|
|
|
| firewall home |
| Einleitung |
| Architektur |
| Syntax |
| Stateful Inspection |
| NAT/Masquerading |
| logging |
| BeispielScripts |
| Quellen/Links |
|
|
iptables Syntax
Eine Regel sieht allgemein etwa so aus :
iptables <Kommando> <passt auf (match)> <jump/Ziel (target)>
Kommandos :
| Syntax: | Beschreibung: | Beispiel: |
| -A, --append | hängt eine Regel an das Ende der chain an | iptables -A INPUT |
| -D, --delete | löscht eine Regel. Es gibt zwei Möglichkeiten eine Regel zu löschen: Entweder ein -D und die zu löschende Regel dahinter oder mithilfe einer Nummer | iptables -D INPUT -eth0 ... oder iptables -D INPUT 4 |
| -R, --replace | ersetzt eine Regel durch eine andere | iptables -R OUTPUT 2 -i eth0 ... |
| -I, --insert | fügt eine Regel mit der gegebenen Nummer ind die entsprechende Zeile ein | iptables -I OUTPUT 4 --dport 80 -j ACCEPT |
| -L, --list | Listet alle chains mit allen Regeln oder nur einzelne chains auf | iptables -L OUTPUT |
| -F, --flush | löscht alle Regeln in allen oder in bestimmten chains | iptables -F INPUT |
| -Z, --zero | ||
| -N, --new-chain | erstellt eine neue sebstdefinierte chain. Kann man auch machen | iptables -N blah |
| -X, --delete-chain | löscht eine zuvor selbst erstellte chain | iptables -X blah |
| -P, --policy | setzt die default Einstellung für eine chain : DROP ACCEPT oder REJECT | iptables -P INPUT DROP |
| -E, --rename-chain | ändert den Namen einer selbst erstellten chain | iptables -E blah blubb |
Optionen die zusammen mit den Kommandos genutzt werden können :
matches (Treffer):
| Syntax: | Beschreibung: | Beispiel: |
| -p, --protocol | bestimmt das Protokoll (tcp, udp, icmp) | iptables -A INPUT -p tcp -j DROP |
| -s, --source | bestimmt die Quelladresse | iptables -A INPUT -s 194.22.1.1 -j DROP |
| -d, --destination | des gleichen mit Zieladresse | iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT |
| -i, --in-interface | eingehende Schnittstelle |
iptables -A INPUT -i eth0 |
| -o, --out-interface | ausgehende Schnittstelle | |
| --sport, --source-port | Quellport | |
| --dport,--destination- port |
Zielport | --dport 80 oder für eine Bereich: --dport 2664:2770 |
| --tcp-flags | ||
| --syn | ||
| -c, --set-counters | ||
| -f, --fragment | ||
| --tcp-option | ||
| --icmp-type | welchen icmp-Typ will ich erlauben? | |
| --mac-source | MAC-Adresse | |
| für stateful inspection | ||
| --state | Es gibt die Statusformen NEW, ESTABLISH, RELATED und INVALID | iptables -A OUTPUT -p udp -m state --state NEW, ESTABLISHED -j ACCEPT |
Ziele :
| ACCEPT | Das Paket wird durchgelassen | |
| DROP | Das Paket wird verworfen | |
| LOG | loggt das Paket, logisch | |
| RETURN | Macht das gleiche wie DROP, außer daß es eine ICMP "port unreachable" Nachricht an den Sender zurückschickt. | |
| MARK | ||
| REJECT | ||
| TOS | ||
| MIRROR | ||
| SNAT | ||
| DNAT | ||
| MASQUERADE | ||
| REDIRECT | ||
| QUEUE | ||
| ULOG | ||
| TTL |