7.2. Verwendung von iptables
Der erste Schritt bei der Verwendung von iptables ist, den iptables-Dienst zu starten. F�hren Sie folgenden Befehl aus:
| Warnung |
---|
| Die ip6tables-Dienste sollten abgeschaltet sein, wenn IPTables mit dem folgenden Befehl verwendet wird: service ip6tables stop
chkconfig ip6tables off |
|
Damit iptables immer standardm��ig startet, wenn das System hochgefahren wird, m�ssen Sie mit chkconfig den Runlevel-Status �ndern.
chkconfig --level 345 iptables on |
Die Syntax von iptables ist in Stufen unterteilt. Die Hauptstufe ist die Kette. Eine Kette (Chain) setzt den Satus fest, bei dem ein Paket manipuliert wird. Die Verwendung sieht so aus:
iptables -A chain -j target |
-A f�gt eine Regel an das Ende eines existierenden Regelsystems an. Kette ist der Name der Kette f�r eine Regel. Die drei eingebauten Ketten von iptables sind INPUT, OUTPUT und FORWARD. (Dies sind die Ketten, die auf jedes Paket einwirken, das ein Netzwerk durchl�uft.) Diese Ketten sind permanent und k�nnen nicht gel�scht werden. Die -j target-Option legt den Ort im iptables-Regelsystem, wohin diese bestimmte Regel springen sollte.
Neue Ketten (auch benutzerdefinierte Ketten genannt) k�nnen mittels der -N-Option erstellt werden. Eine neue Kette zu erzeugen ist n�tzlich zum Anpassen von granularen oder aufwendigen Regeln.
7.2.1. Grundlegende Firewall-Richtlinien
Die Festlegung grundlegender Firewall-Richtlinien ist das Fundament auf dem mehr benutzerdefinierte und detaillierte Regeln erstellt werden k�nnen. iptables verwendet Richtlinien (-P), um standardm��ige Regeln zu erstellen. Sicherheitsbewusste Administratoren entscheiden sich normalerweise f�r die Norm, alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall-zu-Fall-Basis zu genehmigen. Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwerkes:
iptables -P INPUT DROP
iptables -P OUTPUT DROP |
Zus�tzlich wird empfohlen, dass jeder forwarded packets — Netzwerkverkehr, der von der Firewall zu seinem Zielknoten geleitet werden soll, ebenfalls verhindert wird. Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet gesch�tzt. Ben�tzen Sie hierf�r folgende Regel:
Nachdem die Ketten gem�� der Richtlinien eingestellt sind, k�nnen Sie neue Regeln f�r Ihre besonderen Netzwerk- und Sicherheitsbed�rfnisse erstellen. Im Folgenden sind einige Regeln beschrieben, die sie beim Aufbau Ihrer iptables-Firewall verwenden k�nnen.
7.2.2. Speichern und Wiederherstellen von iptables-Regeln
Firewall-Regeln sind nur aktiv, wenn der Computer l�uft. Wenn Sie das System neu starten, werden die Regeln automatisch gel�scht und r�ckgestellt. Verwenden Sie folgenden Befehl, um die Regeln zu speichern, damit sie nachher wieder geladen werden k�nnen:
/sbin/service iptables save |
Die Regeln werden in der Datei /etc/sysconfig/iptablesgespeichert und werden immer dann aktiviert, wenn das Service gestartet oder neu gestartet wird, auch wenn das System neu hochgefahren wird.