iptables: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Der [[Shell-Befehl]] <b>iptables</b> stammt aus dem Paket [[Netfilter]] und dient der Konfiguration von [[Xtables]].
Der [[Shell-Befehl]] <b>iptables</b> stammt aus dem Paket [[Netfilter]] und dient der Konfiguration der Tabellen (engl. tables), die durch die [[Firewall]] im [[Linux-Kernel]] (bestehend aus einer Reihe von Netfilter-Modulen) bereitgestellt wird, sowie deren Ketten (engl. chains) und Regeln (engl. rules) die in diesen Tabellen enthalten sind. Verschiedene Programme werden gegenwärtig für unterschiedliche Protokolle verwendet; iptables beschränkt sich auf IPv4, für IPv6 gibt es Ip6tables, für ARP ist es Arptables, für Ethernetpakete gibt es Ebtables.
 
== Konzept ==
 
Der Begriff "iptables" wird auch oft verwendet, um ausschliesslich die Linux-Kernel-Komponenten zu beschreiben. "x_tables" ist der Name des Kernelmoduls, der den geteilten Code aller vier Module trägt, und der sonst noch das API für Iptables-Erweiterungen bereitstellt. Folglich wird Xtables mehr oder minder dazu verwendet, um die gesamte Firewall-Infrastruktur zu benennen.
 
iptables ist ein leistungsfähiger Paketfilter, mit dem sehr leicht eine Firewall aufgesetzt werden kann. Das modulare iptables verwendet Einstiegspunkte in Kernel-Routinen (Hooks), die Netfilter bereitstellt. Das Kernel-Subsystem Netfilter bietet durch seinen Aufbau die Möglichkeit, eine Firewall sehr flexibel zu konfigurieren.
 
REIN ---> PREROUTING                              POSTROUTING -----> RAUS
          mangle/nat                              mangle/nat
            v                                      ^
            v                FORWARD                ^
          Routing? --------> filter/mangle -------> ^
            v                                      ^
            v                                      ^
          INPUT                                  OUTPUT
          filter/mangle ---> Lokaler Prozess ---> filter/mangle/nat
 
 
iptables basiert auf Tabellen mit Regeln zum Bearbeiten von Paketen. Eine Regel legt fest, was mit Paketen geschieht.
* Die Tabelle "filter" etwa enthält Regeln zum Filtern von Daten.
* In der  Tabelle "nat" finden sich Regeln, um die [[IP-Adressen]] sowie die [[Ports]] von IP-Paketen zu manipulieren.
* In der Tabelle "mangle" landen Regeln zum Verändern von Paketen.
* Eigene Tabellen fassen bestimmte Regeln zusätzlich in einer Art Unterprogramm zusammen.
 
Je nach Tabelle gibt es vorgegebene Regelketten (chains), die bestimmen, welche Regel zum Einsatz kommt:
* "INPUT" behandelt eingehende Pakete für lokale Prozesse.
* "OUTPUT" kümmert sich um Pakete von lokalen Paketen nach aussen.
* "FORWARD" regelt die Weiterleitung von Paketen.
* "PREROUTING" nimmt unter Umständen bereits vor dem [[Routing]] Einfluss auf die Pakete.
* "POSTROUTING" nimmt unter Umständen nach dem [[Routing]] nochmals Einfluss auf die Pakete, bevor sie wirklich abgeschickt werden.
 
Oft zum Einsatz kommen die Regelketten "INPUT" und "OUTPUT" sowie bei Routern auch "FORWARD" in der Tabelle "filter". Für jede Regelkette gibt es in jeder Tabelle eine Standardrichtlinie (policy), die festlegt, was mit den IP-Paketen geschieht, auf die keine besondere Regel passt. Sie gibt als Ziel "ACCEPT" für das Akzeptieren oder "DROP" für das Verwerfen von Paketen an. Dieses Verhalten hilft beim Bestimmen komplexer Regelketten. Dabei gibt es zwei grundsätzliche Möglichkeiten, einen Paketfilter aufzubauen:
* Es wird ales verboten, was nicht ausdrücklich erlaubt ist. Das ist die sicherere Variante.
* Es wird alles erlaubt, was nicht ausdrücklich verboten ist.
 
Jede Regel enthält zwei Teile:
* Der erste Teil bestimmt, auf welche IP-Pakete die Regel zutrifft. Zu den Kriterien für die Auswahl der Pakete gehören unter anderem die Quell-IP-Adresse, die Ziel-IP-Adresse, der Quell-Port, der Ziel-Port sowie die Schnittstelle von Quelle oder Ziel.
* Der zweite Teil gibt an, wie der Paketfilter mit diesen Paketen verfährt.
 
== Konfiguration ==
 
iptables benötigt erweiterte Systemprivilegien und muss deshalb als Benutzer "root" ausgeführt werden.
 
Auf den meisten Linux-Systemen ist iptables unter "/usr/sbin/iptables" installiert.


== Verwendung ==
== Verwendung ==
Zeile 40: Zeile 84:


{{Weblinks|{{url_dewikipedia|Netfilter/iptables|Netfilter/iptables}}
{{Weblinks|{{url_dewikipedia|Netfilter/iptables|Netfilter/iptables}}
{{url_dewikipedia|Iptables|Iptables}}
{{url_enwikipedia|iptables|iptables}}
{{url_enwikipedia|iptables|iptables}}
}}
}}

Version vom 14. Juli 2009, 13:07 Uhr

Der Shell-Befehl iptables stammt aus dem Paket Netfilter und dient der Konfiguration der Tabellen (engl. tables), die durch die Firewall im Linux-Kernel (bestehend aus einer Reihe von Netfilter-Modulen) bereitgestellt wird, sowie deren Ketten (engl. chains) und Regeln (engl. rules) die in diesen Tabellen enthalten sind. Verschiedene Programme werden gegenwärtig für unterschiedliche Protokolle verwendet; iptables beschränkt sich auf IPv4, für IPv6 gibt es Ip6tables, für ARP ist es Arptables, für Ethernetpakete gibt es Ebtables.

