home *** CD-ROM | disk | FTP | other *** search
/ IRIX Patches 1995 September / SGI IRIX Patches 1995 Sep.iso / 5.3_patches / patchSG0000620 / patchSG0000620.idb / usr / share / catman / a_man / cat1 / ipfilterd.z / ipfilterd
Text File  |  1995-09-07  |  13KB  |  322 lines
  1.  
  2.  
  3.  
  4. IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))                                                    IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      ipfilterd - IP packet filtering daemon
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ////uuuussssrrrr////eeeettttcccc////iiiippppffffiiiilllltttteeeerrrrdddd [ ----dddd ]
  13.  
  14. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  15.      _I_p_f_i_l_t_e_r_d is a networking daemon that screens all inbound packets that
  16.      use the Internet Protocol (IP). Packets are filtered based on their
  17.      source or destination IP address, the network interface they arrived on,
  18.      their IP protocol number, their source or destination TCP/UDP port
  19.      number, or any combination of the above. Supported IP protocols include
  20.      TCP, UDP, ICMP and IGMP.
  21.  
  22.      _I_p_f_i_l_t_e_r_d is started at system initialization from /_e_t_c/_i_n_i_t._d/_n_e_t_w_o_r_k if
  23.      the configuration flag _i_p_f_i_l_t_e_r_d is set ``on'' with _c_h_k_c_o_n_f_i_g(1M).  When
  24.      _i_p_f_i_l_t_e_r_d is started, it reads its configuration information from the
  25.      file /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f and compiles the packet filters specified there,
  26.      storing them in an array in the order in which they were specified.
  27.      Inbound IP code passes packet information to the daemon, requesting
  28.      verdicts based on the filter database. An inbound packet is compared with
  29.      each filter in the array until a match is found, then the verdict
  30.      associated with that filter is returned to IP, which will process the
  31.      packet unless it has been dropped by the filtering code. If no match is
  32.      found, the packet is dropped by default.
  33.  
  34.      During filter initialization, _i_p_f_i_l_t_e_r_d reads /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f one
  35.      line at a time. Lines that begin with "#" are comments and are ignored.
  36.      All other lines begin with a keyword, followed by either a macro or a
  37.      filter. Macros and filters use _n_e_t_s_n_o_o_p(1M) filter syntax; however, the
  38.      optional specification of a network interface must precede all protocol
  39.      filter information.  All standard _n_e_t_s_n_o_o_p(1M) macros relating to
  40.      _i_p_f_i_l_t_e_r_d'_s supported protocols may be used.
  41.  
  42.      Currently supported keywords include:
  43.         accept   accept all packets matching this filter
  44.         grab     grab all packets matching this filter rather than forwarding them
  45.         reject   silently discard all packets matching this filter
  46.         define   define a new macro
  47.  
  48.      IP addresses may be specified in hexadecimal, in Internet dot format (see
  49.      _i_n_e_t(3N)), or by the fully-qualified hostname or its nickname:
  50.  
  51.         0xC000022C  192.0.2.44   bambi.test.com  bambi
  53.      IP protocols may be referenced either by their assigned IP protocol
  54.      number or by their well-known name (tcp, udp, icmp, igmp), as listed in
  55.      /_e_t_c/_p_r_o_t_o_c_o_l_s.  Ports may likewise be referenced directly by number;
  56.      port numbers assigned to specific Internet network or UNIX-specific ser-
  57.      vices may also be referenced by the well-known names found in
  58.      /_e_t_c/_s_e_r_v_i_c_e_s (e.g., ftp, telnet, snmp, sunrpc, login, etc.).
  59.  
  60.  
  61.  
  62.                                                                         PPPPaaaaggggeeee 1111
  63.  
  64.  
  65.  
  66.  
  67.  
  68.  
  69. IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))                                                    IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))
  70.  
  71.  
  72.  
  73.      _I_p_f_i_l_t_e_r_d will support up to 100 discrete filters. There is no limit on
  74.      the number of macros that may be defined.
  75.  
  76.      IP maintains a kernel cache of recent _i_p_f_i_l_t_e_r_d filtering verdicts,
  77.      arranged in a most-recently-used linked list.  The size of this cache is
  78.      configurable, as is the search depth into the cache before a filter match
  79.      causes the matched entry to be moved to the head of the cache (MRU reord-
  80.      ering). With the 5.0 release of IRIX, cache entries will be aged and
  81.      deleted when idle for a configurable interval (default 60 seconds).  Use
  82.      of the cache decreases the number of times that IP must poll the daemon,
  83.      reducing system overhead associated with context switching out of the
  84.      kernel.
  85.  
  86.      While a larger cache minimizes context switches, its size adds a longer
  87.      search path overhead to the IP kernel code before a decision to consult
  88.      the daemon may be made. The optimum cache size will vary with system
  89.      usage - e.g., an external gateway will have more filtering responsibility
  90.      and will see many more IP-address/protocol/port combinations than a
  91.      workstation on a LAN; hence it will require a larger cache.
  92.  
  93.      The number of verdicts cached in the kernel is defined by the constant
  94.      _N_U_M_I_P_K_F_L_T in the IP filtering configuration file
  95.      /_v_a_r/_s_y_s_g_e_n/_m_a_s_t_e_r._d/_i_p_f_i_l_t_e_r.  To change the size, as the superuser edit
  96.      this file and then use _a_u_t_o_c_o_n_f_i_g(1M) to generate a new kernel and
  97.      reboot.
  98.  
  99.      The effects of kernel cache size can be observed empirically by monitor-
  100.      ing network performance, and also by explicitly observing how often and
  101.      to what effect the daemon is being used. Executing _i_p_f_i_l_t_e_r_d with the ----dddd
  102.      option provides that information. It turns on additional use of
  103.      _s_y_s_l_o_g_d(1M) to log data about each filter that is built, and also about
  104.      each daemon filtering request. This includes: an indication of whether
  105.      the packet matched a filter or was dropped by default; whether the filter
  106.      was one that specified an interface only, or included protocol informa-
  107.      tion; a timestamp; and a running count of the number of times that kind
  108.      of decision happened.
  109.  
  110. FFFFIIIILLLLEEEESSSS
  111.      /_v_a_r/_a_d_m/_S_Y_S_L_O_G is the general _s_y_s_l_o_g_d(1M) data file. It contains all
  112.      events and data logged by _i_p_f_i_l_t_e_r_d.  /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f contains macro
  113.      and filter definitions.
  114.  
  115.      /_v_a_r/_s_y_s_g_e_n/_m_a_s_t_e_r._d/_i_p_f_i_l_t_e_r is used when generating a kernel to specify
  116.      the size of the kernel cache of recent filtering verdicts, the cache
  117.      search depth that must be exceeded before any MRU reordering of the cache
  118.      is performed, and the treatment of inbound IP packets when the filtering
  119.      daemon has died or been killed.
  120.  
  121.      The constant NUMIPKFLT defines the size of the kernel cache of recent
  122.      filtering verdicts. This should be tuned based on system load.
  123.  
  124.  
  125.  
  126.  
  127.  
  128.                                                                         PPPPaaaaggggeeee 2222
  129.  
  130.  
  131.  
  132.  
  133.  
  134.  
  135. IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))                                                    IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))
  136.  
  137.  
  138.  
  139.      The _f_i_l_t_e_r_c_a_c_h_e__s_e_a_r_c_h__d_e_p_t_h variable is used to minimize the thrashing
  140.      of the cache that would occur if every filter hit was moved to the head
  141.      of the cache. It is defaulted to 4, which permits two simultaneous file
  142.      transfers to occur withour MRU reordering. This value should be tuned
  143.      based on expected system workload.
  144.  
  145.      The _i_p_f_i_l_t_e_r_d__i_n_a_c_t_i_v_e__b_e_h_a_v_i_o_r variable specifies how inbound IP packets
  146.      will be treated when the daemon has died or been killed. A value of 0
  147.      specifies that inbound IP processing should proceed as though filtering
  148.      was not configured. A value of 1 specifies that all inbound IP packets
  149.      (except those from the local host) will be dropped.  Use of this value
  150.      ensures that routing will be disabled in IP firewalls whose daemon is
  151.      inactive, preventing security holes.
  152.  
  153.      With the 5.0 release of IRIX, the _i_p_f_i_l_t_e_r__t_t_l variable is used to set a
  154.      maximum lifetime for idle kernel cache entries.  Entries idle longer than
  155.      that interval (default 60 seconds) are deleted.
  156.  
  157. EEEEXXXXAAAAMMMMPPPPLLLLEEEESSSS
  158.      Examples of use of "define" to create macros:
  159.  
  160.      A filter for all possible traffic between two machines, each of which is
  161.      multi-homed:
  162.  
  163.         define ip.betwixt between($1,$3) || between($1,$4) || between($2,$3)
  164.         || between($2,$4)
  165.      (Note: this one-line example is shown on two lines because of formatting
  166.      constraints).
  167.  
  168.      A macro to specify any host not on a given Class C network (or on a Class
  169.      B network with 8-bit subnet masks) as the source. When masking against an
  170.      IP address in a macro, hex must be used. However, the IP (sub)network
  171.      number specified in the filter may be either in hex or dot format.
  172.      Parentheses are used to establish binding and precedence:
  173.  
  174.         define ip.notnetCsrc  not((src & 0xffffff00) = $1)
  176.      Filter examples:
  177.  
  178.      To accept all IP traffic between two single-homed hosts:
  179.  
  180.         accept between speaker squaw
  182.      To reject all IP traffic over one network interface between two hosts:
  183.  
  184.         reject -i ec0 between speaker dizzy
  186.      To reject Sun RPC traffic between two hosts:
  187.  
  188.  
  189.  
  190.  
  191.  
  192.                                                                         PPPPaaaaggggeeee 3333
  193.  
  194.  
  195.  
  196.  
  197.  
  198.  
  199. IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))                                                    IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))
  200.  
  201.  
  202.  
  203.         reject between teton 192.99.99.99 and udp.port sunrpc
  205.      To grab all packets from one host over a given network interface rather
  206.      the forwarding them along to their destination:
  207.  
  208.         grab -i ec0 src=boston
  210.      An example of ip.betwixt:
  211.  
  212.         reject ip.betwixt foo1 foo2 boo1 boo2 and tcp.port login
  214.      To reject all FTP connections that do not originate from a given Class B
  215.      net:
  216.  
  217.         reject ip.notnetBsrc 192.26.00.00 and tcp.port ftp
  219. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  220.      netsnoop(1M), master(4)
  221.  
  222. NNNNOOOOTTTTEEEE
  223.      IP filtering may be initiated or disabled only by the superuser. The com-
  224.      mand
  225.  
  226.         /etc/killall ipfilterd
  227.      kills the filtering daemon and zeroes out the kernel cache of filtering
  228.      verdicts. It may also disable all IP forwarding and receipt of any
  229.      inbound IP traffic except that from the local host - see the discussion
  230.      of the _i_p_f_i_l_t_e_r_d__i_n_a_c_t_i_v_e__b_e_h_a_v_i_o_r variable in the FILES section above.
  231.  
  232.      The command
  233.  
  234.         /usr/etc/ipfilterd
  235.      which is normally executed from /_e_t_c/_i_n_i_t._d/_n_e_t_w_o_r_k, starts up the daemon
  236.      and initializes the configured filters.  Only one instance of ipfilterd
  237.      may be active at any time; attempts to start a second daemon will fail
  238.      benignly.
  239.  
  240.      Macros must be defined before they are referenced in filters in
  241.      /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f.  Each macro definition must be on one line and have
  242.      a maximum of 255 characters.
  243.  
  244.      The daemon's array of filters is generated in the order specified in
  245.      /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f.  The filtering daemon examines filters from the top
  246.      of the array each time. As soon as it detects a match, it returns the
  247.      associated verdict.  It is possible to have more than one filter match a
  248.      given packet, such as wishing to reject rlogin requests from all of a
  249.      given net except for one particular host. In that case, the particular
  250.      filter should appear first:
  252.  
  253.  
  254.                                                                         PPPPaaaaggggeeee 4444
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261. IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))                                                    IIIIPPPPFFFFIIIILLLLTTTTEEEERRRRDDDD((((1111MMMM))))
  262.  
  263.  
  264.  
  265.         accept ip.src bambi and tcp.port login
  266.      followed by the general case:
  267.  
  268.         reject ip.netBsrc 199.0.2.0 and tcp.port login
  270.      Several macros relating to (sub)networks rather than hosts are predefined
  271.      in /_e_t_c/_i_p_f_i_l_t_e_r_d._c_o_n_f.
  272.  
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  316.  
  317.  
  318.                                                                         PPPPaaaaggggeeee 5555
  319.  
  320.  
  321.  
  322.