Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Unterschiede zwischen iptables und ipchains

18.2. Unterschiede zwischen iptables und ipchains

Auf den ersten Blick scheinen sich ipchains und iptables sehr zu �hneln. Beide Methoden verwenden Regel-Chains f�r die Filterung von Paketen und arbeiten im Linux-Kernel, nicht nur um zu entscheiden, welche Pakete hinein-oder hinausgelassen werden sollen, sondern auch, wie mit diesen Paketen, die bestimmten Regeln entsprechen, verfahren werden soll. iptables stellt Ihnen jedoch eine deutlich erweiterbarere Paketfilterung zur Verf�gung, da sie dem Administrator mehr Kontrolle gibt, ohne dass das gesamte System hierdurch zu kompliziert wird.

Insbesondere sollten Benutzer, die sich mit ipchains gut auskennen, auf folgende wichtige Unterschiede zwischen ipchains und iptables achten, bevor sie versuchen, iptables zu benutzen:

  • Mit iptables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer einzigen Chain und nicht mit denen mehrerer Chains verarbeitet. Beispiel: Ein FORWARD-Paket, das ein System betritt, w�rde mit ipchains den INPUT-, FORWARD-, und OUTPUT-Chains unterliegen, um sein Ziel zu erreichen. iptables hingegen sendet Pakete nur zur INPUT-Chain, wenn diese f�r das lokale System bestimmt sind, w�hrend Pakete nur an die OUTPUT-Chain gesendet werden, wenn das lokale System die Pakete erzeugt hat. Aus diesem Grund m�ssen Sie sicherstellen, dass sich die Regel f�r das Abfangen eines bestimmten Pakets in der richtigen Chain befindet, die das Paket auch wirklich behandelt.

  • Das DENY-Ziel wurde auf DROP ge�ndert. Mit ipchains k�nnen Pakete, die einer Regel in einer Chain entsprachen, an das DENY-Ziel weitergeleitet werden, welches unbemerkt das Paket ausgelassen hat. Dieses Ziel muss mit iptables auf DROP ge�ndert werden, damit derselbe Effekt erzielt wird.

  • Die Reihenfolge ist wichtig, wenn Optionen in eine Chainregel eingef�gt werden. Mit ipchains spielt die Reihenfolge der Optionen bei der Eingabe einer Regel keine Rolle. Der iptables-Befehl benutzt eine genauere Syntax. In iptables-Befehlen m�ssen Sie das zu verwendende Protokoll (ICMP, TCP, oder UDP) vor dem Ursprungs- oder Zielport spezifizieren.

  • Bei der Spezifizierung von Netzwerkschnittstellen, auf die eine bestimmte Regel angewandt werden soll, m�ssen Sie Eingangsschnittstellen -i option) nur mit INPUT- oder FORWARD-Chains und Ausgangsschnittstellen (-o option) nur mit FORWARD- oder OUTPUT-Chains verwenden. Dies ist notwendig, weil OUTPUT-Chains nicht mehr f�r Eingangsschnittstellen verwendet werden und INPUT-Chains f�r Pakete, die durch eine Schnittstelle treten, nicht gesehen werden.

Dies ist keine umfassende Liste aller �nderungen, da iptables ein von Grund auf neu geschriebener Netzwerkfilter ist. Genauere Einzelheiten finden Sie im Linux Packet Filtering HOWTO mit Verweisen in Abschnitt 18.7.

 
 
  Published under the terms of the GNU General Public License Design by Interspire