| Red Hat Enterprise Linux 4: Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 18. iptables | Nach vorne |
Auf den ersten Blick scheinen sich ipchains und iptables sehr zu ähneln. Beide Methoden verwenden Regel-Chains für die Filterung von Paketen und arbeiten im Linux-Kernel, nicht nur um zu entscheiden, welche Pakete hinein-oder hinausgelassen werden sollen, sondern auch, wie mit diesen Paketen, die bestimmten Regeln entsprechen, verfahren werden soll. iptables stellt Ihnen jedoch eine deutlich erweiterbarere Paketfilterung zur Verfügung, da sie dem Administrator mehr Kontrolle gibt, ohne dass das gesamte System hierdurch zu kompliziert wird.
Insbesondere sollten Benutzer, die sich mit ipchains gut auskennen, auf folgende wichtige Unterschiede zwischen ipchains und iptables achten, bevor sie versuchen, iptables zu benutzen:
Mit iptables wird jedes gefilterte Paket nur durch Anwendung der Regeln einer einzigen Chain und nicht mit denen mehrerer Chains verarbeitet. Beispiel: Ein FORWARD-Paket, das ein System betritt, würde mit ipchains den INPUT-, FORWARD-, und OUTPUT-Chains unterliegen, um sein Ziel zu erreichen. iptables hingegen sendet Pakete nur zur INPUT-Chain, wenn diese für das lokale System bestimmt sind, während Pakete nur an die OUTPUT-Chain gesendet werden, wenn das lokale System die Pakete erzeugt hat. Aus diesem Grund müssen Sie sicherstellen, dass sich die Regel für das Abfangen eines bestimmten Pakets in der richtigen Chain befindet, die das Paket auch wirklich behandelt.
Das DENY-Ziel wurde auf DROP geändert. Mit ipchains können Pakete, die einer Regel in einer Chain entsprachen, an das DENY-Ziel weitergeleitet werden, welches unbemerkt das Paket ausgelassen hat. Dieses Ziel muss mit iptables auf DROP geändert werden, damit derselbe Effekt erzielt wird.
Die Reihenfolge ist wichtig, wenn Optionen in eine Chainregel eingefügt werden. Mit ipchains spielt die Reihenfolge der Optionen bei der Eingabe einer Regel keine Rolle. Der iptables-Befehl benutzt eine genauere Syntax. In iptables-Befehlen müssen Sie das zu verwendende Protokoll (ICMP, TCP, oder UDP) vor dem Ursprungs- oder Zielport spezifizieren.
Bei der Spezifizierung von Netzwerkschnittstellen, auf die eine bestimmte Regel angewandt werden soll, müssen Sie Eingangsschnittstellen -i option) nur mit INPUT- oder FORWARD-Chains und Ausgangsschnittstellen (-o option) nur mit FORWARD- oder OUTPUT-Chains verwenden. Dies ist notwendig, weil OUTPUT-Chains nicht mehr für Eingangsschnittstellen verwendet werden und INPUT-Chains für Pakete, die durch eine Schnittstelle treten, nicht gesehen werden.
Dies ist keine umfassende Liste aller Änderungen, da iptables ein von Grund auf neu geschriebener Netzwerkfilter ist. Genauere Einzelheiten finden Sie im Linux Packet Filtering HOWTO mit Verweisen in Abschnitt 18.7.
| Zurück | Zum Anfang | Nach vorne |
| iptables | Nach oben | Mit iptables-Befehlen verwendete Optionen |