firewall home |
Einleitung |
Architektur |
Syntax |
Stateful Inspection |
NAT/Masquerading |
logging |
BeispielScripts |
Quellen/Links |
|
iptables Syntax
Eine Regel sieht allgemein etwa so aus :
iptables <Kommando> <passt auf (match)> <jump/Ziel (target)>
Kommandos :
Syntax: | Beschreibung: | Beispiel: |
-A, --append | hängt eine Regel an das Ende der chain an | iptables -A INPUT |
-D, --delete | löscht eine Regel. Es gibt zwei Möglichkeiten eine Regel zu löschen: Entweder ein -D und die zu löschende Regel dahinter oder mithilfe einer Nummer | iptables -D INPUT -eth0 ... oder iptables -D INPUT 4 |
-R, --replace | ersetzt eine Regel durch eine andere | iptables -R OUTPUT 2 -i eth0 ... |
-I, --insert | fügt eine Regel mit der gegebenen Nummer ind die entsprechende Zeile ein | iptables -I OUTPUT 4 --dport 80 -j ACCEPT |
-L, --list | Listet alle chains mit allen Regeln oder nur einzelne chains auf | iptables -L OUTPUT |
-F, --flush | löscht alle Regeln in allen oder in bestimmten chains | iptables -F INPUT |
-Z, --zero | ||
-N, --new-chain | erstellt eine neue sebstdefinierte chain. Kann man auch machen | iptables -N blah |
-X, --delete-chain | löscht eine zuvor selbst erstellte chain | iptables -X blah |
-P, --policy | setzt die default Einstellung für eine chain : DROP ACCEPT oder REJECT | iptables -P INPUT DROP |
-E, --rename-chain | ändert den Namen einer selbst erstellten chain | iptables -E blah blubb |
Optionen die zusammen mit den Kommandos genutzt werden können :
matches (Treffer):
Syntax: | Beschreibung: | Beispiel: |
-p, --protocol | bestimmt das Protokoll (tcp, udp, icmp) | iptables -A INPUT -p tcp -j DROP |
-s, --source | bestimmt die Quelladresse | iptables -A INPUT -s 194.22.1.1 -j DROP |
-d, --destination | des gleichen mit Zieladresse | iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT |
-i, --in-interface | eingehende Schnittstelle |
iptables -A INPUT -i eth0 |
-o, --out-interface | ausgehende Schnittstelle | |
--sport, --source-port | Quellport | |
--dport,--destination- port |
Zielport | --dport 80 oder für eine Bereich: --dport 2664:2770 |
--tcp-flags | ||
--syn | ||
-c, --set-counters | ||
-f, --fragment | ||
--tcp-option | ||
--icmp-type | welchen icmp-Typ will ich erlauben? | |
--mac-source | MAC-Adresse | |
für stateful inspection | ||
--state | Es gibt die Statusformen NEW, ESTABLISH, RELATED und INVALID | iptables -A OUTPUT -p udp -m state --state NEW, ESTABLISHED -j ACCEPT |
Ziele :
ACCEPT | Das Paket wird durchgelassen | |
DROP | Das Paket wird verworfen | |
LOG | loggt das Paket, logisch | |
RETURN | Macht das gleiche wie DROP, außer daß es eine ICMP "port unreachable" Nachricht an den Sender zurückschickt. | |
MARK | ||
REJECT | ||
TOS | ||
MIRROR | ||
SNAT | ||
DNAT | ||
MASQUERADE | ||
REDIRECT | ||
QUEUE | ||
ULOG | ||
TTL |