2)
163
£añcu chy IP zo sta³y opra co wa ne przez Pau la Rus sel la i Mi cha ela Neulin ga*. Paul
udo ku men to wa³ opro gra mo wa nie ³añcu chów IP w IPCHA IN S-HO WTO.
£añcuc hy IP po zwal aj¹ na two rzen ie klas re gu³, do których mo¿esz na stêpn ie do -
daw aæ ho sty al bo sie ci lub je stamt¹d usuw aæ. £¹cze nie re gu³ w ³añcuc hy jest o ty le
lep sze, ¿e po praw ia wy dajn oœæ fi rew alla w kon fig ura cja ch, gdzie u¿ywa siê wie lu
re gu³.
£añcu chy IP s¹ obs³ugi wa ne przez j¹dra se rii 2.2, ale s¹ ta k¿e do stêp ne w po sta ci ³at
do j¹der 2.0.*. Do ku ment HO WTO po da je, gdzie mo ¿na zdo byæ ³aty i za wie ra wie le
wska zó wek, jak efek tyw nie u¿y waæ na rzê dzia kon fi gu ra cyj ne go ipcha ins.
U¿y wa nie ipcha ins
Ko rzy staæ z na rzê dzia kon fi gu ra cyj ne go ipcha ins mo ¿na na dwa spo so by. Pierw szy
po le ga na u¿y ciu skryp tu ipfwadm-wrapper, któ ry w za sa dzie uda je ipfwadm, bo wy -
wo³uje w tle pro gram ipcha ins. Je ¿eli chcesz tak u¿y waæ ipcha ins, ten pod roz dzia³ nie
jest ci po trzeb ny. Le piej wró ciæ do po przed nich, opi suj¹cych ipfwadm, i tyl ko zast¹piæ
go przez ipfwadm-wrapper. Skrypt ten bê dzie dzia³a³, ale nie ma gwa ran cji, ¿e bê dzie
utrzy my wa ny, a po za tym nie bê dziesz czer pa³ ko rzy œci z za awan so wa nych funk cji
³añcu chów IP.
Mo ¿na te¿ u¿y waæ ipcha ins in a czej. Trze ba siê na uczyæ no wej sk³ad ni i zmo dy fi -
kowaæ ist niej¹c¹ kon fi gu ra cjê do po sta ci zgod nej z now¹ sk³ad ni¹. Chwi la za sta no -
wie nia i za uwa ¿ysz, ¿e w cza sie kon wer sji jest mo ¿li we zop ty ma li zo wa nie two jej
kon fi gu ra cji. Sk³ad nia ipcha ins jest prost sza do na ucze nia siê ni¿ ipfwadm, a wiêc to
do bry wy bór.
Pro gram ipfwadm do skon fig uro wan ia fi rew alla mu sia³ oper owaæ na trzech re -
gu³ach. W przy padku ³añcu chów IP mo¿esz stwo rzyæ do woln¹ licz bê zest awów re -
gu³, gdzie ka ¿da bê dzie po³¹czo na z inn¹, ale wci¹¿ s¹ obecne trzy ze stawy re gu³
zwi¹za ne z fi rew allem. Stan dard owe ze stawy re gu³ s¹ bez poœ redni mi od pow iedni -
kami tych u¿yw any ch w ipfwadm, po za tym, ¿e maj¹ na zwy: in put, for ward
i outp ut.
Naj pierw przyj rzymy siê ogólnej sk³ad ni po lec enia ipchai ns, a na stêpn ie zo bac zymy,
jak u¿yw aæ ipchai ns za miast ipfwadm, przy czym nie uwzglêdn iani amy za awan so -
wa nych funk cji ³¹cze nia w ³añcuc hy. Zro bimy to, przegl¹daj¹c na sze po przedn ie
przyk³ady.
Sk³ad nia po le ce nia ipcha ins
Sk³ad nia po le ce nia ipcha ins jest pro sta. Przyj rzy my siê te raz naj wa ¿niej szym jej ele -
men tom. Ogó lna sk³ad nia wiê k szo œci po le ceñ ipcha ins jest na stê puj¹ca:
ipcha ins po le ce nie okre œle nie-re gu³y opcje
* Z Pau lem mo ¿na siê skon tak to waæ pod ad re sem Paul.Rus sell@ru st corp.com.au.
164
Roz dzia³ 9: Fi re wall TCP/IP
Po le ce nia
Ist nie je sze reg spo sobów na ope ro wa nie na re gu³ach i ze sta wach re gu³ za po moc¹
po le ce nia ipcha ins. Istot ne dla fi re wal la IP s¹:
-A ³añcuch
Do da nie jed nej lub kil ku regu³ na ko niec za dan ego ³añcuc ha. Je ¿eli jest poda na
na zwa Ÿród³owego lub do cel owe go ho sta i t³umac zy siê na wiê cej ni¿ je den ad res
IP, zo stan ie do dana regu³a dla ka ¿d ego z tych ad re sów.
-I ³añcuch nu mer re gu³y
Wsta wie nie jed nej lub kil ku regu³ na pocz¹tek za dan ego ³añcuc ha. Znów, je ¿eli
w okreœ leniu regu³y zo stan ie poda na na zwa ho sta, bê dzie do daw ana do ka ¿d ego
ad resu.
-D ³añcuch
Usu niê cie jed nej lub kil ku regu³ z za dan ego ³añcuc ha, który pa suje do regu³y.
-D ³añcuch nu mer re gu³y
Usu niê cie regu³y znaj duj¹cej siê na po zyc ji nu merr egu³y w za dan ym ³añcuc hu.
Nu mer acja regu³ za czyna siê od pierw szej regu³y w ³añcuc hu.
-R ³añcuch nu mer re gu³y
Zast¹pie nie regu³y na po zyc ji nu merr egu³y w za dan ym ³añcuc hu podan¹
regu³¹.
-C ³añcuch