданы недопустимые ключи, код выхода равен 2, при остальных ошибках код выхода равен 1.

ОШИБКИ

См. http://bugzilla.netfilter.org/

СОВМЕСТИМОСТЬ С IPCHAINS

Пакет iptables очень похож на ipchains, написанные Расти Расселом (Rusty Russell). Основное различие состоит в том, что цепочки INPUT и OUTPUT не применяются для "проходящих" пакетов. Потому каждый пакет проходит только через одну из цепочек (кроме трафика кольцевого интерфейса loopback, проходящего через INPUT и OUTPUT).

Другое различие состоит в том, что -i относится с входному интерфейсу; -o - к выходному, и оба они доступны для пакетов в цепочке FORWARD .

В стандартной конфигурации iptables работает как фильтр пакетов (таблица `filter'), и к нему можно подключать дополнительные расширения. Это должно помочь избежать "неразберихи" с IP-маскарадингом и собственно фильтрацией. Так, следующие ключи обрабатываются иначе:

 -j MASQ
 -M -S
 -M -L

Натурально, имеется много менее значительных изменений.

СМ. ТАКЖЕ

iptables-save(8), iptables-restore(8), ip6tables(8), ip6tables-save(8), ip6tables-restore(8), libipq(3). О фильтрации пакетов более подробно написано в packet-filtering-HOWTO, о трансляции адресов - в NAT-HOWTO, о нестандартных расширениях - в netfilter-extensions-HOWTO, о программировании - в netfilter-hacking-HOWTO.
См. http://www.netfilter.org/ и http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html.

АВТОРЫ

Пакет создал Расти Рассел (Rusty Russell), консультируясь с Майклом Ньюлингом (Michael Neuling) на ранних этапах.

Благодаря Марку Бушэ (Marc Boucher) был удалён код ipnatctl, он был заменен более общей инфраструктурой отбора пакетов. Им была реализована таблица mangle, фильтрация по владельцу, метки и ещё много чего другого.

Джеймс Моррис (James Morris) реализовал цель TOS и фильтрацию по tos.

Джозеф Кадлецик (Jozsef Kadlecsik) реализовал цель REJECT.

Гаральд Уэльт (Harald Welte) реализовал цели ULOG и nd NFQUEUE, libiptc, а также цели и фильтры TTL, DSCP, ECN.

Команду Netfilter Core Team составляют: Марк Бушэ (Marc Boucher), Мартин Джозефсон (Martin Josefsson), Дожзеф Кадлецик (Jozsef Kadlecsik), Патрик МакХарди (Patrick McHardy), Джеймс Моррис (James Morris), Гаральд Уэльт (Harald Welte) и Расти Рассел (Rusty Russell).

Настоящий документ написан Херви Ейчинном (Herve Eychenne) <rv@wallfire.org>.

ПЕРЕВОД

Николай Шафоростов <shafff@ukr.net> 2007

man ifconfig (rus)

Admin — Fri, 30 Apr 2010 14:46:31 +0000

IFCONFIG(8) FreeBSD System Manager's Manual IFCONFIG(8)

ИМЯ
ifconfig -- настраивает параметры сетевых интерфейсов

СИНТАКСИС
ifconfig [-L] [-m] interface [create] [address_family] [address
[dest_address]] [parameters]
ifconfig interface destroy
ifconfig -a [-L] [-d] [-m] [-u] [address_family]
ifconfig -l [-d] [-u] [address_family]
ifconfig [-L] [-d] [-m] [-u] [-C]

ОПИСАНИЕ
Утилита ifconfig используется для назначения адресов сетевым интерфейсам
и/или для настройки параметров интерфейсов. Утилита ifconfig должна
использоваться на этапе загрузки, чтобы определить сетевые адреса каждого
интерфейса, присутствующего в системе; также ее можно ивпользовать
позднее для переопределения адресов интерфейсов или иных рабочих
параметров.

