7.2. Verwendung von iptables

Der erste Schritt bei der Verwendung von iptables ist, den iptables-Dienst zu starten. Führen Sie folgenden Befehl aus:

service iptables start

WarnungWarnung
 

Die ip6tables-Dienste sollten abgeschaltet sein, wenn IPTables mit dem folgenden Befehl verwendet wird:

service ip6tables stop
chkconfig ip6tables off

Damit iptables immer standardmäßig startet, wenn das System hochgefahren wird, müssen Sie mit chkconfig den Runlevel-Status ändern.

chkconfig --level 345 iptables on

Die Syntax von iptables ist in Stufen unterteilt. Die Hauptstufe ist die Kette. Eine Kette (Chain) setzt den Satus fest, bei dem ein Paket manipuliert wird. Die Verwendung sieht so aus:

iptables -A chain -j target

-A fügt eine Regel an das Ende eines existierenden Regelsystems an. Kette ist der Name der Kette für eine Regel. Die drei eingebauten Ketten von iptables sind INPUT, OUTPUT und FORWARD. (Dies sind die Ketten, die auf jedes Paket einwirken, das ein Netzwerk durchläuft.) Diese Ketten sind permanent und können nicht gelöscht werden. Die -j target-Option legt den Ort im iptables-Regelsystem, wohin diese bestimmte Regel springen sollte.

Neue Ketten (auch benutzerdefinierte Ketten genannt) können mittels der -N-Option erstellt werden. Eine neue Kette zu erzeugen ist nützlich zum Anpassen von granularen oder aufwendigen Regeln.

7.2.1. Grundlegende Firewall-Richtlinien

Die Festlegung grundlegender Firewall-Richtlinien ist das Fundament auf dem mehr benutzerdefinierte und detaillierte Regeln erstellt werden können. iptables verwendet Richtlinien (-P), um standardmäßige Regeln zu erstellen. Sicherheitsbewusste Administratoren entscheiden sich normalerweise für die Norm, alle Pakete auszulassen und nur bestimmte Pakete auf einer Fall-zu-Fall-Basis zu genehmigen. Die folgenden Regeln blockieren alle eingehenden und ausgehenden Pakete am Gateway eines Netzwerkes:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Zusätzlich wird empfohlen, dass jeder forwarded packets — Netzwerkverkehr, der von der Firewall zu seinem Zielknoten geleitet werden soll, ebenfalls verhindert wird. Interne Clients werden so vor unabsichtlichem Kontakt mit dem Internet geschützt. Benützen Sie hierfür folgende Regel:

iptables -P FORWARD DROP 

Nachdem die Ketten gemäß der Richtlinien eingestellt sind, können Sie neue Regeln für Ihre besonderen Netzwerk- und Sicherheitsbedürfnisse erstellen. Im Folgenden sind einige Regeln beschrieben, die sie beim Aufbau Ihrer iptables-Firewall verwenden können.

7.2.2. Speichern und Wiederherstellen von iptables-Regeln

Firewall-Regeln sind nur aktiv, wenn der Computer läuft. Wenn Sie das System neu starten, werden die Regeln automatisch gelöscht und rückgestellt. Verwenden Sie folgenden Befehl, um die Regeln zu speichern, damit sie nachher wieder geladen werden können:

/sbin/service iptables save

Die Regeln werden in der Datei /etc/sysconfig/iptablesgespeichert und werden immer dann aktiviert, wenn das Service gestartet oder neu gestartet wird, auch wenn das System neu hochgefahren wird.