Firewalling unter Linux

Das Programm ipchains ist die Benutzerschnittstelle zum Paketfilter der Firewall. Es ist in jeder guten Linux-Distribution enthalten. Falls es Ihrer Distribution nicht beiliegt, können Sie es aus dem Internet kopieren.

Pro Aufruf des Programms wird eine Regel für IP-Pakete angegeben. Eine solche Regel gibt die Eigenschaften eines IP-Pakets an und definiert eine Aktion, die auszuführen ist, wenn das Paket allen angegebenen Eigenschaften entspricht.

Mögliche Eigenschaften der IP-Pakete:

• Position (input, forward, output)
• Protokoll (wie z.B. tcp, udp, icmp)
• Quell-IP-Adresse und/oder Ziel-IP-Adresse (optional mit Netzmaske)
• Quell-Port und/oder Ziel-Port
• Netzwerk-Schnittstelle
• Verbindungsaufbau-Paket/Nicht-Verbindungsaufbau-Paket (SYN-Bit/Nicht-SYN-Bit)

Diese Eigenschaften können auch negiert werden, indem ihnen ein ! vorangestellt wird.

Aktionen des Paketfilters:

• DENY (verweigern, d.h. das Paket wird ohne Rückmeldung verworfen und nicht beantwortet)
• REJECT (zurückweisen, d.h. das Paket wird abgelehnt, und dem Absender wird ein ICMP-Paket mit der Rückmeldung »destination unreachable« gesandt)
• ACCEPT (akzeptieren, d.h. das Paket wird ganz normal weiter verarbeitet)
• REDIRECT <port> (umleiten, d.h. das Paket wird auf den angegebenen lokalen Port des Firewall-Computers umgeleitet, um dort von einer Anwendung bearbeitet zu werden)
• MASQ (maskieren, d.h. es wird so getan, als würde das Paket vom Firewall-Computer selbst kommen, und nicht von einem anderen Rechner hinter der Firewall)

Durch die Verknüpfung von Eigenschaften und Aktionen lassen sich Regeln aufstellen, die in Regellisten zusammengefasst werden und die Filterfunktionen des Paketfilters steuern.

Standardmäßig gibt es drei Regellisten:

• »input« für ankommende Pakete
• »output« für ausgehende Pakete
• »forward« für Pakete, die von einer Netzwerkschnittstelle zu einer anderen weitegeleitet werden (die also die Router-Funktion der Firewall benutzen)

Die Regeln einer Regelliste werden der Reihe nach abgearbeitet. Die erste für das Paket passende Regel wird ausgeführt. Spezielle Regeln müssen also unbedingt vor allgemeinen Regeln stehen!

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Red Hat 6.2 Deluxe Test 
• RAID-Array unter Linux