Доступны следующие опции:

address
Для семейства протоколов Интернет DARPA, адрес представляет собой
или имя хоста, существующего в системе с базе имен (см. hosts(5)),
или адрес DARPA, записаный в стандартной десятично-точечной
нотации.

Также допускается нотация CIDR, известная как слэш-нотация, для
указания сетевой маски. То есть в качестве адреса может быть
задано выражение вида 192.168.0.1/16.

Для семейства протоколов inet6, может задаваться длина префикса
с использованием слэш-нотации, например ::1/128. Смотрите ниже
описание параметра prefixlen для получения дополнительной
информации.

Адрес уровня связи (link-level address) определяется как
последовательность шестнадцатиричных чисел, разделяемых
двоеточями. Таким образом можно задать, например, MAC-адрес
интерфейса Ethernet, хотя используемый механизм не является
специфичным для Ethernet. Если интерфейс уже поднят, когда
используется эта опция, он будет ненадолго отключен и снова
поднят, чтобы убедиться, что настройки успешно запрограммированы
на аппаратном уровне.

address_family
Определяет семейство адресов, которое затрагивает интерпретацию
сохраненных параметров. Поскольку интерфейс может вести обмен
данными, используя разные протоколы с различными схемами
именования, рекомендуется определять семейство адресов. В
настоящее время поддерживаются следующие семейства адресов или
протоколов: "inet", "inet6", "atalk", "ipx" и "link". По умолчанию
используется "inet". "ether" и "lladdr" - синонимы для "link".

dest_address
Определяет адрес отправителья на другом конце соединения типа
"точка-точка".

interface
Этот параметр является строкой вида "имя блок", например "ed0".

С помощью ifconfig могут быть установлены следующие параметры:

add Другое имя параметра alias. Поддерживается для совместимости
с BSD/OS.

alias Присваивает дополнительный сетевой адрес интерфейсу. Это иногда
полезно, когда изменяется число сетей и желательно принимать и
пакеты, адресованные на старый интерфейс. Если адрес принадлежит
той же подсети, что и первый адрес для этого интерфейса, должна
быть задана маска, исключающая конфликты. Обычно наиболее
подходящей является 0xffffff.

-alias Удаляет указанный сетевой адрес из описания интерфейса. Эта
команда может быть использована, если дополнительный сетевой
адрес, заданный с помощью параметра alias, был указан неправильно
или больше не нужен. Если вы неправильно установили [NS-адрес],
что повлияло на описание основной части, удаление всех
[NS-адресов] позволит вам переопределить основную часть.

anycast (только Inet6).
Указывает, что сконфигурированный адрес является [anycast-адресом].
Основываясь на текущей спецификации, только маршрутизаторы
могут настраивать [anycast-адреса]. [Anycast-адрес] не может
использоваться как источник каких-либо исходящих IPv6-пакетов.

arp Делает доступным использование Протокола Разрешения Адресов
(arp(4)) для взаимного преобразования адресов сетевого уровня и
адресов канального уровня (link level).В настоящее время может
осуществляться отображение между DARPA-адресами Интернета и
MAC-адресами, соответствующими спецификации IEEE 802 (Ethernet,
FDDI и Token Ring). Данная опция используется по умолчанию.

-arp Запрещает использование протокола ARP (arp(4)).

staticarp
Если использование ARP разрешено, хост будет отвечать только на
запросы к этому адресу, и никогда не пошлет запрос сам.

-staticarp
Если использование ARP разрешено, хост будет работать нормально,
отсылая запросы и слушая ответы.

broadcast (только Inet).
Определяет адрес для широковещательных запросов (broadcasts)
в сети. По умолчанию используется адрес, содержащий в адресе хоста
одни единицы.

debug Разрешает исползование специфического для драйвера отладочного
кода; обычно эта опция включает вывод расширенных сообщений
об ошибках.

-debug Отключает использование специфического для драйвера отладочного
кода.

promisc
Переводит интерфейс в "неразборчивый" (promiscious) режим.

-promisc
Отключает постоянную работу в "неразборчивом" режиме.

delete Альтернативное имя параметра -alias.

down Помечает интерфейс как "опущенный" (down). Когда интерфейс опущен,
система не пытается передавать через него сообщения. Если возможно,
интерфейс будет сброшен для отключения также и приема. Эта команда
не отключает автоматически маршруты, использующие этот интерфейс.

eui64 (только Inet6).
Автоматически заполняет индекс интерфейса (младшие 64 бита
IPv6-адреса).

ipdst Опция используется, чтобы указать Интернет-хост, который будет
отсылать IP-пакеты, инкапсулирующие связанные IPX-пакеты, для
удаленной сети. Создается очевидное соединение "точка-точка",
и указанный адрес будет использоваться как адрес IPX и сеть
назначения.

maclabel label
Если поддержка MAC включена в ядро, устанавливает метку MAC.

media type
Если драйвер поддерживает выбор среды передачи, устанавливает
тип среды для данного интерфейса. Некоторые интерфейсы поддерживают
взаимоисключающие использование одного из нескольких различных
физических типов соединения. Например, Ethernet-интерфейс 10мб/с
может поддерживать работу как по AUI, так и по витой паре.
Установка типа среды в "10bast5/AUI" изменит текущий активный
разъем на порт AUI. Установка в "10baseT/UTP" активирует витую пару.
Обратитесь к документации по сетевому адаптеру или соответствующим
man-страницам, чтобы получить полный список доступных типов среды.

mediaopt opts
Если драйвер поддерживает выбор среды передачи, устанавливает
специфичные для типа среды опции на интерфейсе. Аргумент opts
передает разделенный запятыми список опций, которые должны быть
применены к интерфейсу. Обратитесть к документации к драйверу
или man-страницам для получения полного списка опций.

-mediaopt opts
Если драйвер поддерживает выбор среды передачи, отменяет указанные
опции для интерфейса.

mode mode
Если драйвер поддерживает выбор среды передачи, устанавливает
режим функционирования интерфейса. Для беспроводных интерфейсов,
соответствующих IEEE 802.11, поддерживающих множественные режимы
работы, эта директива используется для выбора между режимами
802.11a, 802.11b и 802.11g.

rxcsum, txcsum
Если драйвер поддерживает настраиваемую пользователем разгрузку
контрольной суммы (checksum offloading), параметр разрешает
передачу или прием разгрузки контрольной суммы на интерфейсе.
Некоторые драйверы неспособны разрешать эти опции независимо
одна от другой, так что установка одной из них может привести
и к установке другой. Драйвер будет разгружен от работы по
проверке контрольных сумм насктолько, насколько он может
поддерживать надежность, точный уровень разгрузки может отличаться
от драйвера к драйверу.

-rxcsum, -txcsum
Если драйвер поддерживает настраиваемую пользователем разгрузку
контрольной суммы, запрещает прием или передачу разгрузки
контрольной суммы на интерфейсе. Эти установки не всегда
независимы одна от другой.

tunnel src_addr dest_addr (только для устройств IP tunnel).
Конфигурирует физические адреса источника и приемника для
туннельных IP-интерфейсов (gif(4)). Аргументы интерпретируются
как внешний источник/приемник для инкапсуляции заголовков
IPv4/IPv6.

deletetunnel
Сбрасывает настройку адресов источника и приемника для туннельных
IP-интерфейсов, установленную ранее командой tunnel.

create Создает указанное псевдо-устройство. Если интерфейс указан без
номера блока, выполняется попытка создать устройство с
произвольным номером блока. Если создание устройства с
произвольным номером блока завершается успешно, новое имя
интерфейса выводится в стандартный поток вывода.

destroy
Удаляет указанное псевдоустройство.

plumb Другое имя параметра create. Добавлено для совместимости с Solaris.

unplumb
Другое имя параметра destroy. Добавлено для совместимости с
Solaris.

