Linux 2.4 - Netfilter/iptables

Alexander Schreiber
TU Chemnitz, Fakultät für Informatik
als@thangorodrim.de

9. Juni 2000

Zusammenfassung:

Der Kernel-Firewall wurde auch bei Linux 2.4 sehr stark überarbeitet. Der ipchains-Code von 2.2 wird durch iptables abgelöst, das Gesamtsystem heißt Netfilter. Was hat sich gegenüber den Vorgängern ipfwadm/ipchains geändert und wieviel mehr kann Netfilter leisten?

Was ist Netfilter?

Was ist anders gegenüber ipchains?

Was ist anders gegenüber ipchains? (Fortsetzung)

Paketauswertung bei iptables

Packetauswertung bei iptables - Grafik

figure34

Paketauswertung und -modifikation bei iptables

iptables - ein tabellenbasiertes System

iptables - ein erweiterbares System

Standardmodule von iptables

Modul Funktion
ip_conntrack Verbindungsverfolgung (connection tracking)
ip_contrack_ftp dito für FTP
ip_nat_ftp NAT-Support für FTP
ip_queue packet queueing (Weiterreichen an Userspace)
ipchains ipchains Kompatibilität
ipfwadm ipfwadm Kompatibilität
ipt_LOG packet logging (Target LOG)
ipt_MARK packet marking
ipt_MASQUERADE Masquerading
ipt_MIRROR packet mirroring (source destination)
ipt_REDIRECT transparentes Umleiten von Paketen
ipt_REJECT Zurückweisen von Paketen
ipt_TOS type of service setzen
ipt_limit Begrenzerfilter

Standardmodule von iptables (Fortsetzung)

Modul Funktion
ipt_mac MAC-Filter
ipt_mark Filter auf MARK-Symbole von Paketen
ipt_multiport Filter für mehrere Ports auf einmal
ipt_owner Filter auf erzeugenden Nutzer (lokal)
ipt_state Filter für Verbindungsstatus
ipt_tos Filter für type of service
ipt_unclean Filter für ,,komische`` Pakete
iptable_filter implementiert Tabelle filter
iptable_mangle implementiert Tabelle mangle
iptable_nat implementiert Tabelle nat

Kompatibilitätsmodule

Packet Logging Die Logmöglichkeiten wurden massiv erweitert:

Limiting

NAT mit iptables

Packet State Matching

Packet Owner Matching

Fazit



Alexander Schreiber: als@thangorodrim.de