tail head cat sleep
QR code linking to this page

Man page  — IPF

명칭

ipf - IP 패킷 입출력용의 패킷 필터 리스트를 변경한다

내용

서식

ipf [ -6AdDEInoPrsUvVyzZ ] [ -l <block|pass|nomatch> ] [ -F <i|o|a|s|S> ] -f <filename> [ -f <filename> [...]]

해설

ipf 는 열거된 파일을 오픈해 ("-" 는 표준 입력으로서 취급합니다), 그 파일을 해석해, 패킷 필터 룰 세트에 대해 추가 또는 삭제하는 룰 세트를 요구합니다.

ipf 가 처리하는 각 룰은, 해석에 문제가 없으면, 커널 내부의 리스트에 추가됩니다. 룰은, ipf 에게 줄 수 있었을 때의 출현순서에 일치하는 순서로 내부 리스트의 마지막에 추가됩니다.

옵션

-6 본옵션은, IPv6 룰의 파스 및 로드에 필요합니다.
-A 리스트를, 동작중의 리스트로 변경을 더하는 것으로 합니다 (디폴트).
-d 디버그 모드를 온으로 합니다. 각 필터 룰을 처리할 때 마다, 필터 룰의 16 진수 덤프를 작성합니다.
-D (필터가 유효한 경우) 필터를 무효로 합니다. 로더 불카-네루 버젼에서는 동작하지 않습니다.
-E (필터가 무효인 경우) 필터를 유효하게 합니다. 로더 불카-네루 버젼에서는 동작하지 않습니다.
-F <i|o|a> 이 옵션은, 어느 필터 리스트를 버리는지를 지정합니다. 파라미터는,"i" (input; 입력), "o" (output; 출력), "a" (all; 전필터 룰의 제거) 의 머지않아인가입니다. 레터 한 글자에서도, 또는 그 레터로 개시하는 말에서도 어느 쪽을 이용해도 괜찮습니다. 실행 옵션을 지정하는 명령행에 대해, 이 옵션의 위치는 다른 옵션의 전에서도 다음에도 괜찮습니다.
-F <s|S> 상태 테이블에서 엔트리를 지우기 위해서(때문에), -F 옵션은,"s" (완전하게 확립하고 있지 않는 접속에 관한 상태 정보의 제거) 인가 "S" (모든 접속에 관한 상태 정보의 제거)와 함께 사용합니다. 2 개의 옵션의 어느 쪽인지 다른 한쪽만 지정 가능합니다. 완전하게 확립된 접속은, ipfstat -s 출력으로 4/4 라고 표시되어 어느 쪽인가의 방향으로 어긋나 있는 경우에는 이제(벌써) 완전하게는 확립하고 있지 않는 것을 나타냅니다.
-f <filename>
  이 옵션은, 패킷 필터 룰 리스트를 변경하기 위한 입력을, ipf 가 어느 파일로부터 얻는지를 지정합니다.
-I 리스트를, 동작중이 아닌 리스트로 변경을 더하는 것으로 합니다.
-l  <pass|block|nomatch>
  -l 플래그를 사용하면(자), 패킷의 디폴트 로그 동작을 바꿉니다. 이 옵션에 대한 유효한 인수는, pass, block, nomatch 의 머지않아인가입니다. 옵션이 설정되었을 때, 필터링으로부터 빠져 나간, 몇개의 분류에 매치 하는 패킷은, 로그 됩니다. 이것이 가장 유용한 것은, 로드한 룰의 어느 것에도 매치 하지 않았던 전패킷을 로그 하는 경우입니다.
-n 이 플래그 (무변경)는, ipf 가 실제로 ioctl 를 호출하는 것으로, 현재 실행중의 커널을 변경하는 것을 방해합니다.
-o (디폴트의) 입력 리스트에 대해서가 아니고, 출력 리스트에 대해서 디폴트로 룰을 추가/삭제하도록(듯이) 강제합니다.
-P 인증 룰 테이블의 일시 엔트리에, 룰을 추가합니다.
-r 매치 하는 필터 룰을, 내부 리스트에 추가하는 것이 아니라, 삭제합니다.
-s 사용중의 활동 필터 리스트를 「외」의 것과 교환합니다.
-U (SOLARIS 2 마셔) IP 패킷으로서는 인식되지 않는 것 같은 데이터 스트림을 수반하고 있는 패킷을 블록 합니다. 이러한 패킷은 콘솔에 표시됩니다.
-v 장황 모드를 온으로 합니다. 룰 처리에 관한 정보를 표시합니다.
-V 버젼 정보를 표시합니다. ipf 바이너리에 짜넣어진 버젼 정보를 표시합니다. 이것은, (실행중/존재하는 경우에는) 커널 코드로부터 꺼냅니다. 커널중에 존재하는 경우, 현재 상태가 표시됩니다 (로그 취득이 유효한가, 디폴트 필터링등 ).
-y IP 필터가 관리하고 있는 커널내 인터페이스 리스트와 현재의 인터페이스 상태 리스트를, 수동으로 재동기 합니다.
-z 입력 파일중의 각 룰에 대해, 통계 정보를 0 에 리셋트 해, 0 으로 하기 전의 통계 정보를 표시합니다.
-Z 필터링에만 사용되는 커널내 전체 통계 정보를 0 으로 합니다 (단편화와 상태의 통계에는 무관계합니다).

관련 파일

/dev/ipauth
/dev/ipl
/dev/ipstate

관련 항목

ipftest(1), mkfilters(1) [영어], ipf(4) [영어], ipl(4) [영어], ipf(5), ipfstat(8), ipmon(8), ipnat(8) [영어]

진단

커널내의 패킷 필터 리스트를 실제로 갱신하려면 , root 로서 실행할 필요가 있습니다.

버그

버그를 찾아내면(자), darrenr@cyber.com 에 전자 메일을 보내 주세요.


IPF (8)

tail head cat sleep
QR code linking to this page


Ben Bullock이 유닉스 매뉴얼 페이지에서 서비스에 대한 의견을 주시기 바랍니다. Privacy policy.