15 Iptables(Netfilter)



Ähnliche Dokumente
Grundlagen Firewall und NAT

Internet Security 2009W Protokoll Firewall

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Firewall Implementierung unter Mac OS X

IPTables und Tripwire

Firewalls mit Iptables

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Urlaubsregel in David

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Anbindung des eibport an das Internet

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Lieber SPAMRobin -Kunde!

Guide DynDNS und Portforwarding

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Modul 2: Automatisierung des Posteingangs - Regel- und Abwesenheits-Assistent

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Local Control Network Technische Dokumentation

Ether S-Net Diagnostik

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

NAT und Firewalls. Jörn Stuphorn Universität Bielefeld Technische Fakultät

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Enigmail Konfiguration

How to install freesshd

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

Leitfaden zur Einrichtung za-mail mit IMAP auf dem iphone

Lizenzen auschecken. Was ist zu tun?

Step by Step Webserver unter Windows Server von Christian Bartl

Sicherheit unter Linux Workshop

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Professionelle Seminare im Bereich MS-Office

Kurzanleitung So geht s

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Installation Linux agorum core Version 6.4.5

Web Interface für Anwender

Verwendung des IDS Backup Systems unter Windows 2000

ICS-Addin. Benutzerhandbuch. Version: 1.0

Stapelverarbeitung Teil 1

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

WLAN Konfiguration. Michael Bukreus Seite 1

DFBnet Postfachsystem Signatur, Automatische Antwort, Weiterleitung

COMPUTER MULTIMEDIA SERVICE

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Einrichtung einer Weiterleitung auf eine private Adresse in der Hochschule

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

mit ssh auf Router connecten

5.2 Neue Projekte erstellen

Neue Kennwortfunktionalität. Kurzanleitung GM Academy. v1.0

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Quartalsabrechnung! " " " " " " " Stufe 1! Beheben von Abrechnungsfehlern" Stufe 2! Neue Abrechnung erstellen"

FORUM HANDREICHUNG (STAND: AUGUST 2013)

GeoPilot (Android) die App

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Der Kalender im ipad

-Bundle auf Ihrem virtuellen Server installieren.

.procmailrc HOWTO. zur Mailfilterung und Verteilung. Stand:

Kurzanleitung zum Einrichten des fmail Outlook Addin

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

ASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel

Kurzanleitung OOVS. Reseller Interface. Allgemein

1. Zuerst muss der Artikel angelegt werden, damit später die Produktvarianten hinzugefügt werden können.

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Carolo Knowledge Base

Web-Kürzel. Krishna Tateneni Yves Arrouye Deutsche Übersetzung: Stefan Winter

OutLook 2003 Konfiguration

Virtual Private Network

NX Standardinstallation

Gruppenrichtlinien und Softwareverteilung

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Zugriffssteuerung - Access Control

Herzlich Willkommen bei der BITel!

TESTEN SIE IHR KÖNNEN UND GEWINNEN SIE!

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Newsletter. 1 Erzbistum Köln Newsletter

AutoCAD Dienstprogramm zur Lizenzübertragung

Installation Linux agorum core Version 6.4.8

1) Farbsteuergerät in der Nikobus-Software unter Modul zufügen hinzufügen.

Registrierung am Elterninformationssysytem: ClaXss Infoline

1. Einführung. 2. Die Abschlagsdefinition

Zugriffssteuerung - Access Control

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

12. Dokumente Speichern und Drucken

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Was meinen die Leute eigentlich mit: Grexit?

Praktikum IT-Sicherheit. Firewall

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Transkript:

15 Iptables(Netfilter) In diesem Kapitel lernen Sie die Grundlagen des Paketfilters iptables kennen. aus welchen Bausteinen iptables besteht. welche Wege TCP/IP-Pakete durch einen als Firewall konzipierten Server gehen. Möglichkeiten, diese Wege zu manipulieren. die Begriffe NAT und Masquerading kennen. wie man ein eigenes kleines Skript programmiert, welches das Erstellen von Filterregeln erleichtert. 15.1 Grundlagen Es ist beinahe Tradition, dass mit jedem neuen Minor-Release von Linux die Paketfilterund Firewallfunktionalität erneuert wird. So enthielten die Kernel 1.2.x bis 2.0.x als Paketfilter das aus der BSD-Welt stammende ipfw mit dem zugehörigen Tool ipfwadm, die Kernel der 2.2.x-Serie wurden mit ipchains und den Tools ipchains und ipfwadm zu Paketfiltern. Als letzter Stand dieser Evolution hat der Kernel 2.4 die Firewall-Architektur netfilter mit dem dazugehörigen Userspace-Kommando iptables erhalten. Ebenfalls Tradition ist es, die Funktionalität zu erweitern. Darunter hatte leider in der Vergangenheit auch stellenweise die Übersichtlichkeit gelitten. Mit der netfilter- Architektur und dem ihr zugeordneten Kommando iptables soll es diesmal anders aussehen. Eine der wichtigsten Neuerungen von iptables ist die Aufteilung in verschiedene Tabellen die jeweils vordefinierte Regellisten (chains) enthalten: filter enthält die vordefinierten Regellisten INPUT, FORWARD und OUTPUT. filter ist die Default-Tabelle und wird für die üblichen Aufgaben eines Paketfilters verwendet. nat enthält die vordefinierten Regellisten PREROUTING, OUTPUT und POSTROU- TING. Diese Tabelle wird vor allem für Network Address Translation verwendet. 337

Iptables(Netfilter) mangle enthält die vordefinierten Regellisten PREROUTING, INPUT, FORWARD, OUTPUT und POSTROUTING. Sie wird v.a. zum Markieren von Paketen genutzt, was z.b. paketweises Routing ermöglicht. Für die in dieser Unterlage besprochenen Anwendungen benötigen wir mangle nicht. In der folgenden Abbildung beobachten wir den Weg von einem Paket durch den Linux-Kernel eines iptables-firewall-servers: eingehendes Paket Chains aus Chains aus filter nat PREROUTING FORWARD POSTROUTING ausgehendes Paket Entfernter Host Routing Ent scheidung lokaler Host INPUT Lokaler Prozess OUTPUT OUTPUT Jedes über ein Netzwerkinterface hereinkommende TCP/IP-Paket wird zunächst an die Regelliste PREROUTING geleitet. In dieser Regelliste lassen sich Zieladresse und -port des Pakets ändern. Ist das Paket nicht für den Server selbst bestimmt, sondern soll an einen anderen Zielhost weitergeleitet werden, wird unser Beispielpaket an die Regelliste FORWARD gereicht. Nachdem mögliche Regeln in der Regelliste FORWARD abgearbeitet wurden, wandert unser Paket in die Regelliste POSTROUTING. Hier lassen sich Quelladresse bzw. -port manipulieren, bevor das Paket den Server verlässt und seine Reise zum Zielhost antritt. Pakete, die nicht direkt weitergeleitet, sondern von unserem Server selbst verarbeitet werden sollen, wandern von der Regelliste PREROUTING in die Regelliste INPUT und werden nach Abarbeiten der dortigen Regeln an einen lokalen Prozess weitergeleitet. 338

15.1 Grundlagen Werden Pakete auf unserem Firewall-Server selbst generiert, so schickt der Kernel diese zunächst in die Regelliste OUTPUT der Tabelle filter. Von dort gelangt unser Paket in die Regelliste OUTPUT der Tabelle nat und wird zuletzt ebenfalls an die Regelliste POSTROUTING der Tabelle nat weitergereicht. Voraussetzung für einen funktionierenden Paketfilter ist natürlich das Installieren des Pakets iptables. Des weiteren sollten Sie überprüfen, ob alle notwendigen Kernelmodule geladen sind. Dies geschieht mit dem Befehl lsmod grep ip Für den Anfang reicht es, wenn Sie die Module ip_tables, iptable_filter und iptable_nat in der Liste der Kernelmodule sehen. # lsmod Module Size Used by Tainted: PF iptable_nat 15470 0 (autoclean) (unused) iptable_filter 1644 0 (autoclean) (unused) ip_tables 11040 4 [iptable_nat iptable_filter] Z Hinweis: Mit Hilfe der Befehle modprobe bzw. insmod können Sie eventuell fehlende Module nachladen. Der Befehl # iptables -L -t filter Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) bzw. # iptables -L -t nat Chain PREROUTING (policy ACCEPT) Chain POSTROUTING (policy ACCEPT) 339

