# echo 1 > /proc/sys/net/ipv4/ip_forward

Transkript

1 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ ÈÖÓ Ð Ñ ½¼ ËÝÑÔØÓÑ ÈÖÓ Ð Ñ minicom Ò Ø Ñ Î ÖÐ Òº minicom ÐÓ ÖØ Ñ Ä Ò Ò Ò ÓÖÖ Ø ØÞØ Ò Ö ÐÐ Ò ÖØ º Ä ÙÒ Ë Ò Ò Ò Ò Ù Ë ÐÐ ÙÒ Ò Ò Ò minicom¹èöóþ Ñ Ø Ñ Ð kill -KILLº Ô ÖØ Ö Ò Ù Ö Û ÒÒ Ë Á Ö Ò ÈÓÖØ Ñ Ø Ñ setserial¹ Ð Ñ Ò ÔÙ¹ Ð ÖØ Òº Ù Ö Ñ ÓÐÐØ Ò Ë ÞÙÑ Î ÖÐ Ò ÚÓÒ minicom x Ø ØØ q Ú ÖÛ Ò Ò Ä ØÞØ Ö ØÞØ ÞÙÒ Ø ÅÓ Ñ ÞÙÖ ÙÒ Ø Ñ Ã ÖÒ Ð Ö Ò Ø Û Ø Ö Ú Ö Ù Ò ÓÐÐ Ñ Ø Ñ ÖØ ÞÙ ÓÑÑÙÒ Þ Ö Òº ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ Linux-Rechner lassen sich nicht nur problemlos als Arbeitsplatzrechner oder Server in ein Netzwerk einbinden. Linux bietet darüber hinaus die Möglichkeit, Netzwerke miteinander zu verbinden oder als Zugang zum Internet (Gateway) zu dienen. Dabei können die Datenpakete gefiltert werden, um bestimmte Dienste in die eine oder andere Richtung zu blockieren. In den folgenden Abschnitten werden zunächste Subnetze und Routing behandelt. Anschließend werden die Werkzeuge ipchains und iptables vorgestellt, mit deren Hilfe Filterregeln definiert werden können. ¾º º½ ÊÓÙØ Ò ¹ ÖÙÒ Ð Ò ÙÒ ËÙ Ò ØÞ Ein Router ist im Prinzip ein Computer, der Datenpakete zwischen zwei Subnetzen (Teil des Internet-Adressraums, der einem lokalen Netzwerk zugewiesen wurde) über Netzwerkkarten hin- und hertransportiert. Damit ein Router ordentlich arbeiten kann, müssen den Subnetzen bestimmte IP-Adressen zugewiesen werden. Ein Router besitzt wenigstens zwei Netzwerkschnittstellen; eine mit Verbindung zum einen, die andere zum anderen Netzwerk.

2 ¼ ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ ËÙ Ò ØÞ Æ ØÞÑ IPv4-Adressen setzen sich aus insgesamt vier Bytes zusammen, welche normalerweise in dezimaler Form notiert werden (z.b ). Das Subnetz eines Rechners ist nun der Teil der Adresse, welcher identisch auf allen Rechnern des lokalen Netzes ist. In einer der gebräuchlichsten Subnetzkonfigurationen variiert nur das letzte Byte der Adresse. Die Subnetzmaske (auch Netzmaske genannt) entscheidet, welcher Teil der Adresse zum lokalen Netzwerk gehört. Die Zahl 0 in der binären Schreibweise einer Netzmaske bedeutet, dass die entsprechenden Bits im lokalen Netzwerk variieren können eine 1 dagegen bedeutet, dass das entsprechende Bit bei allen Rechnern im LAN gleich ist. Das folgende Beispiel zeigt die Adresse in Verbindung mit der Subnetzmaske Die binäre Repräsentation der Adresse und der Subnetzmaske sieht wie folgt aus: (Adresse) (Subnetz-Maske) xxxxxxxx ( N, N={1,...,254}) Die xxxxxxxx können durch einen beliebigen acht Zeichen langen Bitstring aus Nullen und Einsen ersetzt werden. Die erste Zahl der Subnetzmaske, 255, besitzt die binäre Darstellung aus acht Einsen. Da eine 1 in der Subnetzmaske bedeutet, dass das entsprechende Bit in der IP-Adresse sich nicht ändert, bedeutet eine 255, dass die Adresse eines einkommenden Pakets immer gleich der korrespondierenden in der Rechneradresse sein muss. ¾º º¾ Áȹ ÓÖÛ Ö Ò Ä ÒÙÜ Ð Ø Û Ý Angenommen, Sie möchten ein einfaches IP-Forwarding (auch bekannt als Gateway-Funktion, also das Weiterreichen von Paketen aus dem einen Netz in das andere) auf Ihrem Linux-Rechner einschalten. Dazu müssen Sie zunächst die Netzwerkkarten Ihres Rechners so konfiguriern, dass Sie sowohl die Rechner innerhalb des lokalen Netzes als auch die Rechner außerhalb problemlos erreichen können. Dann müssen Sie nur noch dem Kernel mitteilen, dass Sie Forwarding aktivieren möchten: # echo 1 > /proc/sys/net/ipv4/ip_forward

3 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ ½ ¾º º Ö Û ÐÐ Eine Firewall ist ein Router, der ein Paket betrachtet und (meist anhand der Netzwerkadresse und dem Port des Pakets) entscheidet, ob das Paket durchgelassen wird oder nicht. Eine Firewall alleine macht ein Netzwerk natürlich noch nicht sicher, im Gegenteil, sie erschwert auch noch das Versenden und Empfangen von Paketen aber sie hilft auf jeden Fall bestimmte Sicherheitsprobleme wie z.b. Portscans schnell zu entdecken. ¾º º ÁÈ Ò Eine IP Chain ist eine Liste von Regeln, anhand derer der Kernel entscheidet, ob er ein Paket durchlässt oder nicht und eventuell, auf welches Interface er das Paket routet. Im Kernel sind drei verschiedene Ketten input, output und forward die zu unterschiedlichen Zeitpunkten des Paketroutings durchlaufen werden. Der Kernel schaut in der input-kette, wenn ein Paket vom externen Interface kommt, und in der output-kette nach, bevor das Paket gesendet wird. Die forward-kette wird dann aktiv, wenn der Kernel anhand der Routingtabelle entschieden hat, dass das Paket weitergeleitet werden muss. Jede Regel in einer Kette hat ein so genanntes target (Ziel), nämlich die Aktion, die der Kernel ausführt, wenn die Regel bei einem Paket zutrifft. Die folgenden Targets sind definiert: ÈÌ Æ Ê Â Ì Ê ÁÊ Ì Ê ÌÍÊÆ Å ËÉ È Ø Û Ö Þ ÔØ ÖØ ÙÒ ÙÖ Ð Òº È Ø Û Ö Û ÛÓÖ Òº È Ø Û Ö Û ÛÓÖ Ò Ö Ö Ò Ò Ê Ò Ö Ö Ö Ò ÓÖÑ Öغ Ò È Ø Ù Ö ÁÒÔÙعà ØØ Û Ö Ù Ò ÒØ ÔÖ Ò¹ Ò ÈÓÖØ Ö ÐÓ Ð Ò Å Ò Û Ø Ö Ð Ø Ø ÙÒ Ò ÚÓÑ ÙÖ ÔÖ Ò Ð Ò Ð È Ø º Ù Û ÖØ Ò Ö Ê ÐÒ Û Ö Ò Ö ËØ ÐÐ ÙÒØ Ö¹ ÖÓ Ò ÙÒ ÙÐØÖ Ð Ò Û Ò Øº È Ø Û Ö Ñ Öغ Die ipchains>policy einer Kette ist das Default-Target, und deren Werte sind beschränkt auf ACCEPT, DENY, REJECT und MASQ. Die Kombination aus Kette, Regel und Ziel (Target) ist entscheidend für eine Firewall. Wenn Sie eine Firewall betreiben, werden

