iptables - Die Firewall des Kernels 2.4
Stateless Firewalling - Filterregeln
Diese Funktionen stellen das Grundgerüst eines Paketfilters dar. Fast alle Funktionen dieser Art gab es bei den Vorgängern bereits. Nur eben die Syntax ist ein bißchen anders als gewohnt.
Alle Stateless-Funktionen werden in der filter-Tabelle in den Chains INPUT, OUTPUT und FORWARD vorgenommen.
INPUT | Hier stehen Regeln zum Schutz des lokalen Rechners |
OUTPUT | evtl. fehlkonfigurierte Programme "taub" machen |
FORWARD | zum Schutz von Rechnern, zu denen geroutet werden muß |
Aufrufkonventionen:
[!] -s <adresse> [/<maske>] | Prüfen des Paketes auf seine Quell-Adresse bzw. den Adress-Bereich. Die Maske kann als Zahl 0..32 (=Anzahl der zu testenden Bits) oder als Subnetzmaske, z.B. 255.255.255.248 angegeben werden. | |
[!] -d <adresse> [/<maske>] | Prüfen des Paketes auf seine Ziel-Adresse bzw. den Adress-Bereich. Die Maske kann als Zahl 0..32 (=Anzahl der zu testenden Bits) oder als Subnetzmaske, z.B. 255.255.255.248 angegeben werden. | |
[!] -i <interface> [+] | Prüfung auf das Interface, auf dem das Paket ankam. Diese Bedingung ist nur sinnvoll bei den Chains INPUT, FORWARD oder PREROUTING. Ein "+" am Ende des Namens trifft alle Interfaces mit dem vorangehenden Wort am Anfang, z.B. "ippp+" für "ippp0, ippp1, ..." | |
[!] -o <interface> [+] | Prüfung auf das Interface, auf dem das Paket den Rechner verlassen wird.. Diese Bedingung ist nur sinnvoll bei den Chains OUTPUT, FORWARD oder POSTROUTING. Ein "+" am Ende des Namens trifft alle Interfaces mit dem vorangehenden Wort am Anfang, z.B. "eth+" für "eth0, eth1, ..." | |
[!] -f | Testen auf Fragmente oder unfragmentierte Pakete ("!" vorangestellt.) | |
[!] -p tcp<br />-m tcp | Testen, ob das Paket TCP-Protokoll überträgt, bzw. nur Laden der Erweiterung "tcp" (-m). Nachfolgende Optionen sind nur in einem der beiden Fälle möglich: | |
--source-port [!] [<port[:<port>]>]<br />--sport [!] [<port[:<port>]>] | Prüfen des Quell-Ports des Paketes oder eines Port-Bereiches. | |
--destination-port [!] [<port[:<port>]>]<br />--dport [!] [<port[:<port>]>] | Prüfen des Ziel-Ports des Paketes oder eines Port-Bereiches. | |
--tcp-flags [!] <maske> <komponente> | Maskiert die angegebenen TCP-Flags und prüft, ob die angegebenen Komponenten gesetzt sind. Masken und Komponenten können die Flags "SYN", "ACK", "FIN", "RST", "URG", "PSH" oder "ALL" und "NONE" sein. z.B. --tcp-flags SYN,ACK,FIN SYN läßt nur die Pakete durch, bei denen SYN gesetzt, ACK und FIN ungesetzt sind. | |
[!] --syn | läßt nur die Pakete durch, bei denen SYN gesetzt, ACK und FIN ungesetzt sind. | |
[!] -p udp<br />-m udp | Testen, ob das Paket UDP-Protokoll überträgt, bzw. nur Laden der Erweiterung "udp" (-m). Nachfolgende Optionen sind nur in einem der beiden Fälle möglich: | |
--source-port [!] [<port[:<port>]>]<br />--sport [!] [<port[:<port>]>] | Prüfen des Quell-Ports des Paketes oder eines Port-Bereiches. | |
--destination-port [!] [<port[:<port>]>]<br />--dport [!] [<port[:<port>]>] | Prüfen des Ziel-Ports des Paketes oder eines Port-Bereiches. | |
[!] -p icmp<br />-m icmp | Testen, ob das Paket ICMP-Protokoll überträgt, bzw. nur Laden der Erweiterung "icmp" (-m). Nachfolgende Option ist nur in einem der beiden Fälle möglich: | |
--icmp-type [!] <name> | Prüfen der ICMP-Nachricht. Eine Liste der Nachrichten kann mit "iptables -p icmp -h" erhalten werden. | |
-m mac | Einbinden des Moduls zur MAC-Adressen-Überprüfung (=Ethernet Interface Adresse). Nachfolgende Option ist nur bei geladenem "mac" Modul möglich: | |
--mac-source [!] <xx:xx:xx:xx:xx:xx> | Prüfen der Ethernet-Quell-Adresse. Ist nur sinnvoll in den Chains PREROUTING, FORWARD oder INPUT. | |
-m multiport | Dieses Modul erlaubt das Testen mehrerer einzelner Ports. Es lassen sich in den nachfolgenden Optionen bis zu 15 Ports angeben. | |
--source-port [<port[,<port>]>] | Prüfen des Quell-Ports des Paketes. | |
--destination-port [<port[,<port>]>] | Prüfen des Ziel-Ports des Paketes. | |
--port [<port[,<port>]>] | Prüfen des Quell- oder Ziel-Ports des Paketes. |