|
Kommandos*
-A Eine Regel an das ENDE einer Chain/Tabelle anfügen
-D Eine Regel aus einer Chain/Tabelle löschen
-C Ein Paket testen mit bestimmten Bedingungen auf eine Chain/Tabelle
-R Ersetzen einer Regel durch eine neue Regeln
-I Eine Regel am ANFANG einer Tabelle/Chain einfügen
-L [] Die Regeln einer Tabelle/Chain auflisten
-F
[] Alle Regeln einer Tabelle/Chain löschen.
Wenn keine Chain angegeben wird ,werden alle Chains geleert.
-Z [] Stellt Paket- und Bytezähler einer Chain auf Null
-N Erstellt eine benutzerdefinierte Chain
-X Löscht eine benutzerdefinierte Chain
-P Legt die Policy einer Chain fest
-E Benennt eine Chain um
! Bedeutet Negation.
Der Nachfolgende Parameter darf nicht mit den Daten eines Paketes übereinstimmen
Begleitende Optionen*
-t Auswahl einer der 3Tabellen.
Es wird dabei das angegebene \"Tabellen-Modul\" geladen
(iptable_)
-v Gibt \"mehr\" aus
-n Gibt die Auflistung numerisch aus.
-x Sorgt für eine exakte Zahlenangabe (Anstatt Kilo, Mega, Giga)
-h Gibt Hilfe-Meldungen und Optionen aus
-m Stellt zusätzliche Optionen bereit,
die sich im angegebenen Modul befinden.
Modul-Name wird ohne \"ipt_\" und ohne Datei-Endung angegeben.
Filteroptionen*
-p [ ! ] Bestimmt ein Protokoll
-s [ ! ] [/] Gibt die Quell-IP Adresse an (& z.B.+ /8)
-d [ ! ] [/] Gibt die Ziel-IP Adresse an (& z.B.+ 255.0.0.0)
-i [ ! ] Analysiert die Schnittstelle durch die das Paket gekommen ist
-o [ ! ] Spezifiziert die Schnittstelle durch die das Paket gehen wird
[ ! ] -f Mit der Option -f kann eine Regel erstellt werden, die auf zweite oder weitere Fragmente zutrifft
*[ ] = Optional
< > = Einzusetzender Inhalt
Aktion bei erfolgreicher Maskierung (Ziele)
Wenn die vorher bestimmten Regel erfüllt worden sind dann gibt es die Möglichkeit bestimmte ,vorher festgelegte, Aktionen durchzuführen.
Diese Aktionen werden auch als Ziele bezeichnet.
Mit dem Parameter \" -j \" bestimmt man was als Aktion durch zuführen ist.
Fehlt aber dieser Parameter dann hat die Regel keine Auswirkung.
Es gibt folgende Ziele:
-j ACCEPT Akzeptiert das Paket
-j DROP Verwirft das Paket.
-j
QUEUE Hängt das Paket an die Reihe der Benutzerprozesse.
Es werden hierfür aber benötigt: ein \"queue-Händler\" und eine Anwendung, die die Pakete empfängt und weiterverarbeitet.
Die maximale Länge beträgt 1024.
Wenn die Queue voll oder es keine Anwendung gibt wird das Paket verworfen.
-j RETURN Das Paket wird zum Ende \"durchgereicht\", ohne dazwischen liegende Regeln zu beachten und wird weiterverarbeitet.
Und als Module verwirklichte Ziele:
-j LOG Daten des Paketes in die System-Log eintragen.
Z.B. TCP Sequencenummer, IP Optionen, TCP.
Regeln werden sonst ganz normal weiter fortsetzen.
-j MARK Das Paket mit einer optional anzugebenden Zahl markiere..
-j MASQUERADE Hier bekommen geroutete Pakete als Absender-Adresse die Ip-Adresse & einen beliebigen Port des ausgehenden Interfaces.
So lassen sich bei Wählverbindungen mehrere PC's über einen Router an eine Verbindung koppeln.
-j REJECT Man schickt dem Sender eine ICMP-Fehlermeldung.
(\"port unreachable\")
-j TCPMSS Enthält Optionen, die Datenmenge pro Paket zu beschränken.
-j TOS Mit diesem Ziel lässt sich das 8bit große Type of Service Feld des IP-Headers setzen.
-j MIRROR Mirror vertauscht die Quelle und das Ziel.
So \"scannt\" ein Angreifer sich selbst.
-j REDIRECT Sorgt dafür, dass Pakete an den lokalen Rechner zugestellt werden. So lassen sich z.B. Pakete an \"Phantasie-Ziele\" abfangen und lokal behandeln.
-j
SNAT
(Source-NAT) NAT ist für die Maskierung der internen IP-Adressen verantwortlich. Man unterscheidet zwischen zwei Fällen von NAT:
Bei SNAT wird die Quell-Adresse und eventuell der Port eines Paketes und von den nachfolgenden Paketen verändert.
Masquerading ist ein besonderer Fall von SNAT.
SNAT findet immer nach dem Routing statt und sollte nur bei festen IP-Nummern verwendet werden
-j DNAT
(Destination-NAT) Bei DNAT wird die Zieladresse eines Paketes und von den nachfolgenden Paketen verändert und muss vor dem Routing stattfinden.
|
