| Red Hat Enterprise Linux 4: Sicherheitshandbuch | ||
|---|---|---|
| Zurück | Kapitel 7. Firewalls | Nach vorne |
iptables beinhaltet ein Modul, welches Administratoren erlaubt, Verbindungen zu Diensten auf einem internen Netzwerk zu überprüfen und einzuschränken mittels einer Methode, die Connection Tracking oder auch Dynamische Paketfilterung genannt wird. Dynamische Paketfilterung legt eine Tabelle an, welche es Administratoren ermöglicht, Zugang zu erlauben oder abzulehnen, basierend auf folgenden Verbindungs-Zuständen:
NEW — Ein Paket fragt eine neue Verbindung an, wie z.B. eine HTTP-Anfrage.
ESTABLISHED — Ein Paket, welches Teil einer bestehenden Verbindung ist.
RELATED — Ein Paket, welches eine neue Verbindung anfragt, jedoch Teil einer bestehenden Verbindung ist, wie z.B. passive FTP-Verbindungen, wo der Verbindungsport 20 ist und der Transfer- oder Übertragungs-Port jeder unbenutzte Port 1024 und höher sein kann.
INVALID — Ein Paket, welches kein Teil irgendeiner Verbindung in der dynamischen Paketfilterungstabelle ist.
Sie können die Zustandsfunktionalität der dynamischen Paketfilterung von iptables mit jedem Netzwerkprotokoll benutzen, auch wenn das Protokoll selbst statuslos ist (wie z.B. UDP). Das folgende Beispiel zeigt eine Regel, welche dynamische Paketfilterung dazu benutzt, um nur die Pakete, die mit einer unzweifelhaften Verbindung in Zusammenhang stehen.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW |
| Zurück | Zum Anfang | Nach vorne |
| Viren und geknackte IP-Adressen | Nach oben | ip6tables |