Firewall unter Linux: netfilter/iptables
Damit ein Betriebssystem eine Paketfilter-Firewall unterstützen kann, muss der Kernel über die entsprechenden Funktionen verfügen. Diese Schnittstellen sind unter Linux als netfilter bekannt. Das entsprechende Frontend für den Userspace ist iptables. Mit dem iptables-Tool werden im Userspace nach einem definierten Format die Firewallregeln festgelegt. Diese werden dann über das netfilter-Interface im Kernel aktiviert. Ein iptables-Aufruf setzt sich ? vereinfacht ausgedrückt ? aus folgenden Komponenten zusammen:
-
Tabelle: Zuerst muss angegeben werden, um was für eine Regel es sich handelt ? eine Paketfilter- oder eine NAT-Regel.
-
Kette: Anschließend wird spezifiziert, auf welche Kette sich der folgende Regelausdruck bezieht und ob die folgende Regel einzufügen oder zu löschen ist.
Filterausdruck: Damit wird festgelegt, auf welche Pakete sich die Regel bezieht. Fehlt dieser Filterausdruck, geht die Firewall davon aus, dass alle Pakete der betreffenden Kette gefiltert werden sollen. -
Ziel: Zuletzt ist anzugeben, was mit den Paketen, diese alle Kriterien erfüllen, geschehen soll.
Mehr Infos
Dieser Artikel stammt auszugsweise aus "Linux ? Das distributionsunabhängige Handbuch", das bei Galileo Computing unter der ISBN 978-3-8362-1090-4 für 40 Euro erschienen ist. Auf 1117 Seiten führen die Autoren in die Linux-Grundlagen und die Arbeitsweise des Systems ein und geben wertvolle Praxistipps rund um das Thema Sicherheit. Weitere Infos erhalten Sie unter www.galileocomputing.de/1579.
Dieser Beitrag stammt von der COMPUTERWOCHE-Schwesterpublikation www.pcwelt.de.