Iptables ist eine Firewall auf einem Linux-Rechner. Mit ihr können Zugriffe von außen oder nach außen unterbunden werden. Mit iptables ist außerdem auch eine weiterleitung einrichtbar. Das heißt man kann Pakete von einer bestimmten IP oder auf einem bestimmten Port zu einem anderen Host oder Port weiterleiten.
Falls iptables noch nicht installiert kann man das unter nahezu jeder Distribution mit der Paketverwaltung ohne fremde Quellen nachinstallieren.
Achtung: Iptables-Regeln gelten sofort und ohne neustart. Was bedeutet sie sollten vorsichtig sein welche Regeln sie erstellen um sich nicht selber mit ssh oder ähnliches auszuschließen.
IPtables kann auf viele Arten verwendet werden. Eine Anwendung ist ein Forward um von einem Port auf den anderen oder von einem Host auf einen anderen Host Anfragen umzuleiten. Wir möchten hier aber die Funktionalität der Firewall uns anschauen.
Neue Regeln können erstellt werden, indem man in der Konsole folgenden Aufbau für ein Befehl verwendet:
iptables
-A (INPUT OUTPUT
-s (woher kommt das Paket)
-p protokoll (tcp /udp)
-m (gleiche wie bei -p)
--dport (destination port welcher port
-j ACCEPT oder DROP
Möchte ich auf meinem Server alle SSH-Zugriffe blockieren außer von meinem PC (192.168.100.100) brauche ich dafür zwei iptables-Regeln.
iptables -A INPUT -s 192.168.100.100/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
Der erste erlaubt mir auf den Port 22 über tcp zuzugreifen und der zweite blockiert alles andere. Sollte man den zweiten nicht setzen kann man den ersten auch weglassen, da sonst nicht verworfen wird und somit weiterhin alle zugreifen können.
Möchte man bei iptables neue Regeln mit einer Datei importieren empfiehlt es sich zuerst einmal eine Regeln per Konsole einzugeben um sie anschließend exportieren zu können. Man kann die Regeln auch schon vorher exportieren, nur weiß man nicht genau wo die neuen Regeln eingetragen werden. Das exportieren untersagt dann, das irgendwelche Regeln fehlen oder Fehlerhaft sind, denn auch andere Programme können iptables nutzen um zum Beispiel interne Umleitungen zu realisieren.
Exportieren kann man die Iptables regeln folgendermaßen
1iptables-save > PFAD_ZUR_DATEI
Normalerweise legt man die Datei unter /etc/iptables/rules.v4 ab und für v6 Regeln unter /etc/iptables/rules.v6.
In die Datei können nun alle neuen Regeln eingefügt werden um sie anschließend mit
1iptables-restore PFAD_ZUR_DATEI
wiederherstellen zu können.
Um überprüfen zu können das es geklappt hat, kann man sich alle Regeln mit dem unten aufgeführten Kommando anschauen.
1iptables -L
Iptables sind normalerweise nicht persistent, was bedeutet das sie nach einem neustart weg sind. Möchte man persistente Regeln also Regeln die einen neustart überleben muss man das Paket iptables-persistent installieren, welches ebenfalls in den Paketquellen verfügbar ist.