Konzept

Der Begriff "iptables" wird auch oft verwendet, um ausschliesslich die Linux-Kernel-Komponenten zu beschreiben. "x_tables" ist der Name des Kernelmoduls, der den geteilten Code aller vier Module trägt, und der sonst noch das API für Iptables-Erweiterungen bereitstellt. Folglich wird Xtables mehr oder minder dazu verwendet, um die gesamte Firewall-Infrastruktur zu benennen.

iptables ist ein leistungsfähiger Paketfilter, mit dem sehr leicht eine Firewall aufgesetzt werden kann. Das modulare iptables verwendet Einstiegspunkte in Kernel-Routinen (Hooks), die Netfilter bereitstellt. Das Kernel-Subsystem Netfilter bietet durch seinen Aufbau die Möglichkeit, eine Firewall sehr flexibel zu konfigurieren.

REIN ---> PREROUTING                              POSTROUTING -----> RAUS
          mangle/nat                              mangle/nat
            v                                       ^
            v                FORWARD                ^
          Routing? --------> filter/mangle -------> ^
            v                                       ^
            v                                       ^
          INPUT                                   OUTPUT
          filter/mangle ---> Lokaler Prozess ---> filter/mangle/nat


iptables basiert auf Tabellen mit Regeln zum Bearbeiten von Paketen. Eine Regel legt fest, was mit Paketen geschieht.

  • Die Tabelle "filter" etwa enthält Regeln zum Filtern von Daten.
  • In der Tabelle "nat" finden sich Regeln, um die IP-Adressen sowie die Ports von IP-Paketen zu manipulieren.
  • In der Tabelle "mangle" landen Regeln zum Verändern von Paketen.
  • Eigene Tabellen fassen bestimmte Regeln zusätzlich in einer Art Unterprogramm zusammen.

Je nach Tabelle gibt es vorgegebene Regelketten (chains), die bestimmen, welche Regel zum Einsatz kommt:

  • "INPUT" behandelt eingehende Pakete für lokale Prozesse.
  • "OUTPUT" kümmert sich um Pakete von lokalen Paketen nach aussen.
  • "FORWARD" regelt die Weiterleitung von Paketen.
  • "PREROUTING" nimmt unter Umständen bereits vor dem Routing Einfluss auf die Pakete.
  • "POSTROUTING" nimmt unter Umständen nach dem Routing nochmals Einfluss auf die Pakete, bevor sie wirklich abgeschickt werden.

Oft zum Einsatz kommen die Regelketten "INPUT" und "OUTPUT" sowie bei Routern auch "FORWARD" in der Tabelle "filter". Für jede Regelkette gibt es in jeder Tabelle eine Standardrichtlinie (policy), die festlegt, was mit den IP-Paketen geschieht, auf die keine besondere Regel passt. Sie gibt als Ziel "ACCEPT" für das Akzeptieren oder "DROP" für das Verwerfen von Paketen an. Dieses Verhalten hilft beim Bestimmen komplexer Regelketten. Dabei gibt es zwei grundsätzliche Möglichkeiten, einen Paketfilter aufzubauen:

  • Es wird ales verboten, was nicht ausdrücklich erlaubt ist. Das ist die sicherere Variante.
  • Es wird alles erlaubt, was nicht ausdrücklich verboten ist.

Jede Regel enthält zwei Teile:

  • Der erste Teil bestimmt, auf welche IP-Pakete die Regel zutrifft. Zu den Kriterien für die Auswahl der Pakete gehören unter anderem die Quell-IP-Adresse, die Ziel-IP-Adresse, der Quell-Port, der Ziel-Port sowie die Schnittstelle von Quelle oder Ziel.
  • Der zweite Teil gibt an, wie der Paketfilter mit diesen Paketen verfährt.

Konfiguration

iptables benötigt erweiterte Systemprivilegien und muss deshalb als Benutzer "root" ausgeführt werden.

Auf den meisten Linux-Systemen ist iptables unter "/usr/sbin/iptables" installiert.

Verwendung

Anzeige des Status des IPv4-Paketfilters.

$ iptables -L

Eine Ausgabe wie die folgende zeigt eine deaktivierte Firewall.

Chain INPUT (policy ACCEPT)
target     prot opt source             destination

Chain FORWARD (policy ACCEPT)
target     prot opt source             destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source             destination

Stehen die Default Policies dagegen nicht auf "ACCEPT" und enthalten die einzelnen Chains Regeln, so arbeitet die Firewall.

Anzeige des Status des IPv4-Paketfilters mit einer detaillierten Anzeige, welche Regel wie oft "gematcht" hat.

$ iptables -L -v

Anzeige des Status des IPv4-Paketfilters mit einer detaillierten Anzeige, welche Regel wie oft "gematcht" hat. Dabei sollen nur die Treffer für den Dienst FTP angezeigt werden.

$ iptables -L -v | grep ftp

Löschen der Regeln und damit Deaktivierung der Firewall.

$ iptables -F

Zurücksetzen der Regeln auf den Voreinstellungswert "alles erlauben" (ACCEPT).

$ iptables -P INPUT ACCEPT
$ iptables -P OUTPUT ACCEPT

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen