7.3. Übliche iptables Filterung
Fremde Angriffe von einem LAN fernzuhalten, ist ein wichtiger Aspekt der Netzwerksicherheit, wenn nicht der Wichtigste. Die Integrität eines LAN sollte durch die Verwendung strenger Firewall-Regeln vor bösartigen auswärtigen Benutzern geschützt werden. Mit Standard-Richtlinien, die alle eingehenden, ausgehenden und weitergeleiteten Pakete blockieren, ist es allerdings Firewall/Gateway- und internen LAN-Benutzern nicht möglich, miteinander oder extern zu kommunizieren. Damit die Benutzer Netzwerk-bezogene Funktionen ausüben und Netzwerk-Anwendungen verwenden können, müssen die Administratoren bestimmte Ports für die Kommunikation öffnen.
Um Beispielsweise Zugang zu Part 80 an der Firewall zu ermöglichen, fügen Sie die fogende Regel hinzu:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Dies ermöglicht normales Webbrowsing von Websites, die über Port 80 kommunizieren. Um Zugang zu sicheren Websites zu erhalten (wie z.B. https://www.example.com/), müssen Sie auch Port 443 öffnen:
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
 | Wichtig | |
|---|---|---|
Wenn ein iptables-Regelsystem erstellt wird, darf nicht vergessen werden, dass die Reihenfolge wichtig ist. Wenn z.B. eine Kette festlegt, dass alle Pakete des lokalen 192.168.100.0/24 Subnetzes ausgelassen werden und dann eine Kette angefügt wird (-A), die Pakete von 192.168.100.13 (dies liegt innerhalb des ausgelassenen beschränkten Subnetzes) genehmigt, dann wird die angefügte Regel ignoriert. Sie müssen in diesem Fall zuerst eine Regel aufstellen, die 192.168.100.13 genehmigt, und dann eine Auslassungsregel im Subnetz erstellen. Um willkürlich eine Regel in eine existierende Kette von Regeln einzufügen, verwenden Sie -I gefolgt von der Kette, in der Sie die Regel einfügen wollen und einer Regelnummer (1,2,3,...,n) die besagt, wo die Regel liegt. Zum Beispiel:
Die Regel wird als erste Regel in der INPUT-Kette eingefügt, damit Verkehr von einer lokalen Loopback-Einrichtung möglich wird. |
Es mag Zeiten geben, in denen Sie einen Zugang zum LAN von außerhalb des LAN herstellen wollen. Für einen verschlüsselten Zugang von außen können Sie sichere Services wie SSH oder CIPE verwenden. Administratoren mit PPP-Ressourcen (wie Modem-Banken oder ISP-Massenkonten) können Einwahl-Verbindungen verwenden, um Firewall-Barrieren sicher zu umgehen. Modemverbindungen sind direkte Verbindungen und befinden sich typischerweise hinter Firewalls/Gateways. Für Fernbenutzer mit Breitband-Verbindungen können spezielle Einstellungen gemacht werden. Sie können iptables so konfigurieren, dass Verbindungen von entfernt liegenden SSH-Clients akzeptiert werden. Verwenden Sie die folgenden Regeln, um zum Beispiel einen SSH-Zugang von außen zu ermöglichen:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
Es gibt noch andere Dienste, für die Sie Regeln definieren müssen. Siehe Red Hat Enterprise Linux Referenzhandbuch für ausführliche Informationen über die zahlreichen Optionen von iptables und über iptables selbst.
Diese Regeln erlauben eingehenden und ausgehenden Zugang für ein individuelles System, wie einen Einzel-PC, der direkt mit dem Internet oder Firewall/Gateway verbunden ist. Sie erlauben jedoch keinen Zugang zu diesen Diensten für Netzwerkknoten hinter der Firewall. Sie können NAT mit iptables-Filterregeln verwenden, um LAN-Zugang zu diesen Diensten zu ermöglichen.