Content

5 Dez um 18:02 Uhr

Einrichten einer Firewall auf Linux: Ein Leitfaden zu Iptables

Das Einrichten einer Firewall ist ein wesentlicher Schritt zur Sicherung jedes modernen Betriebssystems. Die meisten Linux-Distributionen werden mit einigen verschiedenen Firewall-Tools geliefert, die Sie zur Konfiguration einer Firewall verwenden können. In diesem Leitfaden behandeln wir die Iptables-Firewall.

Einführung in Iptables

Iptables ist eine Standard-Firewall, die in den meisten Linux-Distributionen standardmäßig enthalten ist. Es handelt sich um eine Befehlszeilenschnittstelle zu den Kernel-Ebenen-Netfilter-Hooks, die den Linux-Netzwerkstack manipulieren können. Es funktioniert, indem jedes Paket, das die Netzwerkschnittstelle überquert, mit einer Reihe von Regeln abgeglichen wird, um zu entscheiden, was zu tun ist.

Wie Iptables funktioniert

Begriffe verstehen

Die Iptables-Firewall arbeitet, indem sie den Netzwerkverkehr mit einer Reihe von Regeln vergleicht. Die Regeln definieren die Merkmale, die ein Netzwerkpaket haben muss, um zu passen, und die Aktion, die für passende Pakete ausgeführt werden soll.

Es gibt viele Optionen, um festzulegen, welche Pakete einer bestimmten Regel entsprechen. Sie können den Paketprotokolltyp, die Quell- oder Zieladresse oder den Port, die verwendete Schnittstelle, die Beziehung zu vorherigen Paketen und vieles mehr abgleichen.

Wenn das definierte Muster übereinstimmt, wird die Aktion, die durchgeführt wird, als Ziel bezeichnet. Ein Ziel kann eine endgültige Richtlinienentscheidung für das Paket sein, wie z. B. ACCEPT oder DROP. Es kann das Paket auch zur Verarbeitung in eine andere Kette verschieben oder die Begegnung protokollieren. Es gibt viele Optionen.

Ketten und Richtlinien

Diese Regeln sind in Gruppen organisiert, die als Ketten bezeichnet werden. Eine Kette ist eine Reihe von Regeln, die ein Paket nacheinander überprüft. Wenn das Paket mit einer der Regeln übereinstimmt, wird die zugehörige Aktion ausgeführt und die restlichen Regeln in der Kette übersprungen.

Ein Benutzer kann bei Bedarf Ketten erstellen. Es gibt drei standardmäßig definierte Ketten. Diese sind:

INPUT: Diese Kette verarbeitet alle Pakete, die an Ihren Server adressiert sind.
OUTPUT: Diese Kette enthält Regeln für den vom Server erstellten Datenverkehr.
FORWARD: Diese Kette wird verwendet, um Datenverkehr zu behandeln, der für andere Server bestimmt ist, die nicht auf Ihrem Server erstellt wurden. Diese Kette ist eine Möglichkeit, Ihren Server so zu konfigurieren, dass Anfragen an andere Maschinen weitergeleitet werden.

Jede Kette kann null oder mehr Regeln enthalten und hat eine Standardrichtlinie. Die Richtlinie bestimmt, was passiert, wenn ein Paket durch alle Regeln in der Kette fällt und mit keiner Regel übereinstimmt. Sie können das Paket entweder verwerfen oder das Paket akzeptieren, wenn keine Regeln übereinstimmen.

Iptables kann auch Verbindungen nachverfolgen. Das bedeutet, dass Sie Regeln erstellen können, die definieren, was mit einem Paket basierend auf seiner Beziehung zu vorherigen Paketen geschieht. Diese Fähigkeit wird als „State Tracking“, „Connection Tracking“ oder Konfiguration der „State Machine“ bezeichnet.

IPv4 im Vergleich zu IPv6

Die Netfilter-Firewall, die im Linux-Kernel enthalten ist, hält IPv4- und IPv6-Verkehr vollständig getrennt. Die Iptables-Tools, die verwendet werden, um die Tabellen zu manipulieren, die die Firewall-Regelsätze enthalten, sind ebenfalls unterschiedlich. Wenn auf Ihrem Server IPv6 aktiviert ist, müssen Sie beide Tabellen konfigurieren, um den Verkehr auf Ihrem Server zu adressieren.

Hinweis: Nftables, ein Nachfolger von Iptables, integriert die Behandlung von IPv4 und IPv6 enger. Der Befehl iptables-translate kann verwendet werden, um Iptables-Regeln zu Nftables zu migrieren.

Der reguläre Befehl iptables wird verwendet, um die Tabelle zu manipulieren, die Regeln enthält, die den IPv4-Datenverkehr steuern. Für IPv6-Verkehr wird ein Begleitbefehl namens ip6tables verwendet. Alle Regeln, die Sie mit iptables festlegen, betreffen nur Pakete, die IPv4-Adressen verwenden, aber die Syntax zwischen diesen Befehlen ist gleich. Der iptables-Befehl erstellt die Regeln, die für IPv4-Datenverkehr gelten, und der ip6tables-Befehl erstellt die Regeln, die für IPv6-Datenverkehr gelten. Vergessen Sie nicht, die IPv6-Adressen Ihres Servers zu verwenden, um die ip6tables-Regeln zu erstellen.

Dinge, die Sie beachten sollten

Jetzt, da Sie wissen, wie Iptables Pakete, die durch seine Schnittstelle kommen, verarbeitet – leitet das Paket an die entsprechende Kette weiter, überprüft es gegen jede Regel, bis eine übereinstimmt, wendet die Standardrichtlinie der Kette an, wenn keine Übereinstimmung gefunden wird – können Sie beginnen, Regeln zu erstellen.

Zuerst müssen Sie sicherstellen, dass Sie Regeln haben, um aktuelle Verbindungen aktiv zu halten, wenn Sie eine Standard-Drop-Richtlinie implementieren. Dies ist besonders wichtig, wenn Sie über SSH mit Ihrem Server verbunden sind. Wenn Sie versehentlich eine Regel oder Richtlinie implementieren, die Ihre aktuelle Verbindung unterbricht, müssen Sie sich möglicherweise über eine browserbasierte Wiederherstellungskonsole bei Ihrem Server anmelden.

Ein weiterer Punkt, den Sie beachten sollten, ist, dass die Reihenfolge der Regeln in jeder Kette wichtig ist. Ein Paket darf nicht auf eine allgemeinere Regel stoßen, die es erfüllt, wenn es eine spezifischere Regel erfüllen soll.

Aus diesem Grund sollten Regeln am Anfang einer Kette spezifischer sein als Regeln am Ende. Sie sollten spezifische Fälle zuerst abgleichen und dann allgemeinere Regeln bereitstellen, um breitere Muster abzudecken. Wenn ein Paket durch die gesamte Kette fällt (wenn es mit keiner Regel übereinstimmt), folgt es der allgemeinsten Regel, d. h. der Standardrichtlinie.

Aus diesem Grund bestimmt die Standardrichtlinie einer Kette stark die Art der Regeln, die in der Kette enthalten sind. Eine Kette mit der Standardrichtlinie ACCEPT enthält Regeln, die Pakete explizit verwerfen. Eine Kette, die standardmäßig auf DROP gesetzt ist, enthält Ausnahmen für Pakete, die ausdrücklich akzeptiert werden sollen.

Fazit

An diesem Punkt sind Sie bereit, Ihre eigene Firewall zu implementieren. Denken Sie daran, Ihre Regeln und Richtlinien sorgfältig zu planen, um sicherzustellen, dass Ihr System sicher bleibt und gleichzeitig der notwendige Datenverkehr zugelassen wird. Überprüfen und aktualisieren Sie regelmäßig Ihre Firewall-Einstellungen, um sich ändernden Sicherheitsanforderungen oder Netzwerk-Konfigurationen anzupassen. Mit dem Beherrschen von Iptables machen Sie einen bedeutenden Schritt in Richtung einer effektiven und effizienten Sicherung Ihrer Linux-Umgebung.

Kostenlosen Account erstellen

Registrieren Sie sich jetzt und erhalten Sie Zugang zu unseren Cloud Produkten.

Jetzt loslegen

Das könnte Sie auch interessieren:

centron Managed Cloud Hosting in Deutschland

Java-Array: So prüfst du Werte effizient

JavaScript

vor 15 Stunden

Wie prüft man, ob ein Java Array einen Wert enthält? Es gibt viele Möglichkeiten, um zu überprüfen, ob ein Java Array einen bestimmten Wert enthält. Einfache Iteration mit einer for-Schleife…

Wie berechnet man den BLEU-Score in Python?

Python

vor 16 Stunden

Wie berechnet man den BLEU-Score in Python? Der BLEU-Score in Python ist eine Metrik, die die Güte von maschinellen Übersetzungsmodellen misst. Ursprünglich wurde er nur für Übersetzungsmodelle entwickelt, wird jedoch…

Automatisieren der Server-Einrichtung auf Ubuntu 22.04 mit Ansible

Linux Basics, Tutorial

vor 1 Woche

Ansible: Automatisierung von Serverbereitstellung und -konfiguration Ansible ist ein Open-Source-Software-Tool zur Automatisierung von Serverbereitstellung, Konfigurationsmanagement und Anwendungsbereitstellung. Mit Ansible können Sie Aufgaben auf einem oder mehreren Servern automatisieren oder eine…

FEATURED PRODUCTS

Kubernetes

ccloud³

Managed Server

Cloud GPU

S3 Object Storage

COMPUTE

MANAGED

STORAGE

NETWORKING

MANAGEMENT TOOLS

BACKUPS & SNAPSHOTS

WEBSITE-HOSTING

HOUSING

FEATURED INDUSTRIES

Enterprise

Saas-Hosting

Startup

INDUSTRIES

MEHR INDUSTRIES

FEATURED USE CASES

Linux-Hosting

VMware Migration

Docker Hosting

USE CASES

MEHR USE CASES

RESSOURCES

Help Center

Trust Center

Glossar

Tutorials

MEHR CENTRON

MEHR INFOS