Im Katalog suchen

Linux - Wegweiser für Netzwerker

Online-Version

Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG

Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.

Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.


vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel



Linux für Firewalling vorbereiten

Um eine Linux IP-Firewall zu bauen, ist es zunächst notwendig, einen Kernel mit IP-Firewall-Unterstützung und das entsprechende Konfigurationsprogramm zu haben. In allen stabilen Kerneln vor der Version 2.2 benutzen Sie ipfwadm. Mit den 2.2.x-Kerneln wurde die dritte Generation der IP-Firewalls für Linux eingeführt, IP Chains genannt. Diese benutzen ein ähnliches Programm zu ipfwadm namens ipchains. Kernel 2.3.15 und später unterstützen bereits die vierte Generation von Linux-IP-Firewalls (netfilter). Diese sind das Ergebnis vieler Änderungen im Umgang mit der Paketübertragung in Linux. netfilter ist ein vielgestaltiges Produkt, das sowohl vollständig abwärtskompatibel zu ipfwadm und ipchains ist und außerdem das neue Konfigurationsprogramm iptables unterstützt. Die Unterschiede dieser drei Programme besprechen wir in den nächsten Abschnitten.

Konfigurieren des Kernels mit IP Firewall

Der Linux-Kernel muß für die Unterstützung von IP-Firewalling konfiguriert sein. Dafür ist nicht viel mehr zu tun, als die entsprechende Option auszuwählen, wenn Sie das make menuconfig vor der Kernel-Kompilierung ausführen.1 Wie man das macht, hatten wir bereits in Kapitel 3 Konfiguration der Netzwerkhardware, beschrieben. In 2.2er Kerneln sollten Sie folgende Optionen auswählen:

 Networking options  ---> 
        [*] Network firewalls 
        [*] TCP/IP networking 
        [*] IP: firewalling 
        [*] IP: firewall packet logging

In den Kerneln ab 2.4.0 sollten Sie folgende Optionen auswählen:

   Networking options  ---> 
     [*] Network packet filtering (replaces ipchains) 
         IP: Netfilter Configuration  ---> 
              . 
             <M> Userspace queueing via NETLINK (EXPERIMENTAL) 
             <M> IP tables support (required for filtering/masq/NAT) 
             <M>   limit match support 
             <M>   MAC address match support 
             <M>   netfilter MARK match support 
             <M>   Multiple port match support 
             <M>   TOS match support 
             <M>   Connection state match support 
             <M>   Unclean match support (EXPERIMENTAL) 
             <M>   Owner match support (EXPERIMENTAL) 
             <M>   Packet filtering 
             <M>     REJECT target support 
             <M>     MIRROR target support (EXPERIMENTAL) 
              . 
             <M>   Packet mangling 
             <M>     TOS target support 
             <M>     MARK target support 
             <M>   LOG target support 
             <M> ipchains (2.2-style) support 
             <M> ipfwadm (2.0-style) support

Das ipfwadm-Programm

Das Programm ipfwadm (IP Firewall Administration) ist das Hilfsmittel, mit dem Firewall-Regeln für alle Kernel vor der Version 2.2.0 gebildet werden. Seine Befehlssyntax kann sehr verwirrend sein, da es so viele komplizierte Dinge tun kann, aber wir stellen Ihnen trotzdem einige Beispiele für die wichtigsten Varianten vor.

Das ipfwadm-Programm ist in den meisten modernen Linux-Distributionen enthalten, wird aber möglicherweise nicht standardmäßig installiert. Dafür mag es ein bestimmtes Softwarepaket geben, das Sie noch nachträglich installieren müssen. Enthält Ihre Linux-Distribution nichts dergleichen, können Sie den Quellcode von ftp.xos.nl aus dem Verzeichnis /pub/linux/ipfwadm/ herunterladen und selbst kompilieren.

Das Programm ipchains

Wie bei ipfwadm kann auch ipchains zu Beginn sehr leicht zu Verwirrungen führen. Es bietet genauso viele Möglichkeiten wie ipfwadm mit einer vereinfachten Befehlssyntax und stellt außerdem einen “Verkettungs”-Mechanismus (Chaining) zur Verfügung, mit dem Sie viele Regelsätze verwalten und miteinander verbinden können. Rule Chaining behandeln wir in einem eigenen Abschnitt am Ende dieses Kapitels, da es für die meisten Situationen nur ein Zusatzkonzept ist.

Das Programm ipchains ist Bestandteil der meisten Linux-Distributionen, die auf dem 2.2er Kernel basieren. Wenn Sie es selbst kompilieren wollen, finden Sie den Quellcode auf der Website des Entwicklers unter http://www.rustcorp.com/linux/ipchains/. Im Quellpaket ist ein Wrapper-Skript namens ipfwadm-wrapper enthalten, das sich wie ­ipfwadm verhält, dabei aber in Wirklichkeit das ipchains-Kommando ausführt. Dadurch wird die Migration einer existierenden Firewall-Konfiguration ungemein erleichert.

Das Programm iptables

Die Syntax des Programms iptables ist der von ipchains ziemlich ähnlich. Die Unterschiede betreffen im wesentlichen nur einige neu hinzugekommene Fähigkeiten und resultieren aus der mittels Shared Libraries ermöglichten Erweiterbarkeit des Programms. Wie bei ipchains stellen wir auch für iptables äquivalente Beispiele vor, so daß Sie die Unterschiede in der Syntax der verschiedenen Tools besser miteinander vergleichen können.

Das iptables-Programm ist Bestandteil des Quellcodes von netfilter und unter http://www.samba.org/netfilter/ erhältlich. Es wird auch in jeder Linux-Distribution enthalten sein, die auf dem 2.4er Kernel basiert.

Auf den großen Meilenstein, den netfilter markiert, gehen wir noch in einem eigenen Abschnitt in diesem Kapitel ein.




1.

“Firewall Packet Logging” ist ein spezielles Feature, das für jedes Datagramm, das eine bestimmte Firewall-Regel erfüllt, eine Informationszeile an ein spezielles Gerät ausgibt, die Sie dann lesen können.


vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel


Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center


O'Reilly Home|O'Reilly-Partnerbuchhandlungen|Bestellinformationen
Kontakt|Über O'Reilly|Datenschutz

© 2001, O'Reilly Verlag