Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Mit iptables-Befehlen verwendete Optionen

18.3. Mit iptables-Befehlen verwendete Optionen

Regeln f�r das Filtern von Paketen werden durch Ausf�hren des iptables-Befehls erstellt. Die folgenden Aspekte des Pakets werden oft als Richlinien benutzt:

  • Pakettyp — Diese Option legt fest, welche Art von Paketen der Befehl filtert.

  • Paketquelle oder -ziel — Diese Option legt fest, welche Pakete vom Befehl auf Grundlage der Paketquelle oder des Paketziels gefiltert werden.

  • Ziel — Diese Option legt fest, welche Aktion ausgef�hrt wird, wenn die Pakete die oben genannten Kriterien erf�llen.

F�r weitere Informationen zu spezifischen Optionen, welche diese Aspekte eines Pakets betreffen, sehen Sie Abschnitt 18.3.4 und Abschnitt 18.3.5.

Die mit der gegebenen iptables-Regel verwendeten Optionen m�ssen logisch gruppiert sein, d.h. auf Grundlage des Zwecks und der Bedingungen der Gesamtregel, damit die Regel g�ltig ist. Der Rest dieses Abschnitts erkl�rt h�ufig verwendete Optionen des Befehls iptables.

18.3.1. Struktur der iptables-Optionen

Viele iptables-Befehle haben folgende Struktur:

iptables [-t <table-name>] <command> <chain-name> <parameter-1> \
         <option-1> <parameter-n> <option-n>

Die Option <table-name> erlaubt dem Benutzer eine andere Tabelle als die standardm��ige filter-Tabelle auszuw�hlen, die mit dem Befehl verwendet werden soll. Die Option <command> l�st einen bestimmten Vorgang aus, wie z.B. das Anh�ngen oder L�schen einer Regel in einer Chain, die in der Option <chain-name> spezifiziert ist. Nach der Option <chain-name> befinden sich Parameterpaare und Optionen, die letztendlich dar�ber entscheiden, wie die Regel angewandt wird und was passiert, wenn ein Paket einer Regel entspricht.

Bei der Betrachtung der Struktur eines iptables-Befehls ist es wichtig, daran zu denken, dass sich anders als bei den meisten anderen Befehlen L�nge und Komplexit�t eines iptables-Befehls je nach seinem Zweck ver�ndern k�nnen. Ein einfacher Befehl f�r das Entfernen einer Regel aus einer Chain kann z.B. sehr kurz sein, w�hrend ein Befehl f�r das Filtern von Paketen aus einem bestimmten Sub-Netz aufgrund verschiedener spezifischer Parameter und Optionen sehr lang sein kann. Bei iptables-Befehlen sollten Sie ber�cksichtigen, dass manche Parameter und Optionen, die verwendet werden, unter Umst�nden die Notwendigkeit nach sich ziehen, weitere Parameter und Optionen zu erstellen, damit die Anforderungen der ersten Option weiter spezifiziert werden k�nnen. Um eine g�ltige Regel zu erstellen, muss diese weitergef�hrt werden, bis jeder Parameter und jede Option, die einen weiteren Optionensatz erfordert, erf�llt ist.

Wenn Sie iptables -h eingeben, erhalten Sie eine vollst�ndige Liste der iptables-Befehlsstrukturen.

18.3.2. Befehlsoptionen

Mit Befehlsoptionen wird iptables angewiesen, einen bestimmten Vorgang auszuf�hren. Nur ein einziger Befehl pro iptables-Befehlszeichenkette ist zugelassen. Mit Ausnahme des Hilfebefehls sind alle Befehle in Gro�buchstaben geschrieben.

Die iptables-Befehle sind:

  • -A — H�ngt die iptables-Regel an das Ende der spezifizierten Chain an. Dies ist der Befehl, mit dem eine Regel einfach hinzugef�gt wird, wenn die Reihenfolge der Regeln in der Chain nicht ausschlaggebend ist.

  • -C — Kontrolliert eine bestimmte Regel, bevor sie zur benutzerdefinierten Chain hinzugef�gt wird. Dieser Befehl kann Ihnen dabei helfen, komplizierte iptables-Regeln zu erstellen, indem er Sie jeweils durch Aufforderungen dazu bringt, zus�tzliche Parameter und Optionen einzugeben.

  • -D — Entfernt eine Regel in einer bestimmten Chain nach ihrer Ziffer (z.B. 5 f�r die 5. Regel einer Chain). Sie k�nnen ebenfalls die gesamte Regel eingeben, woraufhin iptables dann die entsprechende Regel aus der Chain, mit der die Regel �bereinstimmt, entfernt.

  • -E — Benennt eine benutzerdefinierte Chain um. Dies hat allerdings keine Auswirkung auf die Tabellenstruktur.

  • -F — L�scht die gew�hlte Chain, woraufhin effektiv jede Regel in der Chain entfernt wird. Wenn keine Chain angegeben wird, l�scht dieser Befehl jede Regel jeder Chain.

  • -h — Liefert eine Liste mit Befehlsstrukturen sowie eine kurze Zusammenfassung der Befehlsparameter und -Optionen.

  • -I — F�gt eine Regel an einem bestimmten Punkt in eine Chain ein, welcher ein ganzzahliger Wert ist. Wenn kein Wert angegeben ist, setzt iptables den Befehl an den Anfang der Regelliste.

    AchtungAchtung
     

    Achten Sie darauf, dass, wenn Sie die Option -A oder -I verwenden, die Reihenfolge der Regeln sehr wichtig sein kann, wenn Sie bestimmen, welche Regeln auf welche Pakete zutreffen.

  • -L — Listet alle Regeln in der nach dem Befehl spezifizierten Chain auf. Um alle Regeln in allen Chains in der Standardtabelle filter aufzulisten, spezifizieren Sie nicht eine Chain oder eine Tabelle. Ansonsten sollte folgende Satzstruktur verwendet werden, um die Regeln in einer spezifischen Chain in einer bestimmten Tabelle aufzulisten:

    iptables -L <chain-name> -t <table-name>

    Zus�tzliche Optionen f�r die -L-Befehlsoption, die Regelziffern liefern und ausf�hrlichere Regelbeschreibungen erm�glichen, finden Sie in Abschnitt 18.3.6.

  • -N — Erstellt eine neue Chain mit benutzerdefiniertem Namen.

  • -P — Setzt die standardm��ige Policy f�r eine bestimmte Chain, damit bei der Durchquerung von Paketen durch eine Chain, die Pakete, wie bei ACCEPT oder DROP, ohne �bereinstimmung mit einer Regel an ein bestimmtes Ziel weitergeleitet werden k�nnen.

  • -R — Ersetzt eine Regel in einer bestimmten Chain. Sie m�ssen eine Regelnummer nach dem Namen der Chain verwenden, um die Regel zu ersetzen. Die erste Regel einer Chain bezieht sich auf die Regelziffer eins.

  • -X — Entfernt eine benutzerdefinierte Chain. Das Entfernen einer integrierten Chain f�r eine Tabelle ist nicht zugelassen.

  • -Z — Stellt Byte- und Paketz�hler in allen Chains f�r eine bestimmte Tabelle auf Null.

18.3.3. iptables Parameteroptionen

Sobald gewisse iptables-Befehle spezifiziert worden sind, einschlie�lich derer zum Hinzuf�gen, Anh�ngen, Entfernen, Einf�gen oder Ersetzen innerhalb einer bestimmten Chain, m�ssen Sie Parameter definieren, um mit der Erstellung einer Paketfilterungsregel beginnen zu k�nnen.

  • -c — Setzt die Z�hler f�r eine bestimmte Regel zur�ck. Dieser Parameter akzeptiert die PKTS- und BYTES-Optionen zur Spezifizierung der zur�ckzusetzenden Z�hler.

  • -d — Stellt Ziel-Hostnamen, IP-Adresse oder Netzwerk eines Pakets ein, das mit der Regel �bereinstimmt. Wenn das Paket mit einem Netzwerk �bereinstimmt, sind die folgenden Formate f�r IP-Adressen/Netmasks unterst�tzt:

    • N.N.N.N/M.M.M.M — Wobei N.N.N.N der Bereich der IP-Adresse und M.M.M.M die Netmask ist.

    • N.N.N.N/M — Wobei N.N.N.N der Bereich der IP-Adresse und M die Bitmask ist.

  • -f — Wendet diese Regel nur auf fragmentierte Pakete an.

    Durch Verwendung der !-Option nach diesem Parameter werden nur unfragmentierte Parameter verglichen.

  • -i — Setzt die Schnittstelle des Eingangsnetzwerks, z.B. eth0 oder ppp0, die f�r eine bestimmte Regel benutzt werden soll. Mit iptables sollte dieser zus�tzliche Parameter nur mit INPUT- und FORWARD-Chains in Verbindung mit der filter-Tabelle und der PREROUTING-Chain mit den nat- und mangle-Tabellen verwendet werden.

    Dieser Parameter unterst�tzt auch folgende spezielle Optionen:

    • ! — Macht die Anweisung r�ckg�ngig, was bedeutet, dass jegliche spezifizierte Schnittstellen von dieser Regel ausgenommen sind.

    • + — Ein Platzhalterzeichen, das verwendet wird, um alle Schnittstellen zu kontrollieren, die einer bestimmten Zeichenkette entsprechen. Der -i eth+-Parameter w�rde diese Regel z.B. f�r alle Ethnernet-Schnittstellen Ihres Systems anwenden, aber alle anderen Schnittstellen, wie z.B. ppp0 auslassen.

    Wenn der -i-Parameter ohne Spezifizierung einer Schnittstelle verwendet wird, ist jede Schnittstelle von dieser Regel betroffen.

  • -j — Springt zum festgelegten Ziel, wenn ein Paket einer bestimmten Regel entspricht. G�ltige Ziele, die nach der -j-Option verwendet werden k�nnen, sind unter anderem die Standardoptionen ACCEPT, DROP, QUEUE und RETURN sowie erweiterte Optionen, die �ber Module verf�gbar sind, die standardm��ig mit mit dem Red Hat Enterprise Linux iptablesRPM-Paket geladen werden, wie z.B. unter anderem LOG, MARK und REJECT. Weitere Informationen zu diesen und anderen Zielen sowie Regeln zu deren Verwendung finden Sie auf der iptables-man-Seite.

    Sie k�nnen ein Paket, das dieser Regel entspricht, auch an eine benutzerdefinierte Chain au�erhalb der aktuellen Chain weiterleiten. Dadurch k�nnen Sie andere Regeln auf dieses Paket anwenden.

    Wenn kein Ziel festgelegt ist, bewegt sich das Paket an der Regel vorbei, ohne dass etwas passieren w�rde. Der Z�hler f�r diese Regel springt jedoch um eine Stelle weiter.

  • -o — Setzt die Schnittstelle des Ausgangsnetzwerks f�r eine bestimmte Regel fest, die nur mit OUTPUT- un d FORWARD-Chains in der filter-Tabelle und mit der POSTROUTING-Chain in den nat- und mangle-Tabellen verwendet werden kann. Die Optionen dieses Parameters sind dieselben wie die des Parameters der Schnittstelle des Eingangsnetzwerks (-i).

  • -p — Setzt das IP-Protokoll f�r die Regel, die entweder icmp, tcp, udp oder all sein kann, um allen m�glichen Protokollen zu entsprechen. Au�erdem k�nnen weniger verwendete Protokolle, die in /etc/protocols aufgelistet sind, ebenfalls verwendet werden. Wenn diese Option beim Erstellen einer Regel ausgelassen wird, ist die all-Option der Standard.

  • -s — Setzt die Quelle eines bestimmten Pakets mit Hilfe derselben Satzstrukturen, die der Zielparameter (-d) verwendet.

18.3.4. iptables Match-Optionen

Verschiedene Netzwerkprotokolle erm�glichen spezielle �bereinstimmungsoptionen, die auf spezifische Weise gesetzt werden k�nnen, um ein bestimmtes Paket mit Hilfe dieses Protokolls zu kontrollieren. Das Protokoll muss nat�rlich zuerst im iptables-Befehl spezifiziert werden, z.B. durch die Verwendung von -p tcp <Protokollname> (wobei <Protokollname> das Ziel-Protokoll ist) die Optionen f�r dieses Protokoll verf�gbar zu machen.

18.3.4.1. TCP-Protokoll

Folgende �bereinstimmungsoptionen stehen f�r das TCP-Protokoll zur Verf�gung (-p tcp):

  • --dport — Setzt den Zielport f�r das Paket. F�r die Konfiguration dieser Option k�nnen Sie entweder den Namen eines Netzwerkdienstes verwenden (z.B. www oder smtp) und eine oder mehrere Portnummern verwenden. Um die Namen und Alias-Namen der Netzwerkdienste und die Portnummern, die Sie verwenden, nachzulesen, sehen Sie sich bitte die Datei /etc/services an. Sie k�nnen auch --destination-port verwenden, um diese �bereinstimmungsoption zu spezifizieren.

    Um eine spezifische Reihe von Portnummern anzugeben, trennen Sie die zwei Ziffern durch einen Doppelpunkt (:), z.B.: -p tcp --dport 3000:3200. Der gr��tm�glichste Bereich ist 0:65535.

    Sie k�nnen auch ein Ausrufezeichen (!) als Flag nach der --dport-Option verwenden, um iptables anzuweisen, alle Pakete, die nicht diesen Netzwerkdienst oder diesen Port verwenden, zu kontrollieren.

  • --sport — Setzt den Ursprungsport des Pakets unter Verwendung der selben Optionen wie --dport. Sie k�nnen auch --source-port verwenden, um diese �bereinstimmungsoption zu spezifizieren.

  • --syn — Kontrolliert alle TCP-Pakete, die eine Kommunikation initialisieren sollen, allgemein SYN-Pakete genannt, auf �bereinstimmung mit dieser Regel. Alle Pakete, die einen Daten-Payload enthalten, werden nicht bearbeitet. Wird ein Ausrufezeichen (!) als Flag hinter die --syn-Option gesetzt, werden alle Nicht-SYN-Pakete kontrolliert.

  • --tcp-flags — Erm�glicht die Verwendung von TCP-Paketen mit bestimmten Bits oder Flags, damit sie einer Regel entsprechen. Die �bereinstimmungsoption --tcp-flags akzeptiert nachstehend zwei Parameter, die Flags f�r bestimmte Bits in einer Liste mit Kommatrennung sind. Der erste Parameter ist eine Maske, die die zu untersuchenden Flags des Pakets bestimmt. Der zweite Parameter bezieht sich auf die Flags, die im Paket gesetzt werden m�ssen, um eine �bereinstimmung zu erhalten.

    M�gliche Flags sind:

    • ACK

    • FIN

    • PSH

    • RST

    • SYN

    • URG

    • ALL

    • NONE

    Eine iptables-Regel, die -p tcp --tcp-flags ACK,FIN,SYN SYN enth�lt, �berpr�ft beispielsweise nur TCP-Pakete, in denen das SYN-Flag aktiviert und die ACK- und FIN-Flags deaktiviert sind.

    Wie bei vielen anderen Optionen auch, wird die Auswirkung der �berpr�fungsoptionen durch Einf�gen eines Ausrufezeichens (!) hinter --tcp-flags umgekehrt, so dass f�r deren �berpr�fung die Flags des zweiten Parameters nicht in Reihenfolge gesetzt werden m�ssen.

  • --tcp-option — Versucht mit Hilfe von TCP-spezifischen Optionen zu �berpr�fen, die innerhalb eines bestimmten Pakets aktiviert werden k�nnen. Diese �bereinstimmungsoption kann ebenfalls mit dem Ausrufezeichen (!) umgekehrt werden.

18.3.4.2. UDP-Protokoll

F�r das UDP-Protokoll stehen folgende �bereinstimmungsoptionen zur Verf�gung(-p udp):

  • --dport — Spezifiziert den Zielport des UDP-Pakets unter Verwendung von Dienstnamen, Portnummer oder einer Reihe von Portnummern. Die --destination-port-�bereinstimmungsoption kann an Stelle von --dport benutzt werden.

  • --sport — Setzt den Ursprungsport des Pakets unter Verwendung der selben Optionen wie --dport. Sie k�nnen auch --source-port anstatt --sport verwenden, um diese �bereinstimmungsoption zu spezifizieren.

18.3.4.3. ICMP-Protokoll

Diese folgenden Match-Optionen sind f�r das Internet Control Message Protocol (ICMP) (-p icmp) verf�gbar:

  • --icmp-type — Bestimmt den Namen oder die Nummer des ICMP-Typs, der mit der Regel �bereinstimmen soll. Durch Eingabe des Befehls iptables -p icmp -h wird eine Liste aller g�ltigen ICMP-Namen angezeigt.

18.3.4.4. Module mit zus�tzlichen Match-Optionen

Zus�tzliche �bereinstimmungsoptionen, die sich nicht spezifisch auf ein Protokoll beziehen, sind ebenfalls mithilfe von Modulen verf�gbar, die geladen werden, wenn der iptables- Befehl sie aufruft. Um ein �bereinstimmungsmodul anzuwenden, m�ssen Sie das Modul mit dessen Namen laden, indem beim Erstellen einer Regel der -m <Modulname> (wobei <Modulname> durch den Namen des Moduls ersetzt wird) in den iptables-Befehl eingef�gt wird.

Standardm��ig stehen zahlreiche Module zur Verf�gung. Sie k�nnen auch Ihre eigenen Module erstellen, um die Funktionalit�t zu erweitern.

Folgend ist eine Teilliste der am h�ufigsten verwendeten Module:

  • limit-Modul — Erlaubt eine Grenze f�r die Anzahl der in �bereinstimmung mit einer Regel zu �berpr�fenden Pakete zu setzen. Dies ist besonders n�tzlich, wenn zusammen mit einem LOG-Target verwendet. Auf diese Weise verhindern Sie, dass die zahlreichen �bereinstimmenden Pakete Ihre Protokolldateien nicht mit wiederholten Nachrichten �berf�llen oder zu viele Systemressourcen beanspruchen. Sehen Sie Abschnitt 18.3.5 f�r weitere Informationen zum LOG-Target.

    Das limit-Modul erlaubt die folgenden Optionen:

    • --limit — Bestimmt die Zahl der �bereinstimmungen innerhalb eines bestimmten Zeitraums, der mit einem Anzahl- und Zeitmodifikator in dem Format <number> /<Zeit> angegeben wird. Mit --limit 5/hour, zum Beispiel, kann die Regel nur 5 Mal in einer Stunde �bereinstimmen.

      Wenn keine Anzahl- und Zeitarbeiter angegeben sind, wird der Standardwert 3/hour angenommen.

    • --limit-burst — Setzt eine Grenze f�r die Anzahl von Paketen, deren �bereinstimmung mit einer Regel gleichzeitig gepr�ft --limit-Option verwendet werden. Man kann au�erdem einen maximalen Grenzwert setzen.

      Wenn keine Zahl festgelegt wird, k�nnen anfangs nur f�nf Pakete in �bereinstimmung mit der Regel �berpr�ft werden.

  • state-Modul — Dieses Modul, welches die --state-�bereinstimmungsoptionen definiert, kann ein Paket auf die nachfolgenden, bestimmten Verbindungszust�nde �berpr�fen:

    Das Modul state erlaubt die folgenden Optionen:

    • --state — �bereinstimmung mit einem Paket, das folgenden Verbindungszust�nde hat:

      • ESTABLISHED — Das �bereinstimmende Paket wird anderen Paketen in einer bestimmten Verbindung zugeordnet.

      • INVALID — Das �bereinstimmende Paket kann nicht mit einer bekannten Verbindung verkn�pft werden.

      • NEW — Das �bereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei-Weg-Verbindung, die vorher nicht gesehen wurde.

      • RELATED — Ein �bereinstimmendes Paket stellt eine neue Verbindung her, die auf irgendeine Weise mit einer bestehenden Verbindung zusammenh�ngt.

      Die Verbindungsstatus k�nnen untereinander miteinander verbunden werden, indem sie durch Kommata voneinander getrennt werden, wie z.B. in -m state --state INVALID,NEW.

  • mac-Modul — Dieses Modul erm�glicht die �bereinstimmung einer bestimmten Hardware-MAC-Adresse zu �berpr�fen.

    Das mac-Modul hat folgende Option:

    • --mac-source — �berpr�ft die MAC-Adresse der NIC, welche das Paket gesendet hat. Um eine MAC-Adresse von einer Regel auszuschlie�en, f�gen Sie nach der --mac-source-�bereinstimmungsoption ein Ausrufezeichen (!) hinzu.

Weitere, �ber Module verf�gbare �bereinstimmungsoptionen finden Sie auf der man-Seite zu iptables.

18.3.5. Zieloptionen

Sobald ein Paket mit einer bestimmten Regel �bereinstimmt, kann die Regel das Paket an viele verschiedene Ziele senden, an denen dann eventuell weitere Vorg�nge erfolgen. Au�erdem hat jede Chain ein standardm��iges Ziel, das verwendet wird, wenn ein Paket keiner Regel entspricht oder wenn in der Regel, mit dem das Paket �bereinstimmt, ein Ziel angegeben ist.

Die Folgenden sind die Standardziele:

  • <user-defined-chain><user-defined-chain> steht hier f�r den Namen der benutzerdefinierten Chain. Dieses Ziel leitet das Paket zur Ziel-Chain weiter.

  • ACCEPT — Das Paket gelangt erfolgreich an sein Ziel oder an eine andere Chain.

  • DROP — Das Paket wird "ausgelassen". Das System, das dieses Paket gesendet hat, wird nicht �ber das "Ausfallen" des Pakets benachrichtigt.

  • QUEUE — Das Paket wird zur Warteschlange f�r die Bearbeitung durch eine Benutzerraum-Applikation hinzugef�gt.

  • RETURN — H�lt die �berpr�fung der �bereinstimmung des Pakets mit Regeln in der aktuellen Chain an. Wenn das Paket mit einem RETURN-Ziel mit einer Regel in einer Chain �bereinstimmt, die von einer anderen Chain aufgerufen wurde, wird das Paket an die erste Chain zur�ckgesendet, damit die �berpr�fung wieder dort aufgenommen werden kann, wo sie unterbrochen wurde. Wenn die RETURN-Regel in einer integrierten Chain verwendet wird und das Paket nicht zu seiner vorherigen Chain zur�ckkehren kann, entscheidet das Standardziel f�r die aktuelle Chain, welche Ma�nahme getroffen wird.

Zus�tzlich zu diesen Standardzielen k�nnen auch noch verschiedene andere Ziele mit Erweiterungen verwendet werden, sogenannte Zielmodule. Weitere Informationen zu �bereinstimmungsoptionsmodulen finden Sie unter Abschnitt 18.3.4.4.

Es gibt viele erweiterte Zielmodule, von denen sich die meisten auf bestimmte Tabellen oder Situationen beziehen. Einige der bekanntesten Zielmodule, die standardm��ig in Red Hat Enterprise Linux enthalten sind:

  • LOG — Protokolliert alle Pakete, die dieser Regel entsprechen. Da die Pakete vom Kernel protokolliert werden, bestimmt die /etc/syslog.conf-Datei, wo diese Protokolldateien geschrieben werden. Standardm��ig werden sie in der /var/log/messages-Datei abgelegt.

    Nach dem LOG-Ziel k�nnen verschiedene Optionen verwendet werden, um die Art des Protokolls zu bestimmen:

    • --log-level — Bestimmt die Priorit�tsstufe eines Protokolliervorgangs. Auf den man-Seiten von syslog.conf- finden Sie eine Liste der Priorit�tsstufen.

    • --log-ip-options — Alle in den Kopfzeilen eines IP-Pakets enthaltenen Optionen werden protokolliert.

    • --log-prefix — F�gt beim Schreiben einer Protokollzeile eine Zeichenkette vor der Protokollzeile ein. Es werden bis zu 29 Zeichen nach der --log-prefix- Option akzeptiert. Dies ist auch beim Schreiben von syslog-Filtern im Zusammenhang mit der Paketprotokollierung sehr n�tzlich.

    • --log-tcp-options — Alle in den Kopfzeilen eines TCP-Pakets enthaltenen Optionen werden protokolliert.

    • --log-tcp-sequence — Schreibt die TCP- Sequenznummer f�r das Paket in der Protokolldatei.

  • REJECT — Sendet ein Fehlerpaket an das System zur�ck, das das Paket gesendet hat, und l�sst dieses dann "aus" (DROP).

    Mit dem REJECT-Ziel kann die --reject-with <Typ> -Option verwendet werden, um mehrere Details zusammen mit dem Fehlerpaket zu senden. Die Meldung port-unreachable ist die standardm��ige <type>-Fehlermeldung (wobei <type> die Art der Zur�ckweisung angibt), die angezeigt wird, wenn keine andere Option angewandt wurde. Eine vollst�ndige Liste der verwendbaren <type>-Optionen finden Sie auf der iptables-man-Seite.

Andere Zielerweiterungen, die f�r die Maskierung unter Verwendung der nat-Tabelle oder f�r Paket�nderung mithilfe der mangle-Tabelle n�tzlich sind, finden Sie auf der iptables-man-Seite.

18.3.6. Auflistungsoptionen

Der standardm��ige Auflistungsbefehl iptables -L bietet eine sehr allgemeine �bersicht �ber die standardm��igen aktuellen Regel-Chains der Filtertabelle. Es gibt aber auch noch zus�tzliche Optionen mit weiteren Informationen:

  • -v — Zeigt eine ausf�hrliche Ausgabe an, wie z.B. die Anzahl der Pakete und Bytes, die jede Chain gesehen hat, die Anzahl der Pakete und Bytes, die von jeder Regel auf �bereinstimmung �berpr�ft wurden und auf deren Schnittstellen eine bestimmte Regel angewandt werden.

  • -x — Erweitert die Zahlen auf ihre exakten Werte. In einem arbeitenden System kann die Anzahl der Pakte und Bytes, die von einer bestimmten Chain oder Regel gesehen werden, unter Verwendung der Abk�rzungen K (Tausender), M (Millionen) und G (Milliarden) am Ende der Zahl wiedergegeben werden. Mit dieser Option muss zwangsl�ufig die vollst�ndige Zahl angezeigt werden.

  • -n — Zeigt IP-Adressen und Portnummern im numerischen Format an, und nicht im standardm��igen Hostnamen- und Netzwerkdienst-Format.

  • --line-numbers — Listet Regeln in jeder Chain in N�he derer numerischer Reihenfolge in der Chain auf. Diese Option ist n�tzlich, wenn man versucht, eine bestimmte Regel aus einer Chain zu entfernen oder zu bestimmen, wo eine Regel in einer Chain eingef�gt werden soll.

  • -t — Gibt einen Tabellennamen an.

 
 
  Published under the terms of the GNU General Public License Design by Interspire