• Startseite
• Microsoft
  • Windows 11
  • Windows 10
  • Windows 8 / 8.1
  • Windows 7
  • Vista
  • WinXP
  • Windows Server
  • Aktive-Directory
  • Exchange Server
  • Microsoft 365
  • Windows Hyper-V
  • Bitlocker
  • FAQs
  • FAQs - Windows Updates
  • FAQs - LAN
  • Windows IPv6
  • Edge / Internet-Explorer
  • WinPE
  • Kommandozeile
  • PowerShell
  • Scripte
  • Windows Subsystem for Linux
  • Windows Tasten und Verzeichnisse
  • Registry
  • Windows 9x
• Linux
  • Linux_Befehle
  • Programme_einrichten
  • Linux_System
  • Firewall
  • Shell_Scripte
  • FAQs
  • Debian
  • ubuntu
  • ArchLinux
  • OpenSUSE
  • RedHat/Feudora
  • Solus
  • CachyOS
• andere Betriebssysteme
  • Übersicht
  • NAS / ISCSI
  • Firewall
  • Security
  • Solaris
  • Novell
  • Mac OSX
  • Übersicht
  • BSD FAQs
  • OpenBSD
  • FreeBSD
• Software
  • diverse Software
  • Tobit DvISE
  • Virtualisierung
  • Emulatoren
  • SQL-Server
  • CMS
  • Groupware
  • DMS
  • Cloud-Dienste
  • VoIP
• Hardware
  • diverse Hardware
  • Router / WLAN
  • NAS
  • Mobile Device
  • UEFI
• TCP/IP
  • TCP/IP
  • Subnetting
  • IPv6
  • VoIP
  • Shell Verbindungen
  • VLAN einrichten
• Security Tipps
• Kabelbelegung
  • Ethernet
  • Telefon
  • serielle / V24
  • Mouse / Tastatur
  • paralell
  • SATA
  • SCSI
  • Power
  • USB
  • FireWire
  • Modem / Nullmodem
  • Monitor
  • Kabellängen
• DNS Suffix
• Begriffserläuterung
• sonstiges
  • sonstiges
  • Suchmaschinen
  • ADSL-Tips
  • Suche

Linux Firewall

---

Navigation
Firewall Grundlagen
Firewall Regeln
einfaches Firewallscript
Firewallscript mit FTP, HTTP, SSH, DNS
Neue Kette (Chain) erstellen
Logging
Firewall Kernelmodule für 2.4.x / 2.6.x
sonstiges

Links
IPTABLES HOWTO
WikiBooks IPTABLES
Iptables
LinuxUser Feines Sieb
Bannen mit iptables
IP-Adresse nach Herkunft filtern mit iptables

 

Firewall Grundlagen

Pakete werden von jeder eingebauten Kette unter Verwendung der folgenden Tabellen verarbeitet.

- In Tabellen werden Filterregeln zu Gruppen zusammengefasst.

Tabellen von iptables
Tabelle	Beschreibung
filter	Standardtabelle, alle "reinen" Filterregeln
nat	Regel für Adressumsetzung (Network Address Translation) spezielle Weiterleitungen (Port Forwarding)
mangle	Regel bei gewünschter Paketmanipulationen
raw	Regel eingesetzt um Ausnahmen vom Connection Tracking zu definieren
security	Regeln für Mandatory Access Control (MAC), wird unter anderem von SELinux implementiert

- Jede Tabelle enthält verschiedene Chains. Chains enthalten die eigentlichen Firewall Regeln, sie legen fest, wann ein Paket geprüft wird.

Chains (Ketten) von iptables
Chain	für Tabelle	Beschreibung
INPUT	filter, mangle, security	Pakete, für einen lokalen Prozess
OUTPUT	filter, nat, mangle, raw, security	Pakete, von einem lokalen Prozess
FORWARD	filter, mangle, security	Pakete, die nur weitergeleitet (geroutet) werden
PREROUTING	nat, mangle, raw	Pakete, bevor diese geroutet werden
POSTROUTING	nat, mangle	Pakete, nachdem diese geroutet würden

 

Aktionen, die auf ein Paket angewendet werden
Aktion	Beschreibung
ACCEPT	Paket wird akzeptiert und angenommen
DROP	Paket wird verworfen, der Sender erhält keine Nachricht
REJECT	Paket wird verworfen, der Sender wird benachrichtigt, bei IPv6 mit einer ICMPv6 Nachricht
QUEUE, NFQUEUE	Paket passiert den Userspace (falls vom Kernel unterstützt)
RETURN	Durchlaufen dieser Kette wird beendet und mit der nächsten Regel der vorherigen (aufrufenden) Kette fortgefahren wird
LOG	Paketdaten werden im System-Log festgehalten
SNAT	(Source-NAT) ändert die Quelladresse des Paketes und wird nur in der POSTROUTING Kette verwendet. (nur nat Tabelle)
MASQUERADE	Ersetzt die Quelladresse des Pakets, durch die IP-Adresse der Schnittstelle, auf dem es den aktuellen Host Rechner verlässt
DNAT	(Destination-NAT) ändert die Zieladresse des Paketes und wird nur in der PREROUTING Kette verwendet.
REDIRECT	ändert die Zieladresse oder ZielPort des Paketes
TOS	Feld Traffic Class im IPv6 Header wird mit einem zu definierenden Wert überschrieben. Darf nur in der Tabelle mangle verwendet werden, da das Paket verändert wird.

 

MASQUERADE ist das selbe wie SNAT aber für dynamisch vergebene IP (dialup) Verbindungen. (nur nat Tabelle)

--to-ports Port[-Port]

DNAT ändert die Zieladresse des Pakets und wird in den PREROUTING und OUTPUT, sowie benutzerdefinierten Ketten die nur von solchen aufgerufen wurden, verwendet. (nur nat Tabelle)

--to-destination ipaddr[-ipaddr][:Port-Port]

REDIRECT ändert den Ziel Port, um z.B. ein Paket über einen Proxy zu senden.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Firewall Regeln

Die grundlegenden Parameter:

iptables - IPv4 Filterregeln erstellen/ändern/löschen.
ip6tables - IPv6 Filterregeln erstellen/ändern/löschen.
arptables - Filter von ARP Paketen
ebtables - Filter für Ethernet-Bridging Pakete

Die allgemeine Syntax der iptables oder ip6tables Befehle ist:

iptables Befehl Regelspezifikation Erweiterungen
oder
ip6tables Befehl Regelspezifikation Erweiterungen

Befehl	Beschreibung
Anzeigen
iptables -L -vn	Regeln der Standard Kette (Chain) filter anzeigen, -n Nummerische Ausgabe der IP-Adressen und Ports, -v ausführliche Ausgabe
iptables -L -t nat	Regeln der Kette nat anzeigen
iptables -L -t mangle	Regeln der Kette mangle anzeigen
iptables -L -t raw	Regeln der Kette raw anzeigen
iptables -L -t security	Regeln der Kette security anzeigen
iptables -L -n --line-numbers	Nummern der Regel anzeigen
Löschen
iptables -F	alle Regeln löschen (flush)
iptables -D INPUT -s <IP-ADRESSE> -j DROP	Regel löschen, Angabe der definierten Regel
iptables -D INPUT <LINE-NUMBER>	Regel löschen, Angabe der Zeilennummer der zu löschenden Regel
Erstellen
iptables -A INPUT -s <IP-ADRESSE> -j DROP	Regel erstellen, an Kette anfügen
iptables -I INPUT 1 -s <IP-ADRESSE> -j DROP	Regel einfügen/bearbeiten, Regel mit der Nummmer 1 ändern
Bearbeiten
iptables -R INPUT -s <IP-ADRESSE> -j DROP	Regel ersetzen, überschreiben

iptables -[Kommando] [KETTE] [-t Tabelle] [Parameter] [-Optionen] -j [Aktion]

Parameter	Beschreibung
-t Tabelle	verwendete Tabelle (FILTER, NAT, MANGLE, SECURITY)
-p Protokoll	TCP, UDP, ICMP oder All
-s Quelladresse[Maske]
--sport Port[:Port]	Quellport, falls -p TCP oder UDP ist
-d Zieladresse[Maske]
--dport Port[:Port]	Zielport, falls -p TCP oder UDP ist
-j Aktion	ACCEPT, DROP, REJECT, LOG, u.a.
-i in-interface-name	für INPUT, FORWARD, PREROUTING
-o out-interface-name	für FORWARD, OUTPUT, POSTROUTING
-m state --state ESTABLISHED	auf bestehende Verbindungen aufsetzen

Kommandos von iptables:
-A: fügt eine Regel am Ende einer Kette an.
-C: Check
-D: löscht eine Regel in einer Kette, entweder über deren Nummer oder Regel angeben
-I: fügt eine neue Regel in einer bestimmten Position in einer Kette ein
-R: ersetzt eine bestimmte Regel in einer Kette
-L: listet die Regeln einer Kette auf.
-S: Ausgabe der Regeln der ausgewählten Kette
-F: entfernt alle Regeln in einer Kette
-Z: löscht die Byte- und Paketzähler, die die Kette durchlaufen haben
-N: erstellt eine neue Kette
-X: entfernt einer selbst erstellten Kette
-P: ändert die Standardregel einer Kette (Policy)
-E: umbenennen einer selbst erstellten Kette

Zum Ändern einer Kette:

Schalter
--sport	Source Port
--dport	Destination Port
--sport 1024:	ab Port 1024 und alle höheren
--dport 1024:2800	alle Ports von 1024 bis 2800
-s 192.168.1.0/24	Netzwerk Range von 192.168.1.0 - 192.168.1.255

Schalter ICPM
--icmp-type echo-request	Echo Anforderung
--icmp-type echo-reply	Echo Antwort
--icmp-type time-exceeded	Zeitübertschreitung
--icmp-type parameter-problem	Parameterfehler im Datagramm
--icmp-type network-unreachable	Netzwerk nicht erreichbar
--icmp-type host-unreachable	Host nicht erreichbar
--icmp-type protocol-unreachable	Protokoll nicht erreichbar
--icmp-type port-unreachable	Port nicht erreichbar

Portbezeichnungen kann man in /etc/services nachsehen
Protokollbezeichnungen stehen in der /etc/protocols

IP-Masquerading
- im LAN einen Rechner mittels NAT zum Router einrichten.

apt-get install ipmasq

# Forwarding aktivieren
echo 1 >> /proc/sys/net/ipv4/ip_forward

# Masquerading aktivieren
modprobe ipt_MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/16 -j MASQUERADE

Die Regel besagt, daß alle Pakete, die zum Interface ppp0 gehen (-o ppp0) und aus dem lokalen Netzwerk kommen (-s 192.168.0.0/16) maskiert werden (-j MASQUERADE).

- Tabelle erstellen

iptables -N Chain1

- selbst erstellte Tabelle umbenennen

iptables -E Chain1 Chain2

- selbst erstellte Tabelle löschen

iptables -X Chain2

- ankommende Pakete auf dem Zielport 22, 80, 443 zulassen

iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT

Netfilter einrichten

1. Module laden.

ip_tables
iptable_filter
ip_conntrack
iptable_nat
ipt_state
ipt_unclean
ipt_REJECT
ipt_LOG
iptable_mangle

2. alte bestehende Regeln löschen.

iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
# Option -F (flush) löscht bestehende Regeln, -L zeigt Regeln an

3. Default Policy festlegen. (alle Verbindungen für die keine Regel existiert werden verworfen)

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P INPUT DROP
iptables -t mangle -P FORWARD DROP
iptables -t mangle -P OUTPUT DROP
iptables -t mangle -P POSTROUTING DROP
# Nur für den FILTER ohne NAT und MANGLE reicht auch:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# Das sind die Pakete für die keine Regel erstellt wurde, in diesem Beispiel werden alle Pakete durchgelassen (ACCEPT),wenn die Pakete verworfen werden sollen DROP setzen (ist sicherer).

4. ungewöhnliche / defekte Pakete verwerfen.

iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m unclean -j DROP

5. Pakete aus I-Net mit privaten (gefälschten) Absenderadressen verwerfen

iptables -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
# Option -i Interface (ppp0 für Modem) -s Source (Quelle der Pakete) -j Jump und DROP verwerfen

6. Loopback Device Zugriff erlauben

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A OUTPUT -o lo -j ACCEPT
-i Input Interface
-o Output Interface

7. Protokollierung einschalten

iptables -t filter -A INPUT -j LOG
iptables -t filter -A FORWARD -j LOG
iptables -t filter -A OUTPUT -j LOG
iptables -t nat -A PREROUTING -j LOG
iptables -t nat -A POSTROUTING -j LOG
iptables -t nat -A OUTPUT -j LOG
iptables -t mangle -A PREROUTING -j LOG
iptables -t mangle -A INPUT -j LOG
iptables -t mangle -A FORWARD -j LOG
iptables -t mangle -A OUTPUT -j LOG
iptables -t mangle -A POSTROUTING -j LOG

8. DNS Anfragen durchlassen

iptables -A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
iptables -A INPUT -p tcp --sport 53 --dport 1024: -j ACCEPT
# man kann auch den DNS Server der abgefragt wird expliziet angeben, so erreicht man autorisierte Abfragen.
ns1=193.162.1.42
iptables -A INPUT -p udp -s $ns1 --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -s $ns1 --sport 53 -j ACCEPT
# je nachdem wo der Aufruf im Firewallscript steht, werden die bis dahin nicht durch eine Regel abgearbeiteten Packete im Syslog Protokolliert.

9. PING Anfragen beantworten und selbst PING Antworten entgegennehmen.

iptables -A INPUT -i ppp0 -p ICMP --icmp-type ping -j ACCEPT
# Echo Replay (-p icmp --icmp-type echo-reply) für eine Adresse (-s 172.16.5.30) ignorieren
iptables -A INPUT -s 172.16.5.30 -p icmp --icmp-type echo-reply -j DROP
# Echo Request (--icmp-type echo-request) für alle Adressen
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Echo Replay (-p icmp --icmp-type echo-reply) für alle Adresse
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
# alle anderen ICMP Meldungen für alle Adresse
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

10. Forwarding für bestimmt Ports blockieren

# NetBIOS, SMB, SQL Server, NFS, X11
BAD_TCP="135:139 445 1433 2049 5999:6063"
BAD_UDP="135:139 445 1433 2049 5999:6063"
# bad ports -- nicht weiterleiten (teilweise redundant)
for i in $BAD_TCP; do
iptables -A FORWARD -p tcp --dport $i -j DROP
iptables -A FORWARD -p tcp --sport $i -j DROP
done
for i in $BAD_UDP; do
iptables -A FORWARD -p udp --dport $i -j DROP
iptables -A FORWARD -p udp --sport $i -j DROP
done

11. FTP Sitzung

iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

12. NetBIOS Verbindungen blockieren

iptables -A INPUT -p udp --dport netbios-ns -j DROP
iptables -A INPUT -p udp --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp --dport netbios-ssn -j DROP

13. SSH Verbindung

# eine SSH Verbindung ist nur vom der IP 12.100.100.0 - 12.100.100.255 möglich
iptables -A INPUT -p tcp -s 12.100.100.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

14. HTTP Verbindungen

iptables -A OUTPUT -p tcp --sport 80 --dport 1024: -j ACCEPT
der Source Port (--sport 1024:) muss midestens 1024 sein, aber durch den angehängten Doppelpunkt sind auch alle darüberliegenden Ports erlaubt.
iptables -A INPUT -p tcp --sport 1024: --dport 80 ! --syn -j ACCEPT
Die Option ! --syn verweigert also den Aufbau einer neuen Verbindung, während Pakete erlaubt werden, die zu bestehenden Verbindungen gehören.

14. Destination-NAT für lokales Netzwerk erlauben

iptables -A FORWARD -i ppp0 -d 192.168.0.0/16 -j ACCEPT

15. alle übrigen Anfragen aus den Internet verbieten.

iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j LOG
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j LOG
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP

16. Port Forwarding aktivieren für einen Client im lokalen Netzwerk.

iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 4662 -j DNAT --to-destination 192.168.1.5
iptables -t nat -A PREROUTING -i ppp0 -p UDP --dport 5662 -j DNAT --to-destination 192.168.1.5

17. Firewall Einstellungen für Portforwarding zur Videokonverenz mit iVisit

iptables -t nat -D PREROUTING -i ppp0 -p udp --dprot 9940 -j DNAT --to IP-Adresse
iptables -A FORWARD -m state --state NEW -p udp --dport 9940 -j ACCESS

definierte Firewall Regeln anzeigen

iptables -nL
oder
ip6tables -nL

• Statistic der gefilterten Pakete Anzeigen

  iptables -L INPUT -v

• erste Regel aus der INPUT Tabelle löschen

  iptables -D INPUT 1

• Pakete einer bereits bestehenden Verbindung hereinlassen.

  iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

• Verbindungen zu Port 25 aus dem Heimnetz verhindern, nur zum Provider "smtp.t-online.de", die erste Regel verbietet alle Zugriffe auf Port 25 nach aussen, die zweite fügt eine Ausnahmeregel mit höherer Priorität ein "-I" statt mit "-A" angehängt
  (Default Policy für alle Chains steht auf ACCEPT)

  iptables -A FORWARD -p tcp -m state --state NEW -s 192.168.2.0/24 --dport 25 -j DROP
  iptables -I FORWARD -p tcp -m state --state NEW -s 192.168.2.0/24 -d smtp.t-online.de -j ACCEPT

• Verbindungen zu Port 22 auf den HomeServer zulassen, die erste Regel verbietet generell Verbindungen zu Port 22, die zweite mit höherer Priorität fügt eine Ausnahme ein die Verbindungen von der IP "1.2.3.4" zulassen

  iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j DROP
  iptables -I INPUT -p tcp -m state --state NEW -s 1.2.3.4 --dport 22 -j ACCEPT

• Verbindungsaufbauversuche pro IP-Adresse auf 10 pro Minute beschränken

  iptables -I INPUT -m state --state NEW -m recent --set
  iptables -I INPUT -m state --state NEW -m recent --update --seconds 60 --hitcount 11 -j DROP

einfaches Firewallscript

#!/bin/sh
#
#	es können neue Verbindungen (NEW), nach Aussen aufgebaut werden
#	bereits aufgebaute Verbindungen (ESTABLISHED) werden akzeptiert
#
IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPTABLES -A INPUT -j LOG --log-prefix "Firewall: "

Firewallscript mit FTP, HTTP, SSH, DNS

#!/bin/sh
#
#	lokale Paketfilter
#	FTP, SSH, DNS, HTTP
#
#

#	Variabeln setzen
#
IPTABLES=/sbin/iptables
test -x $IPTABLES || exit 5

case "$1" in
start)
echo
echo "		Loading - Paketfilter Regeln"
echo

#	notwendigen Module laden
#
module="iptable_filter iptable_mangle iptable_nat ip_tables ipt_LOG ip_conntrack ip_conntrack_ftp ipt_state"
for i in $module; do
modprobe $i
done 

#	Loesche alte Regeln und alte Tabellen
#
$IPTABLES -F
$IPTABLES --delete-chain

#	Default Policy festlegen
#
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT DROP

#	Loopback Interface Zugriff
#
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#	ungewöhnliche Pakete verwerfen (nicht für Kernel 2.6)
#
# $IPTABLES -A FORWARD -m unclean -j DROP
# $IPTABLES -A INPUT -m unclean -j DROP

#	Lokales Netzwerk
#
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.2.0/24 -j ACCEPT

#	IP-Spoofing Pakete verwerfen
#
$IPTABLES -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 255.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 0.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -s 192.168.0.0/16 -j LOG --log-prefix "Gefaelschte Quell-IP!"
$IPTABLES -A INPUT -s 192.168.0.0/16 -j DROP

# wenn der Server mit der IP 192.168.2.100 ein Paket mit seiner IP als Quell-IP empfängt
# ist das Paket meist gefälscht.
$IPTABLES -A INPUT -s 192.168.2.100 -j LOG --log-prefix "Falscher Server!"
$IPTABLES -A INPUT -s 192.168.2.100 -j DROP

#	alle TCP-Session müssen mit SYN beginnen
#
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth Scan versuch?"
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#
#	Hauptregeln für den Paketfilter:
#

#	INBOUND Regeln

#	eingehende Pakete, die Teil von zuvor zugelassenen Sessions sind akzeptieren
#
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#	FTP Pakete
$IPTABLES -A INPUT -p tcp -j ACCEPT --dport 21 -m state --state NEW

#	SSH Pakete
$IPTABLES -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW

#	HTTP Pakete
$IPTABLES -A INPUT -p tcp -j ACCEPT --dport 80 -m state --state NEW

#	Log was nicht akzeptiert wird
$IPTABLES -A INPUT -j LOG --log-prefix "INPUT abgelehnt: "

#	OUTBOUND Regeln

#	ausgehende Pakete, die Teil von zuvor zugelassenen Sessions sind akzeptieren
#
$IPTABLES -I OUTPUT 1 -j ACCEPT -m state --state RELATED,ESTABLISHED

#	ausgehende PING Anfragen erlauben
$IPTABLES -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request

#	
$IPTABLES -A OUTPUT -p udp -j ACCEPT --dport 53 -m state --state NEW

#	Log was nicht akzeptiert wird
$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT abgelehnt: "
;;

open)
echo 
echo "Achtung! alle Paketfilterregeln werden gelöscht und auf Durchgang gesetzt"
echo 
$IPTABLES -F
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT;;

stop)
echo 
echo "Achtung! alle Paketfilterregeln werden gelöscht"
echo 
$IPTABLES -F
;;

status)
echo 
echo "		IPTABLES Status anzeigen ..."
echo 
$IPTABLES -L -v --line-numbers
;;

*)
echo 
echo "		Benutze: $0 {start|stop|open|status}"
echo 
exit 1
;;
esac

- SSH Zugriff beschränken, 5 Verbindungen in 5 Min

iptables -A INPUT -i $wan -p tcp --dport ssh \
  -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i $wan -p tcp --dport ssh \
  -m state --state NEW -m recent \
  --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP

Neue Kette (Chain) erstellen

- neue Filter-Kette erstellen

iptables -N new-filter

- neu erstellte Kette anzeigen

iptables -L -nv

- damit die neue Kette genutzt werden kann, muss man durch einen Sprug zu ihr wechseln. Hier wird ein Sprung n die "INPUT" Kette eingefügt zu neuen Kette "new-filter"

iptables -t filter -A INPUT -j new-filter

- Regeln in die neue Kette einfügen, mit dem "RETURN" Aufruf springt man wieder in die vorige Kette zurück (INPUT-Kette)

iptables -A new-filter -m mac --mac-source 11:22:33:aa:bb:cc -j ACCEPT
iptables -A new-filter -j RETURN

