Veralteter Artikel:Iptables
Aus Ubuntu-Forum Wiki
Chroot (Diskussion | Beiträge) |
Chroot (Diskussion | Beiträge) |
||
Zeile 26: | Zeile 26: | ||
Netfilter und Iptables sind in allen neueren Linux-Distributionen dabei und sind der Standard für Firewalls unter Linux. | Netfilter und Iptables sind in allen neueren Linux-Distributionen dabei und sind der Standard für Firewalls unter Linux. | ||
+ | |||
+ | =Regeln= | ||
+ | |||
+ | Jedes eintreffende Paket wird auf bestimmte Parameter geprüft, und durchläuft alle vorhandenen Regeln. Treffen bei einer Regel die angegebenen Parameter zu, wird diese Regel angewandt, sonst wird das Paket an die nächste Regel weitergegeben. | ||
+ | {|Border=1 | ||
+ | !Policy | ||
+ | !Beschreibung | ||
+ | |-- | ||
+ | |ACCEPT | ||
+ | |das Paket darf angenommen werden | ||
+ | |-- | ||
+ | |DROP | ||
+ | |das Paket wird ohne Antwort verworfen | ||
+ | |-- | ||
+ | |REJECT | ||
+ | |das Paket wird nicht angenommen und eine Fehlermeldung wird gesendet | ||
+ | |-- | ||
+ | |REDIRECT | ||
+ | |das Paket wird an die angegebene Adresse weitergeleitet | ||
+ | |-- | ||
+ | |MASQUERADE | ||
+ | |die interne Netzwerkadresse des Paketes wird durch eine öffentliche Adresse ersetzt | ||
+ | |-- | ||
+ | |LOG | ||
+ | |Trifft die Regel zu wird der vorgang gelogt | ||
+ | |} | ||
+ | Eine gängige Methode ist es für alle Ketten (siehe Punkt 1.2) die Standardregel (Default Policy) auf „DROP“ zu setzen, dadurch wird gewährleistet, sollte keine Regel bei einem Paket zutreffen, wird dieses automatisch verworfen. D. h. es werden nur Regeln für erwünschte/erlaubte Verbindungen erstellt, und der Rest wird automatisch verworfen. |
Version vom 21. Januar 2009, 09:07 Uhr
Inhaltsverzeichnis |
Artikel in Bearbeitung |
Um Versions-Konflikte zu vermeiden, darf er nicht geändert werden, so lange dieser Hinweis erscheint! |
Dieser Artikel wird gerade neu erstellt und ist noch nicht vollständig. |
Der Inhalt dieses Artikels unterlag noch keiner Revision. Er kann geeignet sein, ein System zu beschädigen oder zu zerstören. Die Anleitungen sollten noch nicht genutzt werden. |
1 Allgemeines
Das Kernstück einer Firewall bei Linux ist Netfilter. Es ist Bestandteil des Linux-Kernels, und erlaubt es Netzwerkpakete abzufangen und zu manipulieren.
Es besteht aus folgenden Teilen:
- Xtables stellt die Tabellenstruktur zur Regelmanipulation bereit. Mithilfe von weiteren Modulen sind verschiedene Tests und Manipulationen möglich. Dazu gehören:
- Connection Tracking
- Network Address Translation
- Iptables ist das dazugehörige Dienstprogramm zur Konfiguration von Xtables, während für Connection Tracking und NAT „conntrack“ benutzt wird.
Netfilter/Iptables kann die wesentlichen Protokolle des Internets aus
- der Vermittlungsschicht
- der Transportschicht
- und teilweise auch aus der Anwendungsschicht
verarbeiten.
Für darunterliegende Netzzugangsschicht gibt es dagegen Programme wie „ebtables“ (Ethernet-Bridge Tables).
Zu den Funktionen gehören:
- Paketfilterung einschließlich Stateful Inspection bzw. connection tracking.
- Network Address Translation (NAT) einschließlich Masquerading und Portweiterleitung.
Netfilter und Iptables sind in allen neueren Linux-Distributionen dabei und sind der Standard für Firewalls unter Linux.
2 Regeln
Jedes eintreffende Paket wird auf bestimmte Parameter geprüft, und durchläuft alle vorhandenen Regeln. Treffen bei einer Regel die angegebenen Parameter zu, wird diese Regel angewandt, sonst wird das Paket an die nächste Regel weitergegeben.
Policy | Beschreibung |
---|---|
ACCEPT | das Paket darf angenommen werden |
DROP | das Paket wird ohne Antwort verworfen |
REJECT | das Paket wird nicht angenommen und eine Fehlermeldung wird gesendet |
REDIRECT | das Paket wird an die angegebene Adresse weitergeleitet |
MASQUERADE | die interne Netzwerkadresse des Paketes wird durch eine öffentliche Adresse ersetzt |
LOG | Trifft die Regel zu wird der vorgang gelogt |
Eine gängige Methode ist es für alle Ketten (siehe Punkt 1.2) die Standardregel (Default Policy) auf „DROP“ zu setzen, dadurch wird gewährleistet, sollte keine Regel bei einem Paket zutreffen, wird dieses automatisch verworfen. D. h. es werden nur Regeln für erwünschte/erlaubte Verbindungen erstellt, und der Rest wird automatisch verworfen.