.\"
.\"	$Id: ipfwadm.8,v 1.3 1999/03/31 12:51:19 otto Exp $
.\"
.\"
.\"	Copyright (c) 1995,1996 by X/OS Experts in Open Systems BV.
.\"	All rights reserved.
.\"
.\"	Author: Jos Vos <jos@xos.nl>
.\"
.\"		X/OS Experts in Open Systems BV
.\"		Kruislaan 419
.\"		1098 VA  Amsterdam
.\"		The Netherlands
.\"
.\"		E-mail: info@xos.nl
.\"		WWW:    http://www.xos.nl/
.\"
.\"
.\"	This program is free software; you can redistribute it and/or modify
.\"	it under the terms of the GNU General Public License as published by
.\"	the Free Software Foundation; either version 2 of the License, or
.\"	(at your option) any later version.
.\"
.\"	This program is distributed in the hope that it will be useful,
.\"	but WITHOUT ANY WARRANTY; without even the implied warranty of
.\"	MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
.\"	GNU General Public License for more details.
.\"
.\"	You should have received a copy of the GNU General Public License
.\"	along with this program; if not, write to the Free Software
.\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
.\"
.\" Traduzione italiana di Alessandro Rubini (rubini@linux.it)
.\" Maggio 1997
.\"
.TH IPFWADM 8 "30 luglio 1996" "" ""
.SH NOME
ipfwadm \- Amministrazione del firewall IP e dell'accounting
.SH SINTASSI
.BR "ipfwadm -A " "comando parametri [opzioni]"
.br
.BR "ipfwadm -I " "comando parametri [opzioni]"
.br
.BR "ipfwadm -O " "comando parametri [opzioni]"
.br
.BR "ipfwadm -F " "comando parametri [opzioni]"
.br
.BR "ipfwadm -M " "[ -l | -s ] [opzioni]"
.SH DESCRIZIONE
.B Ipfwadm
viene usato per preparare, gestire ed ispezionare il firewall IP
e le regole di accounting (conteggio d'uso) nel kernel di Linux.
Queste regole sono divise in 4 differenti categorie:
accounting dei pacchetti IP, firewall di ingresso, firewall di uscita
e firewall passante (forwarding). Per ciascuna di queste categorie
il kernel ospita una lista di regole separata.
Vedere
.IR ipfw (4)
per ulteriori dettagli.
.SH OPZIONI
Le opzioni riconosciute da
.B ipfwadm
possono essere divise in vari gruppi.
.SS "CATEGORIE"
Le seguenti opzioni vengono usate per selezionare la categoria
di regole alla quale va applicato il comando corrente:
.TP
.BR -A " [\fIdirezione\fP]"
Regole di \fIa\fRccounting IP. 
Si pu facoltativamente specificare una
.I direzione
.RI ( in ,
.IR out ,
or
.IR both ),
indicando se si vogliono contare solo i pacchetti entranti, solo
quelli uscenti o entrambi La direzione di default 
.IR both .
.TP
.B -I
Regole per il firewall di \fIi\fRngresso (pacchetti ricevuti da questo host).
.TP
.B -O
Regole per il firewall di uscita [NdT \fIo\fRutput] (pacchetti
trasmessi da questo host).
.TP
.B -F
Regole per il firewall passante [NdT \fIf\fRorwarding] (pacchetti non
originati n destinati a questo host).
.TP
.B -M
Amministrazione dell'IP \fIm\fRasquerading. Questa categoria pu solo
essere usata in combinazione con il comando
.B -l
(list: elenca) oppure
.B -s
(set timeout values: seleziona i tempi limite).
.PP
Bisogna specificare una e solo una delle opzioni appena elencate.
.SS COMANDI
Le opzioni descritte qui specificano quale azione deve essere
effettuata. Solo una di esse pu essere specificata sulla linea di
comando, a meno la descrizione dell'opzione dica diversamento.
.TP
.BR -a " [\fIpolicy\fP]"
Append: aggiungi una o pi regole alla fine della lista selezionata.
Per la lista di regole di accounting, non occorre specificare alcuna
"policy" (comportamento). Per le liste di firewall bisogna speficare uno
dei seguenti comportamenti:
.IR accept ,
.IR deny ,
or
.IR reject .