4 ¾ ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ Sie den meisten Verkehr über die input-kette abblocken bzw. mit Hilfe der forward-kette durch einen Proxyserver umlenken. Die forward-kette wird auch für das Maskieren und die input-kette für das Filtern von Paketen benutzt, die an die lokale Maschine gerichtet sind. Es folgt eine kurze Auflistung der wichtigsten ipchains-optionen. Großbuchstaben signalisieren den Beginn eines Befehls, Kleinbuchstaben den Beginn einer Regel. ¹Ä à ØØ Ø Ò Ù ØÙÒ Ö Kette ÙÒ Ö ÞÙ Ö Ò Ê ÐÒ Ù º Ç Ò Kette Û Ö Ò ÐÐ ÚÓÖ Ò Ò Ò Ã Ø¹ Ø Ò ÙÒ Ê ÐÒ Ù Òº ¹Á à ØØ Ò Ê Ð Ò Òº ¹ à ØØ Ò Ê Ð Ò Ò Òº ¹ à ØØ ÆÙÑÑ Ö Ä Ø Ã ØØ ÆÙÑÑ Ö ½ Ø ÙÐØÛ Öصº ¹È à ØØ Ð Ë ØÞØ ÈÓÐ Ý ÚÓÒ Ã ØØ Ù Ðº ¹ à ØØ Ä Ø ÐÐ Ê ÐÒ Ö Ã ØØ º ¹Ê à ØØ ÆÙÑÑ Ö Ö ØÞØ Ê Ð ÆÙÑÑ Ö Ò Ã ØØ º ¹ ÉÙ ÐÐ Ò ÖØ È ØÕÙ ÐÐ Ó Ö Ö ÙÒ ÓÔØ ÓÒ Ð ÈÓÖع ÒÙÑÑ Öº ¹ Ð Ò ÖØ È ØÞ Ð Ó Ö Ö ÙÒ ÓÔØ ÓÒ Ð ÈÓÖØÒÙÑÑ Öº ¹ Ð Ï Ò Ø Ð Ò Û ÒÒ Ê Ð Ö Øº ¹ ÖÞ Ù Ø ÞÛ Ê ÐÒº ÞÛ Ø Ø Ð Ö Ö¹ Ø Ò Ð Ð ÉÙ ÐÐ ¹ ÙÒ Ð ¹ Û Ö Ò Ú ÖØ Ù Øº ¹Ú Ë ÐØ Ø Ñ Ö Å Ð ÙÒ Ò Òº Ô Ð ½ Áȹ ÐØ Ö Anders als Firewalls bieten IP-Filter die Möglichkeit, dass einzelne Maschinen selbst die Datenpakete betrachten, anstatt eine einzelne Maschine sämtlichen Verkehr behandeln zu lassen. Bevor also einkommende Pakete an eine Applikation weitergereicht werden, entscheidet der Kernel, ob die Pakete angenommen oder

5 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ verworfen werden. Legen Sie den Filter so an, dass er die Pakete, die von außen an nicht privilegierte Ports gerichtet sind, ablehnt, kann er einen wirksamen Schutz gegen zahlreiche Angriffe bieten. Angenommen, Sie möchten einige Dienste mit anderen Maschinen im Netzwerk teilen, die anfällig gegenüber Denial-of-Service-Attacken sind. Daher sollen all diese Dienste, bis auf ssh, von außen unzugänglich gemacht werden. Alle dazu benötigten ipchains-kommandos werden nachfolgend ausführlich erklärt. Die Konfiguration soll weiterhin so gestaltet sein, dass Pakete von Maschinen des lokalen Netzwerks an beliebige Ports des lokalen Rechners zugelassen sind. Die IP des zu konfigurierenden Rechners lautet und die des lokalen Netzwerks , zusammen mit der Netzmaske Die folgende Eingabe sorgt für das gewünschte Ergebnis: Ë ÙØÞ ÚÓÖ Ò Ð¹Ó ¹ Ë ÖÚ ¹ ØØ Ò # ipchains -A input -s / \ -d j ACCEPT Außerdem sollen Verbindungen von der lokalen Maschine nach außen erlaubt sein. Die Regel # ipchains -A input -j ACCEPT -p tcp tcp! -y lässt entsprechende TCP-Antworten durch. Die nächste Regel ermöglicht die Benutzung von Werkzeugen wie ping und traceroute (und weiteren natürlich): Á ÅÈ¹È Ø Û Ö Ò ÖÐ Ù Ø # ipchains -A input -j ACCEPT -p icmp Da einige Teile von Linux zu Problemen neigen, wenn sie nicht mit sich selbst sprechen können, ist folgende Regel wichtig: # ipchains -A input -j ACCEPT -d localhost Den Dienst ssh halten wir für einigermaßen vertrauenswürdig: Û Ö ÖÐ Ù Ø # ipchains -A input -j ACCEPT -d ssh Eigentlich ist nun die Konfiguration fertig, bis auf eine Ausnahme, die dann nicht gilt, wenn ein FTP-Proxy eingesetzt wird. FTP (File Transfer Protocol) ist so entworfen, dass es zum Client eine Rückverbindung aufbaut. Die nächste Regel lässt also direkte FTP-Verbindungen nach außen zu: # ipchains -A input -j ACCEPT -p tcp -s any/0 ftp-data \ -d :

