iptables - Die Firewall des Kernels 2.4
Aufruf-Konventionen von iptables (Schnelleinstieg)
Grundsätzlich gilt:
- Kommandos bestehen aus einem GROSS-Buchstaben, z.B. -L oder einer Lang-Form z.B. --list
- Targets (d.h. Ziele oder Aktionen) bestehen aus einem Wort in GROSS, z.B. DROP
- Chains bestehen aus einem Wort in GROSS, z.B. PREROUTING
- Tabellen sind Worte in Kleinbuchstaben, z.B. filter
- Optionen bestehen aus Kleinbuchstaben, z.B. -t oder --source-port
Liste der Kommandos (nur Kurzform)
! | Ein vorangestelltes "!" bedeutet Negation, d.h. der nachfolgende Parameter darf nicht mit den Daten eines Paketes übereinstimmen. Ohne "!" wird stets auf Übereinstimmung getestet. |
[...] | Alle in eckigen Klammern stehenden Werte sind optional |
<...> | Das in spitzen Klammern stehende Wort steht stellvertretend für den stattdessen einzusetzenden Inhalt |
-A <chain> <regel> | Anfügen einer neuen Regel am Ende einer Chain/Tabelle |
-D <chain> <regel> | Löschen einer Regel aus einer Chain/Tabelle |
-C <chain> <regel> | Testen eines Paketes mit bestimmten Bedingungen auf eine Chain/Tabelle |
-R <chain> <nr> <regel> | Ersetzen einer Regel durch eine neue |
-I <chain> <nr> <regel> | Einfügen einer Regel in eine Tabelle/Chain |
-L [<chain>] | Auflisten aller Regeln einer Tabelle/Chain evtl. mit -Z |
-F [<chain>] | Alle Regeln einer Chain löschen |
-Z [<chain>] | Löschen der Zähler einer Chain |
-N <chain> | Neue benutzerdefinierte Chain anlegen |
-X <chain> | Benutzerdefinierte Chain löschen |
-P <chain> <ziel> | Standardverhalten einer Chain festlegen |
-E <chain> <chain-neu> | Umbenennen einer Chain |
Generelle, begleitende Optionen
-t <tabelle> | Auswahl einer Tabelle (filter, nat, mangle); "filter" ist die Standard-Tabelle, falls diese Option nicht gewählt wurde. Hierbei wird das diese Tabelle "managende" Modul [iptable_<tabelle>] geladen, sofern der Kernel mit automatischem Modul-Loading konfiguriert ist. |
-v | Mehr ausgeben... |
-n | Numerische Ausgaben bei Auflistungen |
-x | Exakte Zahlenangeben anstelle von Kilo, Mega, Giga... |
-h | Hilfe-Meldungen und Optionen ausgeben (in Verbindung mit -m oder -j werden die mit dem jeweiligen Modul zur Verfügung stehenden zusätzlichen Optionen angezeigt). |
-m <modul> | Zusätzliche Optionen bereitstellen, die im angegebenen Modul verankert sind. Hierbei wird der Modulname ohne vorangestelltes "ipt_" und ohne Erweiterung angegeben (z.B. "mac" zum Laden des Moduls "ipt_mac.o"). Besonders hilfreich ist in diesem Zusammenhang die Hilfe-Funktion (-h), die in Verbindung mit einem Modul dessen Parameter und Optionen auflistet. |
