Iptables

Aus Tuxfutter

Iptables ist das (Konsolen-) Programm, um den kerneleigenen Paketfilter unter Linux zu konfigurieren und abzufragen.

Die meisten Distributionen bieten bereits vorkonfigurierte Filterlisten als "Personal Firewall" an, jedoch ist das Regelwerk derartig komplex, dass die Standard-"Firewall" tatsächlich nur Einsteigern zu empfehlen ist, da diese zum Beispiel per YaST über einen kleinen Assistenten zusammengeklickt wird.

Um aber den Paketfilter tatsächlich zu verstehen, wird geraten, die distributionseigenen Regeln über Bord zu werfen und eigene Regeln zu entwerfen.

Eine kleine Vereinfachung, entsprechende Regeln mit iptables aufzustellen, bietet http://www.harry.homelinux.org/modules.php?name=iptables_Generator

Zwar birgt ein solches Vorgehen das Risiko, eklatante Schlupflöcher zu öffnen, aber mit Hilfe von externen Computern und z.B. dem Programm nmap kann ein bestehender Paketfilter überprüft werden.

Prinzipiell gilt: Dienste, die nicht benötigt werden, sind abzuschalten!

Welche Dienste (Daemons) laufen, zeigt das Programm "ps", bzw. "pstree".

Um iptables effektiv einzurichten, sollten wenigstens die Grundlagen von Netzwerken und Netzwerkprotokollen vorliegen.

Ebenfalls wichtig zu wissen ist: Keine Software ist 100% sicher!

Die Attacken durch Würmer, Viren und trojanische Pferde auf Windows-Rechner im Frühjahr 2004 haben dies in erschreckender Weise gezeigt.

Ein graphisches Frontend für das Erstellen von iptables-Regeln und für das Anzeigen von Informationen über die Netzwerkschnittstellen ist Firestarter.

Inhaltsverzeichnis 1 Regeln 2 Ketten (Chains) 2.1 FORWARD 2.2 INPUT 2.3 OUTPUT 3 Weblinks

[Bearbeiten] Regeln

Für jedes Datenpaket, das auf einem Netzwerkinterface irgendwo ankommt oder abgeht, gibt es eine Verhaltensregel. Diese Regeln sind:

• ACCEPT: Das Datenpaket darf den Filter passieren
• DROP: Das Datenpaket wird verworfen
• REJECT: Das Datenpaket wird zurück gewiesen
• MASQUERADE: Das Datenpakiert wird maskiert, d.h. mit einer anderen Quell- oder Ziel-IP-Adresse versehen
• REDIRECT: Das Datenpaket wird umgeleitet auf einen anderen Port oder Rechner

Iptables kann sowohl stateless (ohne Beachtung des Kontexts) als auch stateful (mit Beachtung der bisher bearbeiteten Pakete) arbeiten.

[Bearbeiten] Ketten (Chains)

Iptables verwendet sog. "Ketten" (Chains), für durchgehenden, ankommenden und abgehenden Netzwerkverkehr.

[Bearbeiten] FORWARD

Die FORWARD-Kette ist wichtig für Router. Diese Kette entscheidet, welche Pakete den Router passieren dürfen und welche nicht. Über die Kette POSTROUTING wird auch die Maskierung von internen lokalen Adressen auf eine externe offizielle IP-Adresse erledigt.

PREROUTING wird für das sog. "Port-Forwarding" verwendet, d.h., dass zum Beispiel ein transparenter Zwangsproxy damit möglich ist.

[Bearbeiten] INPUT

Die INPUT-Kette regelt den Verkehr der Daten, die in den Rechner hinein dürfen / sollen.

[Bearbeiten] OUTPUT

Die OUTPUT-Kette regelt den Verkehr der Daten, die aus dem Rechner hinaus dürfen / sollen.

[Bearbeiten] Weblinks

Netfilter
Einige Grundlagen zu TCP/IP