Quando i nomi associati al mittente e al destinatario ri riferiscono
a pi di un indirizzo IP, il programma inserisce una regola per ogni
possibile combinazione di indirizzi.
.TP
.BR -i " [\fIpolicy\fP]"
Insert: inserisce una o pi regole all'inizio della lista
selezionata. Vedere la descrizione del comando
.B -a
per ulteriori dettagli.
.TP
.BR -d " [\fIpolicy\fP]"
Delete: cancella una o pi voce dalla lista selezionata.
La semantica  uguale a quella dei comandi di aggiunta/inserzione.
I parametri specificati dovranno corrispondere esattamente ai parametri
dati al comando di aggiunta o di inserzione, altrimenti non verr trovata
alcuna corrispondenza e la regola non verr rimossa dalla lista.
Viene cancellata solo la prima regola che corrisponde a quella specificata.
.TP
.B -l
List: elenca tutte le regole nella lista selezionata. Questo comando
pu essere combinato con il comando 
.B -z
(ripristina i contatori a zero).
In questo caso, i contatori di pacchetti e di byte verranno ripristinati
a zero immediatamente dopo aver stampato i loro valori correnti.
A meno che l'opzione
.B -x
sia presente, i contatori di pacchetti e di byte (se stampati) saranno
mostrati come
.IR numero K
o
.IR numero M,
dove 1K significa 1000 e 1M significa 1000K (arrotondati al valore intero
pi vicino).
Vedere anche le opzioni
.B -e
e
.B -x
per ulteriori informazioni.
.TP
.B -z
Zero: azzera i contatori dei pacchetti e dei byte per tutte le regole nella
lista selezionata.
Questo comando pu essere combinato con il comando
.B -l
(list).
.TP
.B -f
Flush: rimuove tutte le regole nella lista di regole selezionata.
.TP
.BI -p " policy"
Cambia il comportamento di default per il tipo di firewall selezionato.
Il comportamento deve essere uno tra
.IR accept ,
.IR deny ,
e
.IR reject .
Il comportamento di default viene usato quando non si trovano regole
che corrispondano al pacchetto in questione. Questa operazione
 solo valida per i firewall, cio per le categorie
.BR -I ,
.BR -O ,
e
.BR -F .
.TP
.BI -s " tcp tcpfin udp"
Cambia i valori di timeout usati per la mascheratura.
Questo comando accetta sempre 3 parametri, che rappresentano i valori
limite dei tempi di risposta in secondi (anche detti "timeout") 
per le sessioni TCP, le sessioni TCP che hanno gi ricevuto un
pacchetto FIN, e i pacchetti UDP.
Un valore di timeout di 0 significa che il valore attuale
non viene modificato.
Questa operazione pu solo essere specificata nella categoria
.BR -M .
.TP
.B -c
Controlla se questo pacchetto sarebbe accettato, scartato o rifiutato
dal tipo di firewall selezionato. Questa operazione  solo
valida per i firewall, cio in combinazione con l'opzione
.BR -I ,
.BR -O ,
o
.BR -F .
.TP
.B -h
Help.
Restituisce una descrizione della sintassi dei comandi, al momento
tale descrizione  molto concisa.
.SS PARAMETRI
I seguenti parametri possono essere usati in combinazione con i comandi
"append", "insert", "delete" o "check":
.TP
.BI "-P " protocollo
Il protocollo cui questa regola si riferisce, o quello del pacchetto
da controllare. Il protocollo specificato pu essere uno tra
.IR tcp ,
.IR udp ,
.IR icmp ,
oppure
.IR all .
Il protocollo
.I all
corrisponde a tutti i protocolli, ed  il valore di default quando
questa opzione  omessa.
.I All
pu solo essere usato in combinazione con il comando "check".
.TP
.BR "-S " "\fIindirizzo\fP[/\fImaschera\fP] [\fIporta\fP ...]"
Specificazione del mittente (facoltativa).
.I Indirizzo
pu essere un nome di calcolatore, un nome di rete o un indizzo IP
numerico. La
.I maschera
pu essere o una "netmask" o un semplice numero che specifichi il
numero di uni che appaiono alla sinistra nella maschera.
Perci, una maschera pari a
.I 24
 equivalente a
.IR 255.255.255.0 .
