Login
Newsletter
Werbung

So, 4. November 2001, 00:00

iptables - Die Firewall des Kernels 2.4

Stateless Firewalling - Filterregeln

Diese Funktionen stellen das Grundgerüst eines Paketfilters dar. Fast alle Funktionen dieser Art gab es bei den Vorgängern bereits. Nur eben die Syntax ist ein bißchen anders als gewohnt.

Alle Stateless-Funktionen werden in der filter-Tabelle in den Chains INPUT, OUTPUT und FORWARD vorgenommen.

INPUT Hier stehen Regeln zum Schutz des lokalen Rechners
OUTPUT evtl. fehlkonfigurierte Programme "taub" machen
FORWARD zum Schutz von Rechnern, zu denen geroutet werden muß

Aufrufkonventionen:

[!] -s <adresse> [/<maske>] Prüfen des Paketes auf seine Quell-Adresse bzw. den Adress-Bereich. Die Maske kann als Zahl 0..32 (=Anzahl der zu testenden Bits) oder als Subnetzmaske, z.B. 255.255.255.248 angegeben werden.
[!] -d <adresse> [/<maske>] Prüfen des Paketes auf seine Ziel-Adresse bzw. den Adress-Bereich. Die Maske kann als Zahl 0..32 (=Anzahl der zu testenden Bits) oder als Subnetzmaske, z.B. 255.255.255.248 angegeben werden.
[!] -i <interface> [+] Prüfung auf das Interface, auf dem das Paket ankam. Diese Bedingung ist nur sinnvoll bei den Chains INPUT, FORWARD oder PREROUTING. Ein "+" am Ende des Namens trifft alle Interfaces mit dem vorangehenden Wort am Anfang, z.B. "ippp+" für "ippp0, ippp1, ..."
[!] -o <interface> [+] Prüfung auf das Interface, auf dem das Paket den Rechner verlassen wird.. Diese Bedingung ist nur sinnvoll bei den Chains OUTPUT, FORWARD oder POSTROUTING. Ein "+" am Ende des Namens trifft alle Interfaces mit dem vorangehenden Wort am Anfang, z.B. "eth+" für "eth0, eth1, ..."
[!] -f Testen auf Fragmente oder unfragmentierte Pakete ("!" vorangestellt.)
[!] -p tcp<br />-m tcp Testen, ob das Paket TCP-Protokoll überträgt, bzw. nur Laden der Erweiterung "tcp" (-m). Nachfolgende Optionen sind nur in einem der beiden Fälle möglich:
    --source-port [!] [<port[:<port>]>]<br />--sport [!] [<port[:<port>]>] Prüfen des Quell-Ports des Paketes oder eines Port-Bereiches.
    --destination-port [!] [<port[:<port>]>]<br />--dport [!] [<port[:<port>]>] Prüfen des Ziel-Ports des Paketes oder eines Port-Bereiches.
    --tcp-flags [!] <maske> <komponente> Maskiert die angegebenen TCP-Flags und prüft, ob die angegebenen Komponenten gesetzt sind. Masken und Komponenten können die Flags "SYN", "ACK", "FIN", "RST", "URG", "PSH" oder "ALL" und "NONE" sein. z.B. --tcp-flags SYN,ACK,FIN SYN läßt nur die Pakete durch, bei denen SYN gesetzt, ACK und FIN ungesetzt sind.
    [!] --syn läßt nur die Pakete durch, bei denen SYN gesetzt, ACK und FIN ungesetzt sind.
[!] -p udp<br />-m udp Testen, ob das Paket UDP-Protokoll überträgt, bzw. nur Laden der Erweiterung "udp" (-m). Nachfolgende Optionen sind nur in einem der beiden Fälle möglich:
    --source-port [!] [<port[:<port>]>]<br />--sport [!] [<port[:<port>]>] Prüfen des Quell-Ports des Paketes oder eines Port-Bereiches.
    --destination-port [!] [<port[:<port>]>]<br />--dport [!] [<port[:<port>]>] Prüfen des Ziel-Ports des Paketes oder eines Port-Bereiches.
[!] -p icmp<br />-m icmp Testen, ob das Paket ICMP-Protokoll überträgt, bzw. nur Laden der Erweiterung "icmp" (-m). Nachfolgende Option ist nur in einem der beiden Fälle möglich:
    --icmp-type [!] <name> Prüfen der ICMP-Nachricht. Eine Liste der Nachrichten kann mit "iptables -p icmp -h" erhalten werden.
-m mac Einbinden des Moduls zur MAC-Adressen-Überprüfung (=Ethernet Interface Adresse). Nachfolgende Option ist nur bei geladenem "mac" Modul möglich:
    --mac-source [!] <xx:xx:xx:xx:xx:xx> Prüfen der Ethernet-Quell-Adresse. Ist nur sinnvoll in den Chains PREROUTING, FORWARD oder INPUT.
-m multiport Dieses Modul erlaubt das Testen mehrerer einzelner Ports. Es lassen sich in den nachfolgenden Optionen bis zu 15 Ports angeben.
    --source-port [<port[,<port>]>] Prüfen des Quell-Ports des Paketes.
    --destination-port [<port[,<port>]>] Prüfen des Ziel-Ports des Paketes.
    --port [<port[,<port>]>] Prüfen des Quell- oder Ziel-Ports des Paketes.

Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung