Iptables Optionen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „{| class="wikitable" |- style="font-weight:bold; text-decoration:underline;" ! Kürzel ! Befehl ! Beschreibung |- | -F | --flush | Löscht alle Regeln |- | -L…“) |
|||
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | =Befehle= | ||
{| class="wikitable" | {| class="wikitable" | ||
|- style="font-weight:bold; text-decoration:underline;" | |- style="font-weight:bold; text-decoration:underline;" | ||
| Zeile 45: | Zeile 46: | ||
| Löscht eine benutzerdefinierte Kette | | Löscht eine benutzerdefinierte Kette | ||
|} | |} | ||
| + | =Parameter= | ||
| + | {| class="wikitable" | ||
| + | |- style="font-weight:bold;" | ||
| + | ! style="text-decoration:underline;" | Kürzel | ||
| + | ! style="text-decoration:underline;" | Parameter | ||
| + | ! style="text-decoration:underline;"| Beschreibung | ||
| + | ! style="text-decoration:underline;" | Beispiel | ||
| + | |- | ||
| + | | -t | ||
| + | | --table | ||
| + | | Hiermit wird die Tabelle angegeben auf die sich die Regel bezieht. Die Tabelle filter ist die Standardtabelle. | ||
| + | | -t filter<br />-t nat<br />-t mangle | ||
| + | |- | ||
| + | | -p | ||
| + | | --protocol | ||
| + | | Das Protokoll auf das die Regel achten soll. Oft benutzte Argumente sind u.a. tcp, udp, icmp oder all. <br />Es können auch die numerischen Protokollwerte für IP benutzt werden. Man kann mit ! negieren | ||
| + | | -p tcp<br />-p udp<br />-p esp<br />-p icmp | ||
| + | |- | ||
| + | | -s | ||
| + | | --source | ||
| + | | Die Quell Adresse eines Paketes. IP-Adresse, Netzwerk, FQDN. Man kann mit ! negieren | ||
| + | | -s 192.168.88.1<br />-s 10.0.0.0/8<br />-s ! 172.16.16.0/24 | ||
| + | |- | ||
| + | | -d | ||
| + | | --destination | ||
| + | | Die Ziel Adresse eines Paketes. IP-Adresse, Netzwerk, FQDN. Man kann mit ! negieren | ||
| + | | -d 192.168.88.1<br />-d 10.0.0.0/8<br />-d ! 172.16.16.0/24 | ||
| + | |- | ||
| + | | -i | ||
| + | | --in-interface | ||
| + | | Die Netzwerkschnittstellen die das Paket empfängt. Man kann mit ! negieren + zählt als Wildcard<br /> <br /> | ||
| + | | -i eth0<br />-i tun0 | ||
| + | |- | ||
| + | | -o | ||
| + | | --out-interface | ||
| + | | Die Netzwerkschnittstellen die das Paket sendet. Man kann mit ! negieren + zählt als Wildcard | ||
| + | | -o ppp0<br />-o ppp+ | ||
| + | |- | ||
| + | | -f | ||
| + | | --fragment | ||
| + | | Regel um fragmentierte Pakete einheitlich zu behandeln | ||
| + | | -f | ||
| + | |- | ||
| + | | -j | ||
| + | | --jump | ||
| + | | Das Ziel der Regel. Hier wird festgelegt was mit einem Paket geschieht wenn eine Regel zutrifft. | ||
| + | | -j ACCEPT<br />-j SNAT | ||
| + | |} | ||
| + | =Erweiterungen= | ||
| + | {| class="wikitable" | ||
| + | |- style="font-weight:bold; text-decoration:underline;" | ||
| + | ! Erweiterung | ||
| + | ! Beschreibung | ||
| + | ! Beispiel | ||
| + | |- | ||
| + | | TCP | ||
| + | | | ||
| + | | | ||
| + | |- | ||
| + | | --sport | ||
| + | | Quellport des Paketes. Es können die Namen oder Portadressen verwendet werden | ||
| + | | -p tcp --sport :1024 | ||
| + | |- | ||
| + | | --dport | ||
| + | | Zielport des Paketes. | ||
| + | | -p tcp --dport 443 | ||
| + | |- | ||
| + | | --tcp-flags | ||
| + | | Angabe von TCP Flags - SYN,RST,ACK,FIN | ||
| + | | --tcp-flags SYN,RST,ACK SYN | ||
| + | |- | ||
| + | | --syn | ||
| + | | Abkürzung für --tcp-flags SYN,RST,ACK SYN | ||
| + | | --syn | ||
| + | |- | ||
| + | | --tcp-option | ||
| + | | | ||
| + | | | ||
| + | |- | ||
| + | | UDP | ||
| + | | | ||
| + | | | ||
| + | |- | ||
| + | | --sport | ||
| + | | Quellport | ||
| + | | | ||
| + | |- | ||
| + | | --dport | ||
| + | | Zielport | ||
| + | | | ||
| + | |- | ||
| + | | ICMP | ||
| + | | | ||
| + | | -p imcp --icmp-type echo-request | ||
| + | |- | ||
| + | | --icmp-type | ||
| + | | Icmp Typ | ||
| + | | | ||
| + | |- | ||
| + | | Weitere | ||
| + | | | ||
| + | | | ||
| + | |- | ||
| + | | -m limit --limit | ||
| + | | Hiermit kann festgelegt werden wie oft eine Regel 'reagieren' soll. Dies ist besonders bei Log-Einträgen nützlich. <br />Als EIntrag gilt eine Zahl mit folgendem Typ: '/second', | ||
| + | | -m limit --limt 5/minute | ||
| + | |- | ||
| + | | -m state --state | ||
| + | | Dieser Parameter ermöglicht auf den Zustand des Paketes zu reagieren. Es gibt folgende Paketzustände:<br />NEW: ein Paket, das eine neue Verbindung aufbaut<br />ESTABLISHED: ein Paket, das zu einer bereits existierenden Verbindung gehoert<br />RELATED: ein Paket, das verwandt mit, aber nicht Teil von einer bestehenden Verbindung ist. Oder ein ICMP Fehler oder ein Paket, das eine FTP Datenverbindung aufbaut<br />INVALID: ein Paket, das nicht identifiziert werden konnte | ||
| + | | | ||
| + | |- | ||
| + | | -m time --timestart<br />-m time --timestop | ||
| + | | Mit diesem Modul können Regeln festgelegt werden, die nur zu bestimmten Tageszeiten greifen. | ||
| + | | | ||
| + | |- | ||
| + | | -m mac --mac-source | ||
| + | | Erlaubt es eine Regel auf MAC-Adressen zu spezifizieren | ||
| + | | | ||
| + | |} | ||
| + | =Quellen= | ||
| + | *https://www.64-bit.de/dokumentationen/netzwerk/iptables/DE-IPTABLES-HOWTO-1.html#ss1.1 | ||
Aktuelle Version vom 1. September 2022, 18:58 Uhr
Befehle
| Kürzel | Befehl | Beschreibung |
|---|---|---|
| -F | --flush | Löscht alle Regeln |
| -L | --list | Listet die Regeln auf |
| -Z | -zero | Mit diesem Parameter werden diese Zähler zurückgesetzt. |
| -P | --policy | Setzt Default Policy einer Kette |
| -A | --append | Hängt eine neue Regel an die Kette an |
| -I | --insert | Fügt eine Regel anhand einer Nummer ein |
| -R | --replace | Ersetzt eine Regel anhand ihrer Nummer |
| -D | --delete | Löscht eine identische Regel oder anhand ihrer Nummer aus der Kette |
| -N | --new-chain | Erstellt eine benutzerdefinierte Kette |
| -X | --delete-chain | Löscht eine benutzerdefinierte Kette |
Parameter
| Kürzel | Parameter | Beschreibung | Beispiel |
|---|---|---|---|
| -t | --table | Hiermit wird die Tabelle angegeben auf die sich die Regel bezieht. Die Tabelle filter ist die Standardtabelle. | -t filter -t nat -t mangle |
| -p | --protocol | Das Protokoll auf das die Regel achten soll. Oft benutzte Argumente sind u.a. tcp, udp, icmp oder all. Es können auch die numerischen Protokollwerte für IP benutzt werden. Man kann mit ! negieren |
-p tcp -p udp -p esp -p icmp |
| -s | --source | Die Quell Adresse eines Paketes. IP-Adresse, Netzwerk, FQDN. Man kann mit ! negieren | -s 192.168.88.1 -s 10.0.0.0/8 -s ! 172.16.16.0/24 |
| -d | --destination | Die Ziel Adresse eines Paketes. IP-Adresse, Netzwerk, FQDN. Man kann mit ! negieren | -d 192.168.88.1 -d 10.0.0.0/8 -d ! 172.16.16.0/24 |
| -i | --in-interface | Die Netzwerkschnittstellen die das Paket empfängt. Man kann mit ! negieren + zählt als Wildcard |
-i eth0 -i tun0 |
| -o | --out-interface | Die Netzwerkschnittstellen die das Paket sendet. Man kann mit ! negieren + zählt als Wildcard | -o ppp0 -o ppp+ |
| -f | --fragment | Regel um fragmentierte Pakete einheitlich zu behandeln | -f |
| -j | --jump | Das Ziel der Regel. Hier wird festgelegt was mit einem Paket geschieht wenn eine Regel zutrifft. | -j ACCEPT -j SNAT |
Erweiterungen
| Erweiterung | Beschreibung | Beispiel |
|---|---|---|
| TCP | ||
| --sport | Quellport des Paketes. Es können die Namen oder Portadressen verwendet werden | -p tcp --sport :1024 |
| --dport | Zielport des Paketes. | -p tcp --dport 443 |
| --tcp-flags | Angabe von TCP Flags - SYN,RST,ACK,FIN | --tcp-flags SYN,RST,ACK SYN |
| --syn | Abkürzung für --tcp-flags SYN,RST,ACK SYN | --syn |
| --tcp-option | ||
| UDP | ||
| --sport | Quellport | |
| --dport | Zielport | |
| ICMP | -p imcp --icmp-type echo-request | |
| --icmp-type | Icmp Typ | |
| Weitere | ||
| -m limit --limit | Hiermit kann festgelegt werden wie oft eine Regel 'reagieren' soll. Dies ist besonders bei Log-Einträgen nützlich. Als EIntrag gilt eine Zahl mit folgendem Typ: '/second', |
-m limit --limt 5/minute |
| -m state --state | Dieser Parameter ermöglicht auf den Zustand des Paketes zu reagieren. Es gibt folgende Paketzustände: NEW: ein Paket, das eine neue Verbindung aufbaut ESTABLISHED: ein Paket, das zu einer bereits existierenden Verbindung gehoert RELATED: ein Paket, das verwandt mit, aber nicht Teil von einer bestehenden Verbindung ist. Oder ein ICMP Fehler oder ein Paket, das eine FTP Datenverbindung aufbaut INVALID: ein Paket, das nicht identifiziert werden konnte |
|
| -m time --timestart -m time --timestop |
Mit diesem Modul können Regeln festgelegt werden, die nur zu bestimmten Tageszeiten greifen. | |
| -m mac --mac-source | Erlaubt es eine Regel auf MAC-Adressen zu spezifizieren |