.sp 0.5
La specifica del mittente pu includere una o pi specifiche di porta
o tipi ICMP. Ognuna di esse pu  essere o un nome di servizio, un numero
di porta o un tipo ICMP (numerico).
Nel seguito di questo paragrafo, il termine 
.I porta
indica o una specifica di porta o un tipo ICMP.
Una di queste specifiche pu essere un intervallo di porte, nel formato
.IR porta : porta .
Inoltre, il numero totale di porte specificate insieme all'indirizzo del
mittente o del destinatario non deve essere maggiore di
.B IP_FW_MAX_PORTS
(al momento 10).
In questo conteggio, un intervallo di porte conta come 2 porte.
.sp 0.5
I pacchetti che non siano il primo frammento di un pacchetto TCP, UDP
o ICMP vengono sempre accettati dal firewall.  Al fine
dell'accounting, questi ulteriori frammenti sono trattati in modo
speciale, in modo da essere in grado di contarli in qualche modo.  Il
numero di porta 0xFFFF (65535) viene usato il secondo frammento e
successivi di pacchetti TCP o UDP.  Ai fini dell'accounting i
pacchetti verranno trattati come se entrambi i numeri di porta fossero
0xFFFF.  Il numero 0xFF (255)  usato per il secondo frammento e i
successibi relativi a pacchetti ICMP.  Ai fini dell'accounting questi
pacchetti verranno trattati come se i loro tipi ICMP fossero 0xFF.  Si
noti che il comando e il protocollo specificati possono comportare
delle restrizioni nelle porte specificate. Le porte possono essere
specificate solo in combinazione con i protocolli
.IR tcp ,
.IR udp ,
o
.IR icmp .
.sp 0.5
Quando questa opzione  omessa, verr usata la coppia indirizzo/maschera
.I 0.0.0.0/0
(che corrisponde ad ogni indirizzo) come indirizzo del mittente.
Questa opzione  obbligatoria con il comando "check", e in questo caso deve
essere specificata solo una porta.
.\"=================================================================
.TP
.BR "-D " "\fIindirizzo\fP[/\fImaschera\fP] [\fIporta\fP ...]
Indirizzo di destinazione (facoltativo).
Vedere la descrizione dell'opzione
.B -S
(source) per una descrizione dettagliata della sintassi, valori di default
e altri dettagli. Si noti che i tipi ICMP non sono permessi in combinazione
con l'opzione
.BR -D :
i tipi ICMP possono solo essere specificati dopo l'opzione 
.BR -S .
.TP
.BI "-V " indirizzo
Indirizzo opzionale di una interfaccia attraverso la quale
un pacchetto  stato ricevuto o attraverso la quale un pacchetto sta
per essere spedito.
.I Indirizzo
pu essere un hostname o un semplice indirizzo IP.
Quando un nome di host viene specificato, deve corrispondere ad un solo
indirizzo IP. Quando questa opzione viene omessa, si assume per il
suo valore l'indirizzo 
.IR 0.0.0.0 ,
che ha un significato speciale e corrisponde ad ogni indirizzo di
interfaccia. Per il comando "check" questa opzione  obblgatoria.
.TP
.BI "-W " nome
Nope opzionale di una interfaccia attraverso la quale un pacchetto 
stato ricevuto o attraverso la quale un pacchetto sta per essere
spedito.  Quando questa opzione viene omessa, si assume per il suo
valore la stringa vuota, che ha un significato speciale e corrisponde
ad ogni indirizzo di interfaccia. Per il comando "check" questa
opzione  obblgatoria.
.SS "ALTRE OPZIONI"
Le seguenti opzioni aggiuntive possono venire specificate:
.TP
.BI -b
Modo bidirezionale.
Questa regola corrisponder a pacchetti IP
transitanti in entrambe le direzioni. Questa opzione  solo valida
insieme ai comandi "append", "insert" e "delete".
.TP
.BI -e
Output esteso.
Questa opzione fa si che  il comando "list" mostri anche l'indirizzo
dell'interfaccia usata e le opzioni associate alla regola (se ce ne sono).
Per le liste del  firewall lists, saranno mostrati anche i contatori
dei pacchetti e dei byte (normalmente questi contatori vengono
solo mostrati per le regole di accounting) e le maschere TOS.
Quando usata in combinazione con 
.BR -M ,
verr stampata anche l'informazione riguardante i numeri di
sequenza "delta".