- Sprung zur Kette "new-filter" aus INPUT entfernen

iptables -t filter -D INPUT -j new-filter

- die gesammte eigene Kette löschen (die Kette darf keine Regel mehr enthalten "iptables -F new-filter")

iptables -X new-filter

Es können beliebig viele selbst definierte Ketten erstellt werden und mann kann zwischen denn Ketten beliebig hin und her springen.

Logging

Firewall Log in Datei speichern

# /etc/rsyslog.conf
...
#
# Firewall Logs
#
kern.warn                       -/var/log/iptables.log
...

service rsyslog restart

- Logging aktivieren, der Zeile im Log wird Firewall: vorangestellt und als Level 4 (Warn Meldung) gespeichert

iptables -A INPUT -j LOG --log-prefix "Firewall: " --log-level 4
ip6tables -A INPUT -j LOG --log-prefix "Firewall: " --log-level 4

- nur SMTP (Port 25) in Datei ausgeben

iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "Firewall: " --log-level 4
ip6tables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "Firewall: " --log-level 4

- LOG Regel einer IP sperre

iptables -A INPUT -s <IP-ADRESSE> -m limit --limit 5/min -j LOG --log-prefix "banned: " \
--log-level 7

Parameter	Beschreibung
-m limit --limit 5/min	max. 5 Einträge je Minute ins LOG File
--log-level 7	Loglevel 7 (DebugMode) Ausgabe in /var/log/debug

 

 

Firewall Kernelmodule für 2.4.x / 2.6.x

Networking options --->
[*] Network packet filtering (replaces ipchains)
IP: Netfilter Configuration --->

Standardmodule

Modul	Funktion	Kernelquelle
ip_conntrack	Verbindungsverfolgung (connection tracking)	Connection tracking (required for masq/NAT)
ip_contrack_ftp	dito für FTP	FTP protocol support
ip_nat_ftp	NAT-Support für FTP	FTP protocol support
ip_queue	packet queueing (Weiterreichen an Userspace)	Userspace queueing via NETLINK (EXPERIMENTAL)
ipchains	ipchains Kompatibilität (Kernel 2.2)	ipchains (2.2-style) support
ipfwadm	ipfwadm Kompatibilität (Kernel 2.2)	ipfwadm (2.0-style) support
ipt_LOG	packet logging (Target LOG)	LOG target support
ipt_MARK	packet marking, Filter auf MARK-Symbole von Paketen	netfilter MARK match support
ipt_MASQUERADE	Masquerading	MASQUERADE target support
ipt_MIRROR	packet mirroring (source ? destination)	MIRROR target support (EXPERIMENTAL)
ipt_REDIRECT	transparentes Umleiten von Paketen	REDIRECT target support
ipt_REJECT	Zurückweisen von Paketen	REJECT target support
ipt_TOS	type of service setzen	TOS target support
ipt_limit	Begrenzerfilter	limit match support
ipt_mac	MAC-Filter	MAC address match support
ipt_multiport	Filter für mehrere Ports auf einmal	Multiple port match support
ipt_owner	Filter auf erzeugenden Nutzer (lokal)	Owner match support (EXPERIMENTAL)
ipt_state	Filter für Verbindungsstatus	Connection state match support
ipt_tos	Filter für type of service	TOS match support
ipt_unclean	Filter für ,,komische`` Pakete	Unclean match support (EXPERIMENTAL)
ipt_conntrack		Connection tracking match support
iptable_filter	implementiert Tabelle filter	Packet filtering
iptable_mangle	implementiert Tabelle mangle	Packet mangling
iptable_nat	implementiert Tabelle nat	Full NAT

 

sonstiges