6 ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ ÖÙÒ ØÞÐ ÐÐ ÐÓ Ò Ansonsten soll der Grundsatz gelten, dass generell alles blockiert wird. Also setzen Sie die Default-Policy auf DENY. Diese Regel wenden Sie in aller Regel zuletzt an, da der Kernel nachfolgend wirklich alles verwehrt. Da die eine oder andere Regel noch DNS- Zugriff benötigt, sollten Sie entsprechend vorsichtig sein. # ipchains -P input DENY Und wer richtig paranoid ist, der setzt diese Regel gleich zu Beginn und definiert nachfolgend alles mit IP-Adressen, so dass kein DNS erforderlich wird. Ô Ð ¾ Áȹ Ö Û ÐÐ Das oben stehende Beispiel wird nun im Folgenden zu einer Firewall für das Netz / modifiziert. Es wird davon ausgegangen, dass die Interfaces schon entsprechend konfiguriert sind. Forwarding sollte, sofern dies noch nicht geschehen ist, eingeschaltet werden. # echo 1 > /proc/sys/net/ipv4/ip_forward Die Default-Policy für Forwarding wird auf DENY gesetzt. # ipchains -P forward DENY Pakete für die Firewall selbst und solche, die vom Netz kommend, nach außen gerichtet sind, sollen akzeptiert werden. # ipchains -A input -s / d any -j ACCEPT # ipchains -A forward -s / d any -j ACCEPT # ipchains -A forward -j ACCEPT -p tcp! -y Anschließend lassen Sie ssh-verbindungen durch die Firewall zu: # ipchains -A input -s any ssh -d / j ACCEPT # ipchains -A forward -s any ssh -d / j ACCEPT Ô Ð ÁȹŠÖÙÒ IP-Maskierung (IP-Masquerading) ist ein einfaches Mittel, um zum Beispiel kleine Heimnetze über nur eine zugewiesene Dial-in- IP mit dem Internet zu verbinden. Dieser Vorgang wird oft auch als NAT (Network Address Translation) bezeichnet. Beim Maskieren dient eine dedizierte Maschine im Heimnetz als Internet- Gateway für die anderen Rechner des lokalen Netzwerks. Das funktioniert unabhängig davon, ob Sie vom Provider eine feste

7 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ oder eine dynamische IP zugewiesen bekommen. Kombinieren Sie IP-Maskierung mit Diensten wie squid (Web-Proxy), können Sie sogar erhebliche Leistungssteigerungen durch effizientes Caching erreichen. Letzteres funktioniert aber nicht mit jedem Protokoll. ÈÖÓ Ð Ñ ½½ ËÝÑÔØÓÑ ÈÖÓ Ð Ñ Ä ÙÒ Ö Ö Û ÐÐ¹Ê Ò Ö Ð Ø Ø Ò ÐÐ Ò Ö ØØ Òº Ð Ò Ø ÐÐÙÒ ÞÙ Ë Ö Øº Ò Ö Û ÐÐ ÓÐÐØ Ò Ñ Ð Î Ö Ò ÙÒ Ò ÚÓÒ ¹ Ð Ò Ê Ò ÖÒ Ù Ð Ò ÈÓÖØ ÞÙÐ Òº à ÒÒ ÒÑÐ Ö Û ÐÐ Ð Ø Å ¹ Ò ÐÓ Ð Ò Æ ØÞÛ Ö Ó Ò ÈÖÓ Ð Ñ ÖÖ ¹ Ò Ö Ù Ø Ò Ò Ö Ò Ð Ò ÒÙÖ Ö Û ÐÐ ÞÙ Ò Ò ÙÑ Ò Ò Ö Ð Ù Ø Ò Ö ÚÓÖÞÙ ØÓ Òº Gegeben sei ein typisches kleines Netzwerk, wie es häufig in Heimnetzen zu finden ist. Die IP-Adresse lautet , die Subnetzmaske ist auf gesetzt. Als Hardware kommt ein 100BaseT Ethernet Hub zum Einsatz, an den eine Linux Workstation, ein Notebook, ein Power Mac G3 und der Linux Router/Gateway angeschlossen sind. Das Interface des Gateways ist eth0 und auf die IP und PPP auf das Interface ppp0 konfiguriert. Die Befehle # ipchains -P forward DENY # ipchains -A forward -i ppp0 -j MASQ # echo 1 > /proc/sys/net/ipv4/ip_forward aktivieren zunächst einmal die Maskierung selbst, wobei durch das erste Kommando generelles Routen abgeschaltet wird. Die zweite Zeile besagt, dass alle über das Interface ppp0 geleiteten Pakete maskiert werden, und zuletzt wird das nötige Forwarding im Kernel eingestellt. Damit das Ganze jetzt noch rund läuft, muss lediglich die Default- Gateway-Adresse auf den anderen Maschinen des Netzwerks auf gesetzt werden.