Iptables(Netfilter) Chain OUTPUT (policy ACCEPT) verschafft Ihnen einen ersten Überblick und listet die Inhalte der verschiedenen Tabellen auf. Beachten Sie bitte, dass die Regellisten OUTPUT der beiden Tabellen filter und nat zwar gleich heißen, jedoch unterschiedliche Regellisten darstellen. Folgende Auflistung soll noch einmal die unterschiedlichen Wege darstellen, die ein TCP/IP-Paket in der netfilter-architektur gehen kann: von einem Netzwerkinterface kommend, an einen anderen Rechner weitergeleitet: PREROUTING(nat) FORWARD(filter) POSTROUTING(nat) von einem Netzwerkinterface kommend, für den eigenen Host: PREROUTING(nat) INPUT (filter) vom eigenen Host generiert, an ein Netzwerkinterface: OUTPUT(filter) OUTPUT(nat) POSTROUTING(nat) Sobald Sie eigene Regeln für Regellisten in den verschiedenen tables definieren, sollten Sie sich diese Wege immer vor Augen halten, damit nicht irrtümlich Pakete geblockt werden, die akzeptiert werden sollten, oder schlimmer Pakete durchschlüpfen können, die Sie eigentlich sperren wollten. 15.2 Regeln erstellen und bearbeiten Die Basis ist geschaffen, wie aber erstelle ich nun eigene Regeln für einen funktionierenden Paketfilter? Einen Befehl haben Sie bereits im vorherigen Abschnitt kennen gelernt: iptables -L -t filterbzw.iptables -L -t nat Schauen wir uns den Output dieses Befehls etwas genauer an: # iptables -L -t filter Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) 340

15.2 Regeln erstellen und bearbeiten Wir sehen hier die drei Regellisten INPUT, FORWARD und OUTPUT der Tabelle filter. Alle drei Regellisten haben die Standardpolicy ACCEPT, d.h. alle Pakete, welche diese Regellisten durchlaufen, werden grundsätzlich akzeptiert. Aufgelistet werden das Ziel (target), der Protokolltyp des Pakets (prot), mögliche Optionen (opt) sowie Quelle(source) und Ziel(destination) unserer Pakete. Offensichtlich enthält jedoch keine der Regellisten eine Regel. Der Befehl iptables wird generell benutzt, um Regeln zu erstellen, aufzulisten, sie zu manipulieren oder zu löschen. Die allgemeine Syntax lautet: # iptables [-t Tabelle] -[Aktion] [Regelliste] \ > [Optionen] -j [Ziel] Ein einfaches Beispiel soll uns weiterhelfen: Wir möchten verhindern, dass hereinkommende Pakete mit der Quelle 192.168.1.0/24 unseren Zielhost erreichen. Die Befehl hierzu lautet: # iptables -t filter -A INPUT -s 192.168.1.0/24 -j DROP Wasgenauisthierpassiert?WirhabenmitdemBefehliptablesderTabellefilter in der Regelliste INPUT eine Regel hinzugefügt(-t filter -A INPUT). Die Regel besagt, dass Pakete mit der Quelle(source) 192.168.1.0/24(-s 192.168.1.0/24) verworfen werdensollen (-j DROP). 28 Was zeigt uns nun der Output von iptables -L -t filter an? Chain INPUT (policy ACCEPT) DROP all -- 192.168.1.0/24 anywhere Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Aha! Es hat sich etwas getan. In die Regelliste INPUT ist eine Regel hinzugefügt worden, die alle Pakete mit der Quelladresse 192.168.1.0/24 unabhängig von Ziel und Protokolltyp verwirft. Die wichtigsten Parameter sind in den folgenden Tabellen aufgelistet. 28 DieNetzmaskekannsowohlinBit-Schreibweise,wiehiergeschehen,alsauch herkömmlich mit 255.255.255.0 angegeben werden. 341

Z Iptables(Netfilter) -A Eine Regel hinzufügen (add) -D Eine Regel löschen(delete) -F Alle Regeln löschen(flush) -R Eine Regel ersetzen(replace) -I Eine Regel einfügen (insert) -L Alle Regeln auflisten(list) -P Die Standardpolicy ändern (policy) [ACCEPT, DROP] -s von der Quelle (source) -d mit dem Ziel(destination) -p Protokolltyp (protocol) [tcp, udp, icmp oder numerische Angabe] -sport mit dem Quellport -dport zum Zielport -i vom hereinkommenden Interface (in) -o mit dem herausgehenden Interface (out) -j mit demziel(jump to) DROP ein Paket wird verworfen REJECT wie DROP, jedoch wird der Absender benachrichtigt ACCEPT ein Paket wird akzeptiert LOG ein Paket wird geloggt Grundsätzlich gilt: Wird eine Tabelle nicht explizit angegeben, so ist immer die Tabelle filter gemeint (Defaulteinstellung). Wird bei den Parametern -F und -L keine Regelliste angegeben, so sind alle Regellisten der Tabelle gemeint. Besonders aufpassen sollten Sie deshalb beim flushen einer Regelliste. Hinweis: Wenn Sie in einer Regel Quell- oder Zielport angeben möchten, so müssen Sie zwingend ebenfalls den Protokolltyp in der Regel definieren. Wenn in der Konfiguration des Syslog-Daemon nichts geändert wurde, werden die Logs in die Datei/var/log/messages geschrieben. Einige Beispiele sollen das eben Gelernte vertiefen. Gehen Sie in allen Beispielen davon aus, dass eth0 das nach innen zeigende Interface (192.168.0.1) und eth1 das nach außen zeigende Interface ist. Versuchen Sie zunächst, die Regel mit eigenen Worten wiederzugeben, bevor Sie den erläuternden Text lesen. # iptables -A FORWARD -p tcp -s 192.168.1.0/24 -j REJECT In dieser Regel sollen alle TCP-Pakete, deren Quelle das Netzwerk 192.168.1.0/24 ist, abgelehnt werden. Der Sender wird jedoch informiert. 342

15.2 Regeln erstellen und bearbeiten # iptables -R INPUT 3 -p icmp -i eth0 -j DROP Hier wird die 3. Regel der Regelliste INPUT ersetzt. Nun sollen alle ICMP-Pakete, die über das Interface ppp0 hereinkommen, verworfen werden. Der Sender erhält keine Nachricht über den Verbleib der Pakete. # iptables -I INPUT 2 -p tcp --dport 22 -i eth+ \ > -j ACCEPT Diese Regel soll an der 2. Position der Regelliste INPUT eingefügt werden. TCP- Pakete, die über alle Ethernet-Netzwerkkarten 29 hereinkommen und als Ziel den Port 22(secure shell) haben, werden akzeptiert. # iptables -D INPUT -s 192.168.1.0/24 -j DROP Die Regel, die besagt, dass alle Pakete aus dem Netzwerk 192.168.1.0/24 verworfen werden sollen, wird gelöscht. # iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j LOG Pakete, die als Quelle das Netzwerk 192.168.0.0/24 angeben und über das Netzwerkinterface eth1 hereinkommen, werden geloggt. # iptables -A INPUT -s 127.0.0.0/24 -i eth1 -j DROP Pakete, die als Quelle das Loopback-Interface angeben, jedoch über die Netzwerkschnittstelle eth1 hereinkommen, werden verworfen. # iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP Alle Pakete, die als Quelle das Netzwerk 192.168.0.0/24 angeben, jedoch über die Schnittstelle eth1 kommen, werden ebenfalls verworfen. Tipp: Die drei letzten Regeln sind ein typisches und praktisches Beispiel für die Funktionsweise von iptables. Was soll hier erreicht werden? Grundsätzlich stellt das Spoofen von IP-Adressen ein Problem für Paketfilter dar. Spoofen bedeutet hier, dass der Header des TCP/IP-Pakets eine gefälschte IP-Adresse 29 +wirdhier als Wildcardinterpretiert 343

Iptables(Netfilter) enthält. Solche gefälschten Pakte sind relativ einfach herzustellen und dafür umso gefährlicher. Es nützt wenig, eine Regel basierend auf IP-Adresse aufzustellen, wenn ein TCP/IP- Paket mit einem gefälschten Header und einer erlaubten IP-Adresse über ein anderes Netzwerkinterface hereinkommt. TCP/IP-Pakete mit der Netzwerkadresse 192.168.0.0 dürfen eigentlich nur im internen Netzwerk entstehen, folglich auch nur an der Netzwerkschnittstelle eth0 erscheinen. Ebenso darf ein Paket mit der Adresse des Loopbackdevices nicht an der externen Schnittstelle auftauchen. Die drei letzten Beispielregeln verhindern genau dies. Hier wird nicht nur überprüft, welche IP-Adresse im Header eines TCP/IP-Pakets enthalten ist, sondern auch, über welche Netzwerkschnittstelle dieses Paket auf unseren Server gelangt. 15.3 Erweiterungen Die oben vorgestellten Parameter zeigen aber noch längst nicht alles, was mit Hilfe des Befehls iptables gefiltert werden kann. Im diesem Abschnitt zeigen wir Ihnen weitere Möglichkeiten. 15.3.1 Negieren von Merkmalen Oft ist es notwendig, ein zu filterndes Merkmal zu negieren. Dies geschieht mit Hilfe eines vorangestellten!. Ein Beispiel: # iptables -A INPUT -s 192.168.0.0/24 -i! eth0 -j LOG Diese Regel protokolliert alle Pakete, deren Ursprung das Netzwerk 192.168.0.0/24 ist und die nicht über das Interface eth0 hereinkommen. 15.3.2 Flags im TCP-Header Manche Pakete möchte man anhand ihres gesetzten Flags filtern. So kann es z.b. wünschenswert sein, Verbindungsaufbauten zu Diensten zu verhindern, bestehende Verbindungen jedoch durchzulassen. Das gesetzte Syn-Bit in einem TCP-Header bedeutet, dass ein Verbindungsaufbau gewünscht wird. Hier hilft uns der Parameter-syn weiter. # iptables -A INPUT -p tcp --dport! 22 --syn -j DROP 344

15.3 Erweiterungen In diesem Beispiel werden alle Pakete verworfen, die ein Syn-Bit gesetzt haben, und deren Ziel nicht ein Verbindungsaufbau zum SSH-Server ist. Wichtig ist hier der Zusatz-p tcp, ohne den unsere Regel nicht funktionieren würde. Möchte man nach weiteren FLAGS filtern, benutzt man den Zusatz -tcp-flags. FLAGS können hier die WerteSYN, ACK, FIN, RST, PSH, URG, ALL oder NONE sein. ALL steht für alle Flags, NONE für keines. Nach-tcp-flags gibt man zwei komma-separierte Listen mit Flags an. Alle Flags in der ersten Liste werden überprüft. Flags aus der ersten Liste die auch in Liste 2 auftauchen, müssen gesetzt sein. Alle Flags aus Liste 1 die nicht in Liste 2 auftauchen, dürfen nicht gesetzt sein. Auch hierzu ein Beispiel: #: iptables -A INPUT -p tcp --dport 22 --tcp-flags \ > SYN,ACK,FIN SYN -j LOG Diese Regel loggt alle TCP-Pakete mit dem Zielport 22(ssh) bei denen das SYN-Flag gesetzt,dieflagsackundfinabernichtgesetztsind.auchindiesembeispielmuss zwingend der Zusatz-p tcp verwendet werden. 15.3.3 ICMP-Pakete Manchmal sehr notwendig zur Ursachenforschung für Fehler, manchmal sehr lästig sind ICMP-Pakete. Auch diese lassen sich auf bestimmte Merkmale hin filtern. Dies geschieht mit dem Zusatz-icmp-type und analog zu den obigen Beispielen mit einem vorangestellten -p icmp. Die verschiedenen ICMP-Typen erfahren Sie mit Hilfe des Befehls: # iptables -p icmp -h Valid ICMP Types: echo-reply (pong) destination-unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed source-route-failed network-unknown host-unknown network-prohibited host-prohibited TOS-network-unreachable 345

Iptables(Netfilter) TOS-host-unreachable communication-prohibited host-precedence-violation precedence-cutoff source-quench redirect network-redirect host-redirect TOS-network-redirect TOS-host-redirect echo-request (ping) router-advertisement router-solicitation time-exceeded (ttl-exceeded) ttl-zero-during-transit ttl-zero-during-reassembly parameter-problem ip-header-bad required-option-missing timestamp-request timestamp-reply address-mask-request address-mask-reply Die Ausgabe dieses Befehls wurde aus Platzgründen leicht verkürzt. Wir wollen z.b. das Senden und Empfangen von ICMP-Paketen unterbinden, es dem Rechner aber ermöglichen, den ping-befehle zu verwenden. Zunächst müssen wir dazu echo-request Pakete nach außen durchlassen, damit ping eine ICMP-Anforderung senden kann: # iptables -A OUTPUT -p icmp --icmp-type echo-request \ > -j ACCEPT Alle anderen ICMP-Pakete lassen wir nicht durch: # iptables -A OUTPUT -p icmp -j DROP Dann müssen wir echo-reply Pakete von außen akzeptieren, damit ping die Antwort des angepingten Rechners empfangen kann: # iptables -A INPUT -p icmp --icmp-type echo-reply \ > -j ACCEPT 346

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback