Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 7. Firewalls | Nach vorne |
Der erste Schritt bei der Verwendung von IPTables ist, den IPTables Service zu starten. Führen Sie folgenden Befehl aus:
service iptables start |
![]() | Warnung | |
---|---|---|
Die IP6Tables Services sollten abgeschaltet sein, wenn IPTables mit dem folgenden Befehl verwendet wird:
|
Damit IPTables immer standardmäßig startet, wenn das System hochgefahren wird, müssen Sie mit chkconfig den Runlevel-Status bei dem Service ändern.
chkconfig --level 345 iptables on |
Die Syntax von ITPables ist in Stufen eingeteilt. Die Hauptstufe ist die Kette. Eine Kette (Chain) setzt den Satus fest, bei dem ein Paket manipuliert wird. Die Verwendung sieht so aus:
iptables -A chain -j target |
-A fügt eine Regel an das Ende eines existierenden Regelsystems an. Kette ist der Name der Kette für eine Regel. Die drei eingebauten Ketten von IPTables sind INPUT, OUTPUT und FORWARD. (Dies sind die Ketten, die auf jedes Paket einwirken, das ein Netzwerk durchläuft.) Diese Ketten sind permanent und können nicht gelöscht werden.
![]() | Wichtig | |
---|---|---|
Wenn ein IPTables Regelsystem erstellt wird, darf nicht vergessen werden, dass die Reihenfolge wichtig ist. Wenn z.B. eine Kette festlegt, dass alle Pakete des lokalen 192.168.100.0/24 Subnetzes ausgelassen werden, und dann eine Kette angefügt wird (-A), die Pakete von 192.168.100.13 (dies liegt innerhalb des ausgelassenen beschränkten Subnetzes) genehmigt, dann wird die angefügte Regel ignoriert. Sie müssen in diesem Fall zuerst eine Regel aufstellen, die 192.168.100.13 genehmigt, und dann eine Auslassungsregel im Subnetz erstellen. Um willkürlich eine Regel in eine existierende Kette von Regeln einzufügen, verwenden Sie -I, gefolgt von der Kette, in der Sie die Regel einfügen wollen, und einer Regelnummer (1,2,3,...,n) die besagt, wo die Regel liegt. Zum Beispiel:
Die Regel wird als erste Regel in der INPUT-Kette eingefügt, damit Verkehr von einer lokalen Loopback-Einrichtung möglich wird. |
Einige grundlegende, von Beginn an etablierte Richtlinien können als Basis für ausführlichere und vom Benutzer definierte Regeln dienen. IPTables verwendet Richtlinien (-P) um standardmäßige Regeln zu erstellen. Sicherheitsbewusste Administratoren entscheiden sich normalerweise für die Norm, alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall-zu-Fall-Basis zu genehmigen. Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwerkes:
iptables -P INPUT DROP iptables -P OUTPUT DROP |
Zusätzlich wird empfohlen, dass jeder forwarded packets — Netzwerkverkehr, der von der Firewall zu seinem Zielknoten geleitet werden soll, ebenfalls verhindert wird. Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet geschützt. Benützen Sie hierfür folgende Regel:
iptables -P FORWARD DROP |
![]() | Anmerkung |
---|---|
Beim Arbeiten mit appended-Regeln wird zwischen den REJECT und DROP Zielaktionen unterschieden. REJECT verweigert den Zugriff und zeigt bei Benutzern, die versuchen, sich mit dem Service zu verbinden, einen connection refused Error an. DROP lässt das Paket ohne jede Warnung für telnet Benutzer aus. Die Administratoren können diese Aktionen nach ihrem eigenen Gutdünken verwenden. Es wird allerdings REJECT empfohlen, um Verwirrung beim Benutzer und wiederholte Verbindungsversuche zu vermeiden. |
Nachdem die Ketten gemäß der Richtlinien eingestellt sind, können Sie neue Regeln für Ihre besonderen Netzwerk- und Sicherheitsbedürfnisse erstellen. Im Folgenden sind einige Regeln beschrieben, die sie beim Aufbau Ihrer IPTables-Firewall verwenden können.
Firewall-Regeln sind nur aktiv, wenn der Computer läuft. Wenn Sie das System neu starten, werden die Regeln automatisch gelöscht und rückgestellt. Verwenden Sie folgenden Befehl, um die Regeln zu speichern, damit sie nachher wieder geladen werden können:
/sbin/service iptables save |
Die Regeln werden in der Datei /etc/sysconfig/iptablesgespeichert und werden immer dann aktiviert, wenn das Service gestartet oder neu gestartet wird, auch wenn das System neu hochgefahren wird.
Zurück | Zum Anfang | Nach vorne |
Firewalls | Nach oben | Übliche iptables Filterung |