2.5.4. Häufige IPTables-Filter
Zu den wichtigsten Aspekten der Netzwerksicherheit gehört es, Angreifer von außerhalb am Zugriff auf ein LAN zu hindern. Die Integrität eines LAN sollte mithilfe einer Firewall vor böswilligen Benutzern von außerhalb geschützt werden.
Allerdings ist es mit einer Standardrichtlinie, die alle eingehenden, ausgehenden und weitergeleiteten Pakete blockiert, für die Firewall/das Gateway und interne LAN-Benutzer unmöglich, miteinander oder mit externen Ressourcen zu kommunizieren.
Um es Benutzern zu ermöglichen, Netzwerkfunktionen und Netzwerkapplikationen auszuführen, müssen Administratoren bestimmte Ports zur Kommunikation öffnen.
Um beispielsweise Zugriff auf Port 80 auf der Firewall zu erlauben, fügen Sie die folgende Regel hinzu:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Dies erlaubt es Benutzern, Websites zu besuchen, die über den Standardport 80 kommunizieren. Um Zugriff auf sichere Websites zu erlauben (z. B. https://www.example.com/), müssen Sie zudem den Zugriff auf Port 443 erlauben. Führen Sie dazu den folgenden Befehl aus:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Wichtig
Beim Erstellen eines
iptables
-Regelsets ist die Reihenfolge von entscheidender Bedeutung.
Wenn eine Regel spezifiziert, dass alle Pakete vom 192.168.100.0/24 Subnetz verworfen werden, und darauf eine Regel folgt, die Pakete von 192.168.100.13 (was innerhalb des verworfenen Subnetz liegts) erlaubt, dann wird die zweite Regel ignoriert.
Die Regel, die Pakte von 192.168.100.13 erlaubt, muss sich in der Reihenfolge vor der Regel befinden, welche Pakete vom restlichen Subnetz verwirft.
Um eine Regel an einer bestimmten Stelle in eine vorhandene Kette einzufügen, verwenden Sie die
-I
-Option. Zum Beispiel:
[root@myServer ~ ] # iptables -I INPUT 1 -i lo -p all -j ACCEPT
Diese Regel wird als erste Regel in die INPUT-Kette eingefügt, um lokalen Datenverkehr vom Loopback-Gerät zu erlauben.
In bestimmten Situationen benötigen Sie unter Umständen Zugriff auf das LAN von Remote aus. Um diese Remote-Verbindungen zu LAN-Diensten zu verschlüsseln, können Sie sichere Dienste wie z. B. SSH verwenden.
Administratoren mit PPP-basierten Ressourcen (wie z. B. Modembänke oder ISP-Accounts) können Einwählverbindungen nutzen, um sicher die Firewall-Barrieren zu umgehen. Da es sich bei Modemverbindungen um direkte Verbindungen handelt, sind diese üblicherweise hinter einer Firewall bzw. einem Gateway.
Für Remote-Benutzer mit Breitbandverbindungen können jedoch Sonderfälle eingerichtet werden. Sie können
iptables
konfigurieren, um Verbindungen von entfernten SSH-Clients zu akzeptieren. Die folgende Regel erlaubt beispielsweise SSH-Zugriff von Remote aus:
[root@myServer ~ ] # iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@myServer ~ ] # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Diese Regeln erlauben eingehende und ausgehende Verbindungen für ein einzelnes System, wie z. B. ein einzelner PC, der direkt mit dem Internet oder einer Firewall bzw. einem Gateway verbunden ist. Allerdings erlauben diese Regeln Knoten hinter der Firewall bzw. dem Gateway nicht den Zugriff auf diese Dienste. Um LAN-Zugriff auf diese Dienste zu erlauben, können Sie Network Address Translation (NAT) mit
iptables
Filterungsregeln nutzen.