Login
Newsletter
Werbung

So, 4. November 2001, 00:00

iptables - Die Firewall des Kernels 2.4

Was wird praktisch mit den Tabellen/Ketten (Tables/Chains) gemacht?

filter/INPUThier landen alle Pakete, die an einen lokalen Prozeß gerichtet sind. Damit lassen sich Zugriffe auf lokale Prozesse hier perfekt regulieren, z.B.:
  • Zugriff auf einen lokal laufenden Server nur aus bestimmten Netzen
  • Nur Pakete durchlassen, die zu einer bestehenden Verbindung gehören
 
filter/OUTPUThier gehen alle Pakete durch, die von einem lokalen Prozeß erzeugt wurden. Damit lassen sich lokale Prozesse nach außen schützen, z.B.:
  • keine ausgehenden "verdächtigen" Verbindungen am Server (Schutz eines Servers vor Daten-Klau)
  • keine "losen" Pakete nach draußen -- nur gültige Verbindungen
 
filter/ROUTINGdurch diese Chain gehen alle Pakete durch, die durch diese Maschine geroutet werden. Hiermit lassen sich also alle Rechner in jeweils dem Zielnetz des Routing schützen, z.B.:
  • kein UDP nach außen, außer DNS
  • keine öffnenden Verbindungen nach innen
  • Pakete, die zu keiner Verbindung gehören, werden gefiltert
 
nat/PREROUTINGWenn Adress-Übersetzungen durchgeführt werden, müssen alle Pakete vor dem Routing hier durch. Hier lassen sich für zu routende Pakete verändern:
  • die Ziel-IP-Adresse
  • der Ziel-Port
 
nat/OUTPUTvom lokalen Rechner stammende Pakete gehen hier durch; Änderungen wie nat/PREROUTING.
 
nat/POSTROUTINGHier gehen nochmals alle Pakete, die geroutet worden sind, durch (auch lokal erzeugte Pakete). Hier werden Angaben über die Herkunft eines Paketes verändert, wie:
  • Quell-IP-Adresse
  • Masquerading (Sonderform von Quell-IP-Änderung)
 
mangle/PREROUTING
mangle/OUTPUT
ähnlich den "nat" chains, nur mit dem Unterschied, daß hier spezielle Paket-Parameter geändert werden können, wie:
  • die TTL (Time to live)

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung