Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - �bliche iptables Filterung

7.3. �bliche iptables Filterung

Fremde Angriffe von einem LAN fernzuhalten, ist ein wichtiger Aspekt der Netzwerksicherheit, wenn nicht der Wichtigste. Die Integrit�t eines LAN sollte durch die Verwendung strenger Firewall-Regeln vor b�sartigen ausw�rtigen Benutzern gesch�tzt werden. Mit Standard-Richtlinien, die alle eingehenden, ausgehenden und weitergeleiteten Pakete blockieren, ist es allerdings Firewall/Gateway- und internen LAN-Benutzern nicht m�glich, miteinander oder extern zu kommunizieren. Damit die Benutzer Netzwerk-bezogene Funktionen aus�ben und Netzwerk-Anwendungen verwenden k�nnen, m�ssen die Administratoren bestimmte Ports f�r die Kommunikation �ffnen.

Um Beispielsweise Zugang zu Part 80 an der Firewall zu erm�glichen, f�gen Sie die fogende Regel hinzu:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

Dies erm�glicht normales Webbrowsing von Websites, die �ber Port 80 kommunizieren. Um Zugang zu sicheren Websites zu erhalten (wie z.B. https://www.example.com/), m�ssen Sie auch Port 443 �ffnen:

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 

WichtigWichtig
 

Wenn ein iptables-Regelsystem erstellt wird, darf nicht vergessen werden, dass die Reihenfolge wichtig ist. Wenn z.B. eine Kette festlegt, dass alle Pakete des lokalen 192.168.100.0/24 Subnetzes ausgelassen werden und dann eine Kette angef�gt wird (-A), die Pakete von 192.168.100.13 (dies liegt innerhalb des ausgelassenen beschr�nkten Subnetzes) genehmigt, dann wird die angef�gte Regel ignoriert. Sie m�ssen in diesem Fall zuerst eine Regel aufstellen, die 192.168.100.13 genehmigt, und dann eine Auslassungsregel im Subnetz erstellen.

Um willk�rlich eine Regel in eine existierende Kette von Regeln einzuf�gen, verwenden Sie -I gefolgt von der Kette, in der Sie die Regel einf�gen wollen und einer Regelnummer (1,2,3,...,n) die besagt, wo die Regel liegt. Zum Beispiel:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

Die Regel wird als erste Regel in der INPUT-Kette eingef�gt, damit Verkehr von einer lokalen Loopback-Einrichtung m�glich wird.

Es mag Zeiten geben, in denen Sie einen Zugang zum LAN von au�erhalb des LAN herstellen wollen. F�r einen verschl�sselten Zugang von au�en k�nnen Sie sichere Services wie SSH oder CIPE verwenden. Administratoren mit PPP-Ressourcen (wie Modem-Banken oder ISP-Massenkonten) k�nnen Einwahl-Verbindungen verwenden, um Firewall-Barrieren sicher zu umgehen. Modemverbindungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls/Gateways. F�r Fernbenutzer mit Breitband-Verbindungen k�nnen spezielle Einstellungen gemacht werden. Sie k�nnen iptables so konfigurieren, dass Verbindungen von entfernt liegenden SSH-Clients akzeptiert werden. Verwenden Sie die folgenden Regeln, um zum Beispiel einen SSH-Zugang von au�en zu erm�glichen:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Es gibt noch andere Dienste, f�r die Sie Regeln definieren m�ssen. Siehe Red Hat Enterprise Linux Referenzhandbuch f�r ausf�hrliche Informationen �ber die zahlreichen Optionen von iptables und �ber iptables selbst.

Diese Regeln erlauben eingehenden und ausgehenden Zugang f�r ein individuelles System, wie einen Einzel-PC, der direkt mit dem Internet oder Firewall/Gateway verbunden ist. Sie erlauben jedoch keinen Zugang zu diesen Diensten f�r Netzwerkknoten hinter der Firewall. Sie k�nnen NAT mit iptables-Filterregeln verwenden, um LAN-Zugang zu diesen Diensten zu erm�glichen.

 
 
  Published under the terms of the GNU General Public License Design by Interspire