8 ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ Ã ÖÒ Ð¹ÍÒØ Ö Ø ØÞÙÒ ÒÞÙ Ò Neben dem eigentlichen ipchains-kommando benötigt ein Linux- System, das als Gateway mit Maskierung dienen soll, auch entsprechende Kernel-Unterstützung. Im 2.2er Kernel finden Sie diese Einstellungen etwas versteckt unter Netzwerkoptionen (siehe Kapitel 7 für die detaillierte Beschreibung einer Kernel-Konfiguration). Auf jeden Fall müssen Sie die folgenden Schritte beachten: 1. Im Abschnitt Networking options wählen Sie Network firewalls. 2. Einige Zeilen tiefer finden Sie IP: firewalling, was Sie ebenfalls auswählen müssen. 3. In älteren 2.2er Kernels findet sich wiederum ein paar Zeilen weiter die Option IP: Always defragment (Voraussetzung für Maskierung). In neueren Kernels ist diese Option nicht extra angegeben. 4. Dann wählen Sie IP: masquerading. 5. Nützlich für eine Reihe von Diagnosetools wie ping oder traceroute ist schließlich noch die Option IP: ICMP masquerading. 6. Einige Dienste (z.b. FTP) benötigen außerdem spezielle Module: IP: masquerading special modules support. Die oben beschriebene Prozedur funktioniert zuverlässig, sofern es sich lediglich um ein Subnetz handelt. Gilt es aber, ein zweites Subnetz, welches über ein zusätzliches Interface am Gateway angeschlossen ist (z.b. ein 10BaseT an / ) zu integrieren, ist etwas Mehraufwand erforderlich. Das Gateway verfügt also über eine weitere Ethernetkarte eth1 mit der IP Auf den Maschinen, die an diesem Netzstrang hängen, muss natürlich diese Adresse als Default-Gateway eingetragen werden. Anschließend wird folgendes ipchains-kommando verwendet: # ipchains -I forward -b -s / d / j ACCEPT Damit wird Verkehr zwischen den beiden Subnetzen ohne Einschränkungen zugelassen. Die Option -b fügt gleich zwei Regeln hinzu prinzipiell auch durch folgende Eingabe erreichbar:

9 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ # ipchains -I forward -s / d / j ACCEPT # ipchains -I forward -s / d / j ACCEPT Als Endresultat entsteht folgende Liste (24 ist als Netzmaske äquivalent zu , es sind einfach 24 führende 1-Bits): # ipchains -L... Chain forward (policy DENY): target prot opt source destination ports ACCEPT all / /24 n/a ACCEPT all / /24 n/a MASQ all anywhere anywhere n/a... ÈÖÓ Ð Ñ ½¾ ËÝÑÔØÓÑ ÈÖÓ Ð Ñ Ä ÙÒ Ø Û Ý ÖÓÙØ Ø Ò È Ø ÞÛ Ò ¹ Ø ÑÑØ Ò Ê Ò ÖÒ Æ ØÞÛ Ö º ÁÒ ÓÖÖ Ø Æ ØÞÑ º ÖÔÖ Ò Ö Æ ØÞÑ Ù Ò Ø Ð Ø Ò Ê Ò ÖÒº Æ ØÞÑ Ø ÞÛ Ö ÒÙÖ ÓÔØ ÓÒ Ð ÒÞÙ Ò Ö ËØ Ò Ö Û ÖØ ÒÒØ Ö ÙÒØ Ö ÍÑ ØÒ Ò Ò ÙÒÔ Ò Ö ÐÓ Ð Ò ¹ Ò Ø Ò Òº ¾º º Æ Ø ÐØ Ö Nach ipfwadm (Kernel 2.0) und dann ipchains (Kernel 2.2) ist nun mit Netfilter die 3. Generation von IP-Filtern in Linux realisiert worden. Für das Konzept und die Umsetzung ist Rusty Russell verantwortlich. Die Implementierung besteht aus zwei Teilen: der Kernel-Teil wird Netfilter genannt und durch das Programm iptables im Anwendungsbereich gesteuert. à ÖÒ Ð¹ÍÒØ Ö Ø ØÞÙÒ ÒÞÙ Ò Generell sollten Sie in der Konfiguration Ihres 2.4er Kernels unter»code maturity level optionsprompt for development and/or

