Linux Firewall mit ipchains
Eigenschaften von Regeln
Die einzelnen Regeln sind zeilenorientiert abgelegt und lassen sich in den jeweiligen Listen einzeln einfügen oder löschen. Die Filter arbeiten für jedes Netzwerkpaket, das die Firewall passiert, eine Liste ab, bis das Paket eine Regel erfüllt. Erfüllt es keine Regel, kommt die Default-Aktion (Policy) für die jeweilige Liste zum Einsatz.
Die Definition einer Regel bestimmt zum Beispiel, auf welche Ports oder Source-Adressen die Regel passt. Beim Anlegen oder Ändern einer Regel können Sie über eine ganze Reihe von Optionen in der Kommandozeile die Eigenschaften der Regel festlegen. Einen Überblick über die ipchains-Optionen bzw. Regeleigenschaften gibt die folgende Tabelle:
Regelparameter | Beschreibung |
|---|---|
| |
-p protokollnummer | Protokoll des IPv4-Pakets, z.B. tcp, udp, icmp, all oder eine Nummer, die in /etc/protocols definiert ist |
-s quelladresse | Quelladresse/-netzwerk |
-s quelladresse port | Quelladresse/-netzwerk mit Angabe des Quellports/-portbereichs |
-sport port | Quellport/-portbereich ohne Angabe einer Adresse |
-d zieladresse | Zieladresse/-netzwerk |
-d zieladresse | Zieladresse/-netzwerk mit Angabe des Zielports/-portbereichs |
-dport port | Zielport/-portbereich ohne Angabe einer Adresse |
--icmp-type typbezeichnung | ICMP-Typ bzw. Untertyp |
-i schnittstelle | Schnittstelle des Pakets (bei input ankommendes, bei forward und output ausgehendes) |
-i schnittstellenpräfix+ | Schnittstellen, die mit dem Präfix beginnen |
-y | Paket initiiert eine TCP-Verbindung (SYN gesetzt, ACK und FIN gelöscht) |
-j aktion | Aktion beim Erfüllen der Regel (nicht zwingend nötig) |
-l | Protokollieren des Pakets, wenn Regel passend |
! parameter | Negiert den Parameter, z.B. Adresse, Port, Verbindungsaufbau, Schnittstelle |
portstart:portende | Definiert einen Portbereich von "portstart" bis "portende" |
portstart: | Definiert einen Portbereich von "portstart" bis 65535 |
:portende | Definiert einen Portbereich von 0 bis "portende" |