iptables - Die Firewall des Kernels 2.4

Was wird praktisch mit den Tabellen/Ketten (Tables/Chains) gemacht?

filter/INPUT	hier landen alle Pakete, die an einen lokalen Prozeß gerichtet sind. Damit lassen sich Zugriffe auf lokale Prozesse hier perfekt regulieren, z.B.: Zugriff auf einen lokal laufenden Server nur aus bestimmten Netzen Nur Pakete durchlassen, die zu einer bestehenden Verbindung gehören

filter/OUTPUT	hier gehen alle Pakete durch, die von einem lokalen Prozeß erzeugt wurden. Damit lassen sich lokale Prozesse nach außen schützen, z.B.: keine ausgehenden "verdächtigen" Verbindungen am Server (Schutz eines Servers vor Daten-Klau) keine "losen" Pakete nach draußen -- nur gültige Verbindungen

filter/ROUTING	durch diese Chain gehen alle Pakete durch, die durch diese Maschine geroutet werden. Hiermit lassen sich also alle Rechner in jeweils dem Zielnetz des Routing schützen, z.B.: kein UDP nach außen, außer DNS keine öffnenden Verbindungen nach innen Pakete, die zu keiner Verbindung gehören, werden gefiltert

nat/PREROUTING	Wenn Adress-Übersetzungen durchgeführt werden, müssen alle Pakete vor dem Routing hier durch. Hier lassen sich für zu routende Pakete verändern: die Ziel-IP-Adresse der Ziel-Port

nat/OUTPUT	vom lokalen Rechner stammende Pakete gehen hier durch; Änderungen wie nat/PREROUTING.

nat/POSTROUTING	Hier gehen nochmals alle Pakete, die geroutet worden sind, durch (auch lokal erzeugte Pakete). Hier werden Angaben über die Herkunft eines Paketes verändert, wie: Quell-IP-Adresse Masquerading (Sonderform von Quell-IP-Änderung)

mangle/PREROUTING mangle/OUTPUT	ähnlich den "nat" chains, nur mit dem Unterschied, daß hier spezielle Paket-Parameter geändert werden können, wie: die TTL (Time to live)