10 ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ incomplete drivers«einschalten. Um Netfilter selbst zu aktivieren müssen Sie außerdem die Option»Network packet filtering«im Menü»Networking options«aktivieren. Die daraufhin erscheinende Debug-Option sollten Sie bei wirklichem Bedarf verwenden. Im Menü»IP: Netfilter Configuration«markieren Sie dann alle Optionen als Modul. Diese Module werden dann später bei Bedarf bis auf wenige Ausnahmen automatisch nachgeladen. À ÒÛ Bei Verwendung von Netfilter ist es wichtig, nicht die Option»Fast switching«anzuwählen. Der damit verbundene Code sorgt dafür, dass IP-Pakete aus Performancegründen wesentlich früher im Protokollstack verarbeitet werden und aus diesem Grund den Netfilterbereich nicht erreichen. Um zu testen, ob ein Kernel bereits über Netfilter-Unterstützung verfügt, können Sie Folgendes eingeben: modprobe ip_tables Netfilter unterstützt sowohl IPv4 als auch IPv6, kann aber keine anderen Protokolle wie etwa IPX oder AppleTalk filtern. Ì ÐÐ Ò ÙÒ Ã ØØ Ò Netfilter arbeitet mit drei verschiedenen Tabellen: filter, nat und mangle. Die Standardtabelle filter verfügt über die drei Ketten INPUT, OUTPUT und FORWARD. In Netfiler ist es aber im Gegensatz zu ipfwadm und ipchains so, dass ein Paket nur genau eine der drei Ketten durchläuft (siehe Abb. 2.1). Ð ÙÒ ¾º½ Æ Ø ÐØ Ö Î Ö Ò ÙÒ Ö Ú Ö Ò Ò Ã ØØ Ò INPUT Prozesse OUTPUT Eingang Routing entscheidung FORWARD Ausgang Æ ØÛÓÖ Ö ÌÖ Ò Ð Ø ÓÒ Network Adress Translation (NAT) wird mit der Tabelle nat durchgeführt. In dieser Tabelle existieren die Ketten

11 ¾º ÊÓÙØ Ò Áȹ ÐØ Ö Ö Û ÐÐ ÙÒ ÁȹŠÖÙÒ PREROUTING, OUTPUT und POSTROUTING. Mit der Tabelle mangle ist es außerdem möglich, in einem IP-Paket andere Informationen als die IP-Adresse zu ändern. ÔØ Ð ÒÛ Ò Ò Dieser Abschnitt soll einen kurzen Überblick über die verfügbaren iptables-kommandos bieten. iptables verfügt über eine sehr gepflegte Hilfeseite, die Sie sich auf jeden Fall anschauen sollten. Option Zweck -N Erstellt eine neue Kette -X Löscht eine leere Kette -P Verändert die Policy einer Standardkette -L Listet die Regeln einer Kette auf -A Hängt einer Kette eine neue Regel an -F Löscht die Regeln einer Kette -I Fügt eine Regel an einer bestimmten Position in eine Kette ein -D Löscht eine Regel an einer bestimmten Position in einer Kette -D Löscht die erste Regel einer Kette, die einem bestimmten Muster entspricht -R Ersetzt eine Regel an einer bestimmten Position in einer Kette -Z Setzt die Paket- und Bytezähler aller Regeln einer Kette auf Null In aller Regel hängt man Regeln an bestehende Ketten an oder man löscht vorhandene Regeln, d.h., man verwendet die Optionen -A und -D. ÍÒØ Ö ÞÛ Ò ÔØ Ð ÙÒ Ô Ò Hier nun eine Auflistung (u.a. aus dem Howto»Packet Filtering Howto«) der wesentlichen Unterschiede zwischen iptables und ipchains. Dies ist als Überblick gedacht, wenn Sie bereits Erfahrungen mit ipchains gesammelt haben.

12 ¼ ¾ Æ ØÞÛ Ö Ñ Ò ØÖ Ø ÓÒ Aus dem Target (Ziel) DENY wurde nun DROP. Die Namen der Standardketten müssen nun in Großbuchstaben angegeben werden (INPUT, OUTPUT, FORWARD). Pakete, die in den Prozess- oder Anwendungsbereich weitergereicht werden sollen, bekommen das Ziel QUEUE. Unter ipchains geschah dies durch die Option -o. Aus MASQ wurde MASQUERADE. Das TCP-Flag -y ist nun als syn bekannt. Der Name einer Kette kann jetzt bis zu 31 Zeichen lang sein. REJECT und LOG sind sogenannte erweiterte Ziele und werden durch separate Kernel-Module realisiert. Ò Ô Ð Eine denkbar einfache Konfiguration wird von Rusty Russell in seinem Howto unter vorgestellt. Darin wird von einer einfachen PPP-Verbindung zum Internet ausgegangen, die vor Eindringlingen geschützt werden soll. # Module fuer Connection-Tracking insmod ip_conntrack insmod ip_conntrack_ftp # Neue Verbindungen werden geblockt, es sei denn # sie werden von innen gestartet iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED \ -j ACCEPT iptables -A block -m state --state NEW -i! ppp0 -j ACCEPT iptables -A block -j DROP # Springe von den Ketten INPUT und FORWARD zur Kette block iptables -A INPUT -j block iptables -A FORWARD -j block Ô Û Ñ ÙÒ Ô Ò Ï Ø ÖÚ ÖÛ Ò ÙÒ ÙÖ Ã ÖÒ Ð¹ÅÓ ÙÐ Mit Hilfe der im Netfilter-Paket enthaltenen Module ipchains.o und ipfwadm.o ist es möglich, die beiden Werkzeuge wie bisher gewohnt zu verwenden. Trotzdem sollte man sich die erweiterten

13 ¾º Æ ØÞÛ Ö Ö Ø ½ Fähigkeiten von Netfilter genau ansehen und früher oder später auf jeden Fall den Umstieg und eine etwaige Überführung einer bereits vorhandenen Firewall durchführen. ¾º Æ ØÞÛ Ö Ö Ø Im Internet tummeln sich eine Menge böser Menschen, und es ist generell ratsam, die eigene Linux-Maschine nicht zu ihrer Spielwiese werden zu lassen. Ob sie nun die Website manipulieren, IRC-Bots laufen lassen oder aber Dateien auf dem Rechner löschen, spielt dabei keine Rolle: Es geht schlichtweg um die vergeudete Zeit und die Missverständnisse, die diese Typen verursachen. Deshalb sollten Sie auf keinen Fall bis zum ersten Einbruch warten, ehe Sie Ihr System absichern. Dieser Abschnitt kann und möchte auch gar nicht eine allumfassende Anleitung rund um Rechnersicherheit darstellen, sondern lediglich auf einige der wichtigsten Probleme und ihre Lösung hinweisen. Einen guten Einstiegspunkt für detailliertere Informationen finden Sie unter Ï Ø ¾º º½ Ò Ò ÐØ Ò ººº Oberster Grundsatz auf einem Netzwerkrechner sollte sein, keine unnötigen oder gar unbekannten Dienste anzubieten. Unglücklicherweise neigen gerade einige der einsteigerfreundlichen Distributionen dazu, ganze Sammelsurien von Services per default zu starten. Weiterhin sollten Dienste, die nur von einigen anderen Rechnern benötigt werden, auch nur für diese Rechner zugänglich gemacht werden. Die meisten der Internetdienste werden über den inetd gestartet, weshalb ein erster Blick auf dessen Konfigurationsdatei /etc/inetd.conf zu werfen ist (siehe auch Abschnitt ). Sollte ein Service nicht über den inetd aktiviert werden, kommt wahrscheinlich init in Frage. Kapitel 1 zeigte bereits dessen Konfigurationsmöglichkeiten auf. Æ Ø Ò Ø Ø Ò Ø ÐØ Ò ¾º º¾ Ù Ò Ò ÖÒ Ò Der Zugang zu einem Rechner kann zum einen durch so genannte TCP wrapper (tcpd, siehe Abschnitt ) oder aber durch