Red Hat Summit Red Hat SummitSupportKonsoleEntwicklerDemo startenKontakt

2.6.2.3. IPTables-Parameteroptionen

Bestimmte iptables-Befehle, zum Beispiel die Befehle zum Hinzufügen, Anhängen, Entfernen, Einfügen oder Ersetzen von Regeln innerhalb einer bestimmten Kette, erfordern verschiedene Parameter für die Erstellung einer Paketfilterungsregel.
  • -c — Setzt die Zähler für eine angegebene Regel zurück. Dieser Parameter akzeptiert die PKTS- und BYTES-Optionen um anzugeben, welche Zähler zurückzusetzen sind.
  • -d — Legt den Bestimmungsort des Pakets als Hostnamen, IP-Adresse oder Netzwerk fest, der mit der Regel übereinstimmt. Zur Übereinstimmung mit einem Netzwerk werden die folgenden Formate für IP-Adressen/Netmasks unterstützt:
    • N.N.N.N/M.M.M.M — Wobei N.N.N.N der IP-Adressbereich und M.M.M.M die Netmask ist.
    • N.N.N.N/M — Wobei N.N.N.N der IP-Adressbereich und M die Bitmask ist.
  • -f — Wendet diese Regel nur auf fragmentierte Pakete an.
    Wird ein Ausrufezeichen (!) als Option vor diesem Parameter verwendet, werden nur unfragmentierte Pakete verglichen.

    Anmerkung

    Die Unterscheidung zwischen fragmentierten und unfragmentierten Paketen ist wünschenswert, auch wenn fragmentierte Pakete standardmäßig Teil des IP-Protokolls sind.
    Fragmentierung wurde ursprünglich dazu konzipiert, IP-Paketen das Passieren von Netzwerken mit unterschiedlichen Frame-Größen zu gestatten, wird heutzutage jedoch meist dazu verwendet, mithilfe von fehlerhaften Paketen DoS-Angriffe zu unternehmen. An dieser Stelle sei auch erwähnt, dass IPv6 Fragmentierung komplett verbietet.
  • -i — Legt die Eingangsnetzwerkschnittstelle fest, z. B. eth0 oder ppp0. Mit iptables darf dieser zusätzliche Parameter nur mit INPUT- und FORWARD-Ketten in Verbindung mit der filter-Tabelle und der PREROUTING-Kette mit den nat- und mangle-Tabellen verwendet werden.
    Dieser Parameter unterstützt darüberhinaus folgende spezielle Optionen:
    • Ausrufezeichen (!) — Kehrt die Direktive um, was bedeutet, dass jegliche angegebene Schnittstellen von dieser Regel ausgenommen sind.
    • Pluszeichen (+) — Ein Platzhalterzeichen, mithilfe dessen alle Schnittstellen zutreffend sind, die mit der angegebenen Zeichenkette übereinstimmen. Der Parameter -i eth+ würde diese Regel z. B. für alle Ethnernet-Schnittstellen Ihres Systems anwenden, aber alle anderen Schnittstellen, wie z. B. ppp0 auslassen.
    Wenn der -i-Parameter ohne Angabe einer Schnittstelle verwendet wird, ist jede Schnittstelle von dieser Regel betroffen.
  • -j — Springt zum angegebenen Ziel, wenn ein Paket einer bestimmten Regel entspricht.
    Die Standardziele sind ACCEPT, DROP, QUEUE und RETURN.
    Erweiterte Optionen sind zudem über Module verfügbar, die standardmäßig mit mit dem Red Hat Enterprise Linux iptables-RPM-Paket geladen werden. Gültige Ziele in diesen Modulen sind unter anderem LOG, MARK und REJECT. Weitere Informationen zu diesen und anderen Zielen finden Sie auf der iptables-Handbuchseite.
    Diese Option kann dazu verwendet werden, ein Paket, das einer bestimmten Regel entspricht, an eine benutzerdefinierte Kette außerhalb der aktuellen Kette weiterzuleiten, so dass andere Regeln auf dieses Paket angewendet werden können.
    Falls kein Ziel festgelegt ist, durchläuft das Paket diese Regel, ohne dass etwas unternommen wird. Der Zähler für diese Regel wird jedoch um eins erhöht.
  • -o — Legt die Ausgangsnetzwerkschnittstelle für eine bestimmte Regel fest, die nur mit OUTPUT- und FORWARD-Ketten in der filter-Tabelle und mit der POSTROUTING-Kette in den nat- und mangle-Tabellen verwendet werden kann. Die akzeptierten Optionen dieses Parameters sind dieselben wie die des Parameters der Eingangsnetzwerkschnittstelle (-i).
  • -p <protocol> — Legt das IP-Protokoll für die Regel fest. Dies kann entweder icmp, tcp, udp, all, oder aber ein numerischer Wert sein, der für eines dieser Protokolle oder für ein anderes Protokoll steht. Auch Protokolle, die in /etc/protocols aufgelistet sind, können verwendet werden.
    Die Option "all" bewirkt, dass die Regel auf alle unterstützte Protokolle angewendet wird. Falls kein Protokoll in der Regel angegeben wird, ist der Standardwert "all".
  • -s — Legt die Quelle eines bestimmten Pakets fest, und zwar unter Verwendung derselben Syntax, die auch der Parameter für den Bestimmungsort (-d) verwendet.
Nach oben
Red Hat logoGithubredditYoutubeTwitter

Lernen

Testen, kaufen und verkaufen

Communitys

Über Red Hat Dokumentation

Wir helfen Red Hat Benutzern, mit unseren Produkten und Diensten innovativ zu sein und ihre Ziele zu erreichen – mit Inhalten, denen sie vertrauen können. Entdecken Sie unsere neuesten Updates.

Mehr Inklusion in Open Source

Red Hat hat sich verpflichtet, problematische Sprache in unserem Code, unserer Dokumentation und unseren Web-Eigenschaften zu ersetzen. Weitere Einzelheiten finden Sie in Red Hat Blog.

Über Red Hat

Wir liefern gehärtete Lösungen, die es Unternehmen leichter machen, plattform- und umgebungsübergreifend zu arbeiten, vom zentralen Rechenzentrum bis zum Netzwerkrand.

Theme

© 2025 Red Hat