Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 17. iptables | Nach vorne |
Auf den ersten Blick scheinen sich ipchains und iptables sehr zu ähneln. Beide Methoden verwenden Regel-Chains für die Filterung von Paketen und arbeiten im Linux-Kernel, nicht nur um zu entscheiden, welche Pakete hinein-oder hinausgelassen werden sollen, sondern auch, wie mit diesen Paketen, die bestimmten Regeln entsprechen, verfahren werden soll. iptables stellt Ihnen jedoch eine deutlich erweiterbarere Paketfilterung zur Verfügung, da sie dem Administrator mehr Kontrolle gibt, ohne dass das gesamte System hierdurch zu kompliziert wird.
Insbesondere sollten Benutzer, die sich mit ipchains gut auskennen, auf folgende wichtige Unterschiede zwischen ipchains und iptables achten, bevor sie versuchen, iptables zu benutzen:
Mit iptables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer einzigen Chain und nicht mit denen mehrerer Chains verarbeitet. Beispiel: Ein FORWARD-Paket, das ein System betritt, würde mit ipchains den INPUT-, FORWARD-, und OUTPUT-Chains unterliegen, um sein Ziel zu erreichen. iptables hingegen sendet Pakete nur zur INPUT-Chain, wenn diese für das lokale System bestimmt sind, während Pakete nur an die OUTPUT-Chain gesendet werden, wenn das lokale System die Pakete erzeugt hat. Aus diesem Grund müssen Sie sicherstellen, dass sich die Regel für das Abfangen eines bestimmten Pakets in der richtigen Chain befindet, die das Paket auch wirklich behandelt.
Das DENY-Ziel wurde auf DROP geändert. Mit ipchains können Pakete, die einer Regel in einer Chain entsprachen, an das DENY-Ziel weitergeleitet werden, welches unbemerkt das Paket ausgelassen hat. Dieses Ziel muss mit iptables auf DROP geändert werden, damit derselbe Effekt erzielt wird.
Die Reihenfolge ist wichtig, wenn Optionen in eine Chainregel eingefügt werden. Bisher war mit ipchains die Reihenfolge der Optionen bei der Eingabe einer Regel nicht so wichtig. Der iptables-Befehl ist ein wenig empfindlicher dafür, an welcher Stelle Optionen eingefügt werden. Sie müssen nun z.B. den Ursprungs- oder Zielport nach dem in einer Chainregel zu verwendenden Protokoll (ICMP, TCP, oder UDP) spezifizieren.
Bei der Spezifizierung von Netzwerkschnittstellen, auf die eine bestimmte Regel angewandt werden soll, müssen Sie Eingangsschnittstellen -i option) nur mit INPUT- oder FORWARD-Chains und Ausgangsschnittstellen (-o option) nur mit FORWARD- oder OUTPUT-Chains verwenden. Dies ist notwendig, weil OUTPUT-Chains nicht mehr für Eingangsschnittstellen verwendet werden und INPUT-Chains für Pakete, die durch eine Schnittstelle treten, nicht gesehen werden.
Dies sind auf keinen Fall alle Änderungen, da iptables ein von Grund auf neu geschriebener Netzwerkfilter ist. Genauere Einzelheiten finden Sie im Linux 2.4 Packet Filtering HOWTO und in den unter Abschnitt 17.7 angegebenen Quellen.
Zurück | Zum Anfang | Nach vorne |
iptables | Nach oben | Mit iptables-Befehlen verwendete Optionen |