vlan vlan_tag
Если интерфейс является псевдоустройством vlan, устанавливается
идентификатор (номер) vlan. Идентификатор задается как 16-битный
номер, используемый для создания vlan-заголовка, соответствующего
спецификации 802.1Q, для пакетов, отправляемых с vlan-интерфейса.
Обратите внимание, что оба параметра vlan и vlandev должны быть
заданы.

vlandev iface
Если интерфейс является псевдоустройством vlan, он сопоставляется
с физическим интерфейсом. Пакеты, проходящие через интерфейс vlan,
будут заворачиваться на указанный физический интерфейс и над ними
будет выполняться 802.1Q-инкапсуляция. Инкапсулированные пакеты,
принимаемые на родительском интерфейсе и имеющие правильный
идентификатор vlan, заворачиваюся на соответствующий псевдо-
интерфейс vlan. Интерфейсу vlan назначается копия флагов родительского
интерфейса и родительский Ethernet-адрес. Параметры
vlan и vlandev должны быть заданы одновременно. Если интерфейс
vlan уже имеет связанный с ним физический интерфейс, эта
команда завершится ошибкой. Чтобы изменить ассоциированный
физический интерфейс, сперва должна быть разорвана существующая
ассоциация.

Замечание: если на vlan-интерфейсе включена аппаратная поддержка
vlan, поведение псевдо-интерфейса меняется: интерфейс vlan
распознает, что родительский интерфейс обеспечивает вставку и
извлечение vlan-идентификаторов самостоятельно (обычно используя
встроенную микропрограмму (firmware)), и значит он должен
пропускать пакеты к и от родителя без изменений.

-vlandev iface
Если драйвер является псевдоустройством vlan, разрывает связь
между ним и физическим интерфейсом. При этом разрывается соединение
между vlan-интерфейсом и его родителем, очищаются его vlan-
идентификатор, флаги и канальный адрес, и интерфейс переводится
в состояние "down".

metric n
Устанавливает метрику ("стоимость") маршрута через интерфейс,
значение по умолчанию - 0. Метрика маршрута используется протоколом
маршрутизации (routed(8)). Чем выше метрика, тем менее предпочтителен
данный маршрут; метрики считываются как дополнительные
переходы для сети или хоста назначения.

mtu n Устанавливает для интерфейса максимальный блок передачи (MTU),
значение по умолчанию определяется интерфейсом. MTU используется
для ограничения размера пакетов, которые передаются на интерфейс.
Не все интерфейсы поддерживают установку MTU, и некоторые
интерфейсы имеют ограничение диапазона.

netmask mask (только Inet).
Определяет, сколько адресов зарезервировано в подсети. Маска
включает в себя "сетевую" часть локального адреса и часть,
определяющую адрес подсети, которая берется из "хостового"
поля адреса. Маска может быть задана как шестнадцатиричное
число, начинающееся с "0x", в десятично-точечной нотации или
как имя псевдосети, определенное в таблице networks(5).
Маска содержит "1" на битовый позициях, задающих адрес сети
и подсети, и "0" на позициях, определяющих адрес хоста.
Маска должна содержать по крайней мере часть, определяющую
стандартную сеть, и поле подсети должно составлять с сетевой
частью непрерывную последовательность.

Сетевая маска может также задаваться в нотации CIDR после
адреса. Смотрите описание опции address выше для получения
дополнительной информации.

prefixlen len (только Inet6).
Определяет колчиество бит, зарезервированных для подсетей.
Длина должна быть целым числом и по синтаксическим причинам
должна лежать в диапазоне 0-128. Это почти всегда 64, согласно
текущему правилу назначения IPv6. Если параметр опущен,
используется значение 64.

Префикс может также быть задан в слеш-нотации после адреса.
Смотрите описание опции address выше для получения
дополнительной информации.

range netrange
Для AppleTalk устанавливает интерфейс в соответствие с сетевым
диапазоном в форме startnet-endnet. AppleTalk использует эту
схему вместо сетевых масок, так что FreeBSD внутренне применяет
его как маску сети.

remove Другое имя параметра -alias. Используется для совместимости с
BSD/OS.

phase Агрумент этого параметра задает версию (фазу) сети AppleTalk,
присоединенную к интерфейсу. Допускаются значения 1 или 2.

link[0-2]
Разрешает специальную обработку канального уровня интерфейса.
Значения этих трех опций специфичны для интерфейса, однако,
в общем случае они позволяют выбрать специальные режимы работы.
Например, можно включить SLIP-компрессию или выбрать тип разъема
для некоторых сетевых карт. Обратитесь к соответствующим man-
страницам за дополнительной информацией об особенностях драйвера.

