Архив форумов ЦИТФорума

[netscorpion]

Народ скажите есть или принципиальная разница в возможностях ipchains и iptables.
Для примера обычный freewall между локалкой и Inet.

З.Ы. Кто знает досканально назовите плюсы и минусы

Зарание благодарен.

[jekinAl]

Многие параметры были повторно переопределены: заглавные буквы теперь указывают команду, а строчные буквы теперь указывают опцию.
Поддерживаются произвольные цепочки, так даже встроенные цепочки обозначаются именами вместо флажков (напр. "input" вместо "-I").
"-k" опция исчезла: используйте "! -y'.
"-b" опция фактически вставляет/добавляет/удаляет два правила, скорее чем одно правило `bidirectional'.
"-b" опцию можно использовать с "-C", чтобы сделать две проверки (в каждом направлении).
"-x" опция в "-l" была заменена на "-v".
Больше не поддерживаются множественные порты источника и адресата. Однако можно воспользоваться возможностью отрицать диапазоны портов.
Интерфейсы могут быть определены только именем (не адресом). Старая семантика заменена в ядре 2.1.
Фрагменты проверяются, не разрешены автоматически.
Explicit accounting chains have been done away with.
Могут быть проверены произвольные протоколы над IP.
Изменено старое поведение соответствий SYN и ACK (который предварительно игнорировались для не-TCP пакетов); опция SYN не допустима для не-TCP-специфичных правил.
Счетчики на 32-разрядных машинах теперь 64-разрядные, а не 32-разрядные.
Поддерживаются обратные опции.
Поддерживаются ICMP коды.
Поддерживаются уайлдкарты интерфейсов.
Исправлены манипуляции с TOS: старый код ядра просто зависал при (неправильном) управлении битом `Must Be Zero' TOS; теперь в этом и аналогичных случаях ipchains возвращает ошибку.

[netscorpion]

Насколько я понял из всего выше сказанного iptables факкически является следующей версией ipchains?
И еще один вопрос: перенаправление пакетов с порта на порт.
Для примера все обращения по 80 порту на шлюз автоматичести перенаправлять на порт SQUIDа, насколько я понял ipchains c такой задачей не справится и переадресовать пакеты в данном случае может только iptables или я не прав?

[xt]

Потому что это FireWall а не роутер. Если хочешь делать что-нить подобное читай Adv-Routing HOWTO.

[netscorpion]

Но, всетаки такая возможность в iptables есть,
в смысле препаправление пакетов. Тем более, что и ipchains и iptables можно использовать не только как freewall но и межсетевого роутера или как вариант маскарадника.
Меня интересует другое, какие функциональные отличия существуют у этих двух программ, по мимо правил сооставления цепочек.
кароче есть ли смысл перестраивать ядро на iptables (а это прийдется делать обязательно) или можно, по прежнему использовать ipchains.

[xt]

Iptables поддерживает много дополнительных функций, если они тебе не нужны оставляй ipchains.
Передомной когда-то тоже стоял выбор между чейнс и тэйблс - необходимо было ограничить траффик для определённых юзеров. Пришлось ставить iptables.
Тебе советую, если не будет возникать серьёзных траблов с переходом, поствавить iptables, всё-таки новая версия и её функции могут понадобиться в будущем.