.TP
.BI -k
Riferisci la corrispondenza solo a pacchetti TCP con il bit ACK attivo
(questa opzione verr ignorata per pacchetti di altri protocolli).
Questa opzione  solo valida insieme ai comandi "append", "insert"
o "delete".
.TP
.BI -m
Opera il masquearading sul pacchetti accettati per la ritrasmissione.
Qunado questa opzione  specificata, i pacchetti accettati da questa
regola saranno mascherati come se provenissero dal calcolatore locale.
Inoltre, i pacchetti di risposta saranno riconosciuti come tali
e verranno de-mascherati automaticamente, senza passare per le
regole del firewall passante. Questa opzione  valida solo nelle
regelo del firewall passante (forwarding firewall) con policy
.I accept
(o quando si specifica 
.I accept
come policy di default)
e pu solo essere usata quando il kernel  stato compilato
con 
.BR CONFIG_IP_MASQUERADE .
.TP
.BI -n
Stampa numerica.
Gli indirizzi IP e i numeri di porta saranno stammati in formato
numerico. Normalmente il programma cerca di stamparli come hostname,
nome di rete o di servizio, quando ci  possibile).
.TP
.BI -o
Attiva il "logging" dei pacchetti selezionati da questa regola.
Quando questa opzione viene attivata per una regola, il kernel
stamper delle informazioni riguardo ad ogni pacchetto cui la
regola si riferisce (per esempio, la maggior parte dei campi dell'header
IP) tramite
.IR printk ().
Questa opzione ha effetto solo se il kernel  stato compilato con
l'opzione
.BR CONFIG_IP_FIREWALL_VERBOSE .
Questa opzione  valida solo in combinazione con i comandi "append",
"insert" e "delete".
.TP
.BR "-r " [\fIport\fP]
Ridirigi i pacchetti ad un socket locale.
Quando questa opzione  attivata, i pacchetti accettati da questa
regola saranno rediretti ad un socket locale, anche se erano destinati
ad un altro calcolatore.
Se la porta di ridirezione specificata  0 (valore di default)
la porta di destinazione del pacchetto sar usata come porta
dei ridirezione.
Questa opzione  valida solo nelle regole per il firewall di ingresso
con policy
.IR accept
e pu solo essere usata quando il kernel  stato compilato con
.BR CONFIG_IP_TRANSPARENT_PROXY .
.TP
.BI "-t " "andmask xormask"
Maschere usate per modificare il campo TOS nell'header IP.
Quando un pacchetto viene accettato, con o senza mascheramento,
da una regola del firewall, viene operata un'operazione AND
tra il suo campo TOS e la prima maschera; viene poi fatta
un'operazione XOR tra il risultato e la seconda maschera.
Le maschere devono essere specificate come valori ad 8 bit esadecimali.
L'opzione  valida solo in combinazine con i comandi "append",
"insert"  e "delete", senza avere effetto quando viene
usata con le regole di accounting e le regole di firewall
per scartare o rifiutare un pacchetto.
.TP
.BI -v
Stampa prolissa ("verbose").
Stampa informazioni dettagliate sulla regola o pacchetto da inserire,
rimuovere o controllare. Questa opzione ha solo effetto con i comandi
"append", "insert", "delete" e "check".
.TP
.BI -x
Espansione dei numeri.
Stampa il valore esatto dei contatori di pacchetti e di byte,
invece del numero approssimato a K (multipli di mille)
o M (multipli di 1000K).
Questa opzione ha solo effetto quando i contatori vengono 
stampati (vedi anche l'opzione
.BR -e ).
.TP
.BI -y
Seleziona solo i pacchetti TCP con il bit SYN attivo e il bit ACK
inattivo (questa opzione sar ignorata per pacchetti di altri protocolli).
Questa opzione  solo valida con i comandi "append", "insert" e "delete".
.SH FILE
.I /proc/net/ip_acct
.br
.I /proc/net/ip_input
.br
.I /proc/net/ip_output
.br
.I /proc/net/ip_forward
.br
.I /proc/net/ip_masquerade
.\" .SH ERRORI
.SH VEDERE ANCHE
ipfw(4)
.SH AUTORE
Jos Vos <jos@xos.nl>
.br
X/OS Experts in Open Systems BV, Amsterdam, The Netherlands