Red Hat Summit2.5.7. IPTables und Connection Tracking
Sie können Verbindungen zu Diensten untersuchen und basierend auf deren Verbindungszustand einschränken. Ein Modul innerhalb von
iptables verwendet eine Methode, die Connection Tracking oder auch Dynamische Paketfilterung genannt wird, um Informationen über eingehende Verbindungen zu speichern. Sie können den Zugriff auf Grundlage der folgenden Verbindungszustände erlauben oder verweigern:
NEW— Ein Paket fordert eine neue Verbindung an, z. B. eine HTTP-Anfrage.ESTABLISHED— Ein Paket ist Teil einer bestehenden Verbindung.RELATED— Ein Paket fordert eine neue Verbindung an, ist jedoch Teil einer bestehenden Verbindung. So verwendet FTP beispielsweise Port 21, um eine Verbindung herzustellen, die Daten werden jedoch auf einem anderen Port übertragen (üblicherweise Port 20).INVALID— Ein Paket gehört zu keiner Verbindung in der Connection-Tracking-Tabelle.
Sie können die
iptables-Funktion zur Zustandsüberprüfung mit jedem Netzwerkprotokoll verwenden, selbst wenn das Protokoll selbst zustandslos ist (wie z. B. UDP). Das folgende Beispiel zeigt eine Regel, die mithilfe der dynamischen Paketfilterung nur solche Pakete weiterleitet, die mit einer bereits bestehenden Verbindung zusammenhängen:
[root@myServer ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
