Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - Verwendung von iptables

7.2. Verwendung von iptables

Der erste Schritt bei der Verwendung von iptables ist, den iptables-Dienst zu starten. F�hren Sie folgenden Befehl aus:

service iptables start

WarnungWarnung
 

Die ip6tables-Dienste sollten abgeschaltet sein, wenn IPTables mit dem folgenden Befehl verwendet wird:

service ip6tables stop
chkconfig ip6tables off

Damit iptables immer standardm��ig startet, wenn das System hochgefahren wird, m�ssen Sie mit chkconfig den Runlevel-Status �ndern.

chkconfig --level 345 iptables on

Die Syntax von iptables ist in Stufen unterteilt. Die Hauptstufe ist die Kette. Eine Kette (Chain) setzt den Satus fest, bei dem ein Paket manipuliert wird. Die Verwendung sieht so aus:

iptables -A chain -j target

-A f�gt eine Regel an das Ende eines existierenden Regelsystems an. Kette ist der Name der Kette f�r eine Regel. Die drei eingebauten Ketten von iptables sind INPUT, OUTPUT und FORWARD. (Dies sind die Ketten, die auf jedes Paket einwirken, das ein Netzwerk durchl�uft.) Diese Ketten sind permanent und k�nnen nicht gel�scht werden. Die -j target-Option legt den Ort im iptables-Regelsystem, wohin diese bestimmte Regel springen sollte.

Neue Ketten (auch benutzerdefinierte Ketten genannt) k�nnen mittels der -N-Option erstellt werden. Eine neue Kette zu erzeugen ist n�tzlich zum Anpassen von granularen oder aufwendigen Regeln.

7.2.1. Grundlegende Firewall-Richtlinien

Die Festlegung grundlegender Firewall-Richtlinien ist das Fundament auf dem mehr benutzerdefinierte und detaillierte Regeln erstellt werden k�nnen. iptables verwendet Richtlinien (-P), um standardm��ige Regeln zu erstellen. Sicherheitsbewusste Administratoren entscheiden sich normalerweise f�r die Norm, alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall-zu-Fall-Basis zu genehmigen. Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwerkes:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Zus�tzlich wird empfohlen, dass jeder forwarded packets — Netzwerkverkehr, der von der Firewall zu seinem Zielknoten geleitet werden soll, ebenfalls verhindert wird. Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet gesch�tzt. Ben�tzen Sie hierf�r folgende Regel:

iptables -P FORWARD DROP 

Nachdem die Ketten gem�� der Richtlinien eingestellt sind, k�nnen Sie neue Regeln f�r Ihre besonderen Netzwerk- und Sicherheitsbed�rfnisse erstellen. Im Folgenden sind einige Regeln beschrieben, die sie beim Aufbau Ihrer iptables-Firewall verwenden k�nnen.

7.2.2. Speichern und Wiederherstellen von iptables-Regeln

Firewall-Regeln sind nur aktiv, wenn der Computer l�uft. Wenn Sie das System neu starten, werden die Regeln automatisch gel�scht und r�ckgestellt. Verwenden Sie folgenden Befehl, um die Regeln zu speichern, damit sie nachher wieder geladen werden k�nnen:

/sbin/service iptables save

Die Regeln werden in der Datei /etc/sysconfig/iptablesgespeichert und werden immer dann aktiviert, wenn das Service gestartet oder neu gestartet wird, auch wenn das System neu hochgefahren wird.

 
 
  Published under the terms of the GNU General Public License Design by Interspire