Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - �bliche iptables Filterung

7.3. �bliche iptables Filterung

Fremde Angriffe von einem LAN fernzuhalten, ist ein wichtiger Aspekt der Netzwerksicherheit, wenn nicht der Wichtigste. Die Integrit�t eines LAN sollte durch die Verwendung strenger Firewall-Regeln vor b�sartigen ausw�rtigen Benutzern gesch�tzt werden. Mit Standard-Richtlinien, die alle eingehenden, ausgehenden und weitergeleiteten Pakete blockieren, ist es allerdings Firewall/Gateway- und internen LAN-Benutzern nicht m�glich, miteinander oder extern zu kommunizieren. Damit die Benutzer Netzwerk-bezogene Funktionen aus�ben und Netzwerk-Anwendungen verwenden k�nnen, m�ssen die Administratoren bestimmte Ports f�r die Kommunikation �ffnen.

Um Beispielsweise Zugang zu Part 80 an der Firewall zu erm�glichen, f�gen Sie die fogende Regel hinzu:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

Dies erm�glicht normales Webbrowsing von Websites, die �ber Port 80 kommunizieren. Um Zugang zu sicheren Websites zu erhalten (wie z.B. https://www.example.com/), m�ssen Sie auch Port 443 �ffnen:

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 

WichtigWichtig
 

Wenn ein iptables-Regelsystem erstellt wird, darf nicht vergessen werden, dass die Reihenfolge wichtig ist. Wenn z.B. eine Kette festlegt, dass alle Pakete des lokalen 192.168.100.0/24 Subnetzes ausgelassen werden und dann eine Kette angef�gt wird (-A), die Pakete von 192.168.100.13 (dies liegt innerhalb des ausgelassenen beschr�nkten Subnetzes) genehmigt, dann wird die angef�gte Regel ignoriert. Sie m�ssen in diesem Fall zuerst eine Regel aufstellen, die 192.168.100.13 genehmigt, und dann eine Auslassungsregel im Subnetz erstellen.

Um willk�rlich eine Regel in eine existierende Kette von Regeln einzuf�gen, verwenden Sie -I gefolgt von der Kette, in der Sie die Regel einf�gen wollen und einer Regelnummer (1,2,3,...,n) die besagt, wo die Regel liegt. Zum Beispiel:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

Die Regel wird als erste Regel in der INPUT-Kette eingef�gt, damit Verkehr von einer lokalen Loopback-Einrichtung m�glich wird.

Es mag Zeiten geben, in denen Sie einen Zugang zum LAN von au�erhalb des LAN herstellen wollen. F�r einen verschl�sselten Zugang von au�en k�nnen Sie sichere Services wie SSH oder CIPE verwenden. Administratoren mit PPP-Ressourcen (wie Modem-Banken oder ISP-Massenkonten) k�nnen Einwahl-Verbindungen verwenden, um Firewall-Barrieren sicher zu umgehen. Modemverbindungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls/Gateways. F�r Fernbenutzer mit Breitband-Verbindungen k�nnen spezielle Einstellungen gemacht werden. Sie k�nnen iptables so konfigurieren, dass Verbindungen von entfernt liegenden SSH-Clients akzeptiert werden. Verwenden Sie die folgenden Regeln, um zum Beispiel einen SSH-Zugang von au�en zu erm�glichen:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Es gibt noch andere Dienste, f�r die Sie Regeln definieren m�ssen. Siehe Red Hat Enterprise Linux Referenzhandbuch f�r ausf�hrliche Informationen �ber die zahlreichen Optionen von iptables und �ber iptables selbst.

Diese Regeln erlauben eingehenden und ausgehenden Zugang f�r ein individuelles System, wie einen Einzel-PC, der direkt mit dem Internet oder Firewall/Gateway verbunden ist. Sie erlauben jedoch keinen Zugang zu diesen Diensten f�r Netzwerkknoten hinter der Firewall. Sie k�nnen NAT mit iptables-Filterregeln verwenden, um LAN-Zugang zu diesen Diensten zu erm�glichen.

 
 
  Published under the terms of the GNU General Public License Design by Interspire