-link[0-2]
Запрещают специальную обработку канального уровня для указанного
интерфейса.

monitor
Переводит интерфейс в режим мониторинга. Никакие пакеты не
передаются, и принимаемые пакеты отбрасываются после обработки
на bft(4).

-monitor
Выключает режим мониторинга интерфейса.

up Помечает интерфейс как "поднятый" (up). Это можно использовать
для поднятия интерфейса после выполнения комадны "ifconfig down".
Интерфейс поднимается автоматически, когда задается первый адрес
на нем. Если интерфейс был сброшен предыдущей командой "down",
аппратная часть будет посторно инициализирована.

ssid ssid
Для беспроводных интерфейсов стандарта IEEE 802.11 устанавливает
желаемый идентификатор набора (Service Set Identifier), он же -
сетевое имя. SSID представляет собой строку длиной до 32-х символов
и может быть определен как в текстовом виде, так и в шестнадцатиричном,
начинающемся с "0x". Кроме того, SSID может быть очищен установкой
его значения в "-".

nwid ssid
Другое имя параметра ssid. Включено для совместимости с NetBSD.

stationname name
Для беспроводных интерфейсов IEEE 802.11 устанавливает имя станции.
Это связано с тем, что имя станции на самом деле не является
частью протокола IEEE 802.11, хотя все интерфейсы
должны бы поддерживать их. Также по идее они должны иметь
значение для идентичного оборудования. Установка имени станции
по синтаксису сходна с установкой SSID.

station name
Другое имя параметра stationname. Включено для совместимости с BSD/OS.

channel number
Для беспроводных интерфейсов стандарта IEEE 802.11 устанавливает
желаемый канал. Номер канала может иметь значенин от 1 до 14,
но точный диапазон определяется регионом, для которого ваш
адаптер производится. Установка канала в 0 даст возможность
использовать значение по умолчанию, заданное для вашего адаптера.
Многие адаптеры игнорируют этот параметр, если вы не в режиме
[ad-hoc].

authmode mode
Для беспроводных интерфейсов стандарта IEEE 802.11 устанавливает
желаемый режим аутентификации в режим инфраструктуры. Не все
адаптеры поддерживают все возможные режимы. Правильные режимы
следующие: "none", "open" и "shared". Имя режима к регистру
символов нечувствительно.

powersave
Для беспроводных интерфейсов разрешает режим энергосбережения.

-powersave
Для беспроводных интерфейсов запрещает режим энергосбережения.

powersavesleep sleep
Для беспроводных интерфейсов устанавливает желаемое время
прехода в режим энергосбережения в миллисекундах.

wepmode mode
Для беспроводных интерфейсов стандарта IEEE 802.11 включает
желаемый [WEP-режим]. ДОпустимыми значениями являются: "off",
"on" и "mixed". Mixed-режим явно указывает адаптеру разрешить
соединение с точкой доступа, которая разрешает как шифрованный,
так и открытый трафик. Для таких адаптеров "on" означает, что
точка доступа должна допускать только зашифрованные соединения.
Для других "on" обычно просто другое имя режима "midex".
Имя режима нечувствительно к регистру символов.

weptxkey index
Для беспроводных интерфейсов включает WEP-ключ, который будет
использоваться для передачи.

wepkey key|index:key
Для беспроводных интерфейсов стандарта IEEE 802.11 устанавливает
выбранный WEP-ключ. Если индекс не задан, устанавливается ключ 1.
WEP-ключ будет иметь длину 5 или 13 символов (40 или 104 бита)
в зависимости от локальной сети и совместимости адаптера. Он
может быть определен в текстовом или шестнадцатиричном (первые
символы - "0x") виде. Для наибольшей переносимости рекомендуются
шестнадцатиричные ключи; отображение текстовых ключей при WEP-
шифровании обычно зависит от драйвера. В общем случае драйверы
Windows выполняют это отображение иначе, чем FreeBSD. Ключ
может быть очищен установкой его в "-". Если WEP поддерживается,
то есть по крайней мере четыре ключа. Некоторые адаптеры
поддерживают больше ключей. В последнем случае первые ключи (1-4)
будут стандартными временными ключами, а последующие будут
зависимы от адаптера, такими как постоянные ключи, сохраненные
в NVRAM.

wep Еще один способ сказать "wepmode on". Включена для совместимости
с BSD/OS.

-wep Еще один способ сказать "wepmode off". Включена для совместимости
с BSD/OS.

nwkey key
Другой способ сказать:

"wepmode on weptxkey 1 wepkey 1:key wepkey 2:- wepkey 3:- wepkey 4:-"

Включена для совместимости с BSD/OS.

nwkey n:k1,k2,k3,k4
Другой способ сказать:

"wepmode on weptxkey n wepkey 1:k1 wepkey 2:k2 wepkey 3:k3 wepkey 4:k4"

Включена для совместимости с BSD/OS.

-nwkey Другой способ сказать "wepmode off".
Включена для совместимости с BSD/OS.

Утилита ifconfig показывает текущую конфигурацию сетевого интерфейса,
если вызывается без дополнительных параметров. Если указано семенйство
протоколов, ifconfig выдаст отчет только по деталям, специфичным для
данного семейства протоколов.

Если драйвер поддерживает выбор среды передачи, список поддерживаемых
типов будет включен в выводимую информацию.

Если перед именем интерфейса передается флаг -m, ifconfig отобразит
все поддерживаемые среды передачи для данного интерфейса. Если
присутствует флаг -L, для адресов IPv6 выводится время жизни адреса
как строка смещения времени.

Вместо имени интерфейса может быть задан флаг -a. ifconfig с этим флагом
выводит информацию обо всех интерфейсах в системе. Флаг -d ограничивает
вывод интерфейсами, которые опущены (down), флаг -u позволяет отобразить
только данные по поднятым (up) интерфейсам. Когда не задано никаких
аргументов, подразумевается флаг -a.

Флаг -l может использоваться для вывода списка всех доступных
интерфейсов системы без какой-либо дополнительной информации. Использование
этого флага исключает любые другие флаги и команды, за исключением флагов
-d (выводится только список опущенных интерфейсов) и -u (список только
поднятых интерфейсов).

Флаг -C используется для вывода списка клонированных интерфейсов,
доступных в системе, без какой-либо дополнительной информации. Использование
этого флага исключает любые другие флаги и команды.

Изменить конфигурацию сетевых интерфейсов может только суперпользователь.

ЗАМЕЧАНИЯ
Система выбора типа среды передачи относительно нова и только некоторые
драйверы поддерживают ее (или нуждаются в ней).

ДИАГНОСТИКА
Сообщается о попытках определить несуществующий интерфейс, если неизвестен
запрошенный адрес, или если пользователь пытается изменить конфигурацию
интерфейса, не имея на то полномочий.

ОШИБКИ И НЕДОРАБОТКИ
Канальные адреса IPv6 требуются для нескольких основных связей между
узлами IPv6. Если они удаляются вручную, ядро может продемонстрировать
очень странное поведение. Так что подобные ручные удаления настоятельно
не рекомендуются.

СМОТРИТЕ ТАКЖЕ
netstat(1), netintro(4), rc(8), routed(8)

ИСТОРИЯ
Утилита ifconfig появилась в 4.2BSD.

FreeBSD 5.2 28 Апреля 2003 FreeBSD 5.2
-------------------------------------------------------------------------------
Перевод: Amsand, 5 ноября 2004 г.