Kurzüberblick IPTables

Da es hier nur um die Absicherung von einzelnen Linux-Rechnern geht, soll auf die Besonderheiten von Network Address Translation (NAT) o.ä. nicht eingegangen werden. Auch sollte ein Rechner normalerweise nicht zwischen Netzen routen, daher wird die FORWARD-Chain nicht weiter betrachtet, die Chain sollte mit iptables -P FORWARD DROP gesperrt werden.

Neben der FORWARD-DROP-Regel sollte das Forwarding gar nicht erst aktiviert werden. Normalerweise ist eine Aktivierung über /proc/sys/net/ipv4/ip_forward nötig, unter Debian geschieht dies über einen Eintrag in /etc/network/options.

Man kann in den Filterregeln IP-Spoofing explizit unterbinden. Leichter ist es aber, IP-Spoofing bereits im Routing zu verbieten. Spoofprotection muss normalerweise über /proc/sys/net/ipv4/*/rp_filter explizit aktiviert werden,  unter Debian ist es bereits Standard über einen Eintrag in /etc/network/options.

Jedes Datenpaket durchläuft also eine Chain. Eine Chain ist eine Abfolge von Regeln, die in fest definierter Reihenfolge geprüft werden. Eine einzelne Regel enthält Bedingungen (z.B. Ziel ist IP xy) und ein Target. Erfüllt ein Datenpaket die Bedingung, so entscheidet das Target, was mit dem Paket passieren soll und die nachfolgenden Regeln werden nicht mehr geprüft ("first match").

Hat man z.B. eine Regel, die ssh-Zugriffe aus dem Uni-Netz zulässt, und danach eine Regel, die ssh-Zugriffe generell verbietet, so werden ssh-Zugriffe nur aus der Uni zugelassen. Dreht man die Regeln um, ist kein ssh-Zugriff mehr erlaubt, die Uni-Regel würde dann für ssh-Zugriffe überhaupt nicht mehr durchlaufen.

Die häufigsten und auch als Chain-Policy verwendbaren Targets sind

• <tt>ACCEPT</tt>: das Paket wird durchgelassen.
• <tt>DROP</tt>: das Paket wird verworfen, d.h. nicht durchgelassen und der Absender wird auch nicht informiert.

Es gibt noch zusätzliche Targets, für die z.T. weitere Kernel-Module geladen werden. Interessant sind dabei:

• <tt>REJECT</tt>: das Paket wird abgelehnt, d.h. nicht durchgelassen, aber der Absender wird mit einer ICMP-Meldung (port-unreachable) darüber informiert.
• <tt>REJECT --reject-with tcp-reset</tt>: ist eine Unterform der REJECT-Regel für TCP-Pakete, jedoch wird der Absender nicht mittels ICMP benachrichtigt, sondern die TCP-Verbindung wird regulär geschlossen (interessant für ident-Anfragen bei Timeouts).
• <tt>LOG</tt>: Hiermit können Informationen über die Logfunktionen des Kernels aufgezeichnet werden.
  

Meist steht am Anfang jeder Kette eine Regel, die alles erlaubt, was mit erlaubten Dingen im Zusammenhang steht: Antworten auf DNS-Anfragen, Antwort-Pakete in TCP-Verbindungen etc.:

• <tt>-m state</tt>: Dieses Modul erlaubt die Prüfung des Verbindungs-Status eines Pakets,Regeln der Form <tt>-m state --state RELATED,ESTABLISHED -j ACCEPT</tt> machen aus IPTables eine Stateful-Firewall.
  

Die am meisten benutzten Regeln dürften sich auf Protokoll (ICMP, TCP, UDP), auf IP-Adresse von Quelle/Ziel und ggf. auf die Port-Nummer Quelle/Ziel (meist eher Ziel) beziehen. Die folgenden Bedingungen können dabei in einer Regel vermischt werden (wirkt wie Und-Verknüpfung), meist ist eine Negation mit ! möglich:

• Protokoll: <tt>-p tcp|udp|icmp</tt>
• Ziel-IP: <tt>-d ipnummer</tt> oder <tt>-d ipnetznummer/netmask</tt>
• Ziel-Port: <tt>--dport portnummer</tt> oder <tt>--dport startport:endport</tt>
  
• Quell-IP: <tt>-s ipnummer</tt> oder <tt>-d ipnetznummer/netmask</tt>
• Quell-Port: <tt>--sport ipnummer</tt> oder <tt>--sport startport:endport</tt>

Zusätzlich gibt es weitere Bedingungen, die meist in Kernel-Modulen implementiert sind. Interessant zur Vermeidung von Bruteforce-Angriffen, Denial-of-Service-Attacken und sogar Port-Scans sind noch die Limit-Regeln:

• <tt>-m limit</tt>: Kann die Rate von Paketen (z.B. auch die von TCP-Verbindungsaufbauten) begrenzen; zum Einen durch ein Maximum, zum Anderen durch eine danach wirksamene Durchschnittsbegrenzung.
  
• <tt>-m connlimit</tt>: Hiermit kann die Zahl der gleichzeitigen Verbindungen begrenzt werden. Das kann sowohl die maximale Anzahl insgesamt sein, aber auch z.B. eine Verbindung je Host.

Jedoch ist die Implementierung dieser Limit-Regeln nicht so einfach. Sie sollten hierfür speziell für Ihren Wunsch im Internet nach Beispielen suchen oder die ausführlichen Tutorials zu IPTables befragen.

Ebenso ist es denkbar, dass die eigene Chain nur unter gewissen Bedingungen angesprungen wird. Zum Beispiel könnte eine Sammlung von Limit-Regeln nur für Quell-IPs außerhalb des UH-Netzes gelten, indem die eigene, limitierende Chain nur für -s !130.75.0.0/16 als Target angegeben wird.

Eine benutzerdefinierte Chain allein hat keine Wirkung, erst durch das Einhängen (d.h. als Target in einer Regel) in eine der drei Standard-Chains erlangt eine eigene Chain Bedeutung.