Aufmacher

Iptables im Überblick

Feuerfest

Steht dem PC das Tor zum Internet offen, sollte man einen Wächter engagieren, der unerwünschte Gäste draußen hält. Iptables ist solch ein qualifizierter Türsteher.

Den Begriff "Firewall" hat jeder schon einmal gehört. Meist assoziiert man damit ein kompliziertes Gerät für die Sicherheit von Netzwerken. Spätestens seit viele Initiativen [1] und einige Medien immer wieder von einer "Personal Firewall" für den heimischen PC sprechen, sucht man auch für den eigenen PC ein solches Firewall-Dings. Es soll das vielzitierte Böse im Internet vom PC fernhalten und sich zumindest von Voodoo deutlich unterscheiden.

Unter Linux fällt sofort das Augenmerk auf iptables. Das Programm liegt den meisten Distributionen bei und ist bei dem einen oder anderen sogar aktiv. Ein genauer Blick auf die Konfiguration der Iptables erzeugt bei den meisten Anwendern jedoch ein verzagtes Schulterzucken. Das muss nicht sein: Die Grundlagen der Paketfilterei sind nicht allzu schwer zu verstehen, und wer sie beherrscht, richtet im Handumdrehen eine Firewall nach eigenen Bedürfnissen ein.

Pakete und Protokolle

Daten werden im Internet in Form kleiner Pakete übertragen. Um die Pakete zustellen zu können, muss man den Empfänger identifizieren, die Daten der entsprechenden Anwendung zuordnen, und diese muss sie schließlich richtig interpretieren. Für jeden einzelnen dieser Schritte gibt es genau definierte Protokolle. Einen ausführlichen Einstieg in die Welt dieser Protokolle bietet ein älterer LinuxUser-Artikel [2]. Hier sei das Wesentliche zum besseren Verständnis noch einmal kurz zusammengefasst.

Zur Vermittlung der Datenpakete vom Computer des Absenders zu dem des Empfängers dient das Internet-Protokoll oder kurz IP. Die IP-Pakete enthalten die IP-Adressen des Absenders und des Empfängers sowie einen Eintrag auf das Protokoll, welches die Daten den jeweiligen Anwendungen zuordnet und als Transportprotokoll bezeichnet wird.

Zwei wichtige Protokolltypen stellen das Transmission Control Protocol (TCP) und das User Datagram Protocol (UDP) dar. Die einzelnen Anwendungen auf einem System werden über Ports adressiert. Jede Anwendung erhält einen Port, auf dem sie Daten versenden kann, und einen, auf dem sie nach Daten lauscht. Abbildung 1 zeigt einige solcher offener Ports auf einem PC. Die zugestellten Daten werden dann mit Hilfe eines weiteren Protokolls, wie etwa HTTP, von der Anwendung interpretiert.

Abbildung 1: Netstat zeigt die momentan offenen TCP- und UDP-Ports an.

Das Transportprotokolle UDP bezeichnet man als verbindungsloses Protokoll, da es die Pakete lediglich mit einer Zieladresse und einem Zielport, sie dann auf die Reise schickt und vergisst. Zwar kann man optional neben dem Quellport auch eine Checksumme angeben, zuverlässiger wird die Zustellung dadurch aber nicht. Da auf dem langen Weg um den Globus auch ab und an ein Paket verloren gehen kann, sorgen sich verbindungsorientierte Protokolle wie TCP um eine verlässlichere Zustellung.

TCP stellt eine direkte Verbindung zum Empfänger her und enthält wesentlich mehr Steuerinformationen, sodass es einzelne abhanden gekommene Pakete bemerkt und erneut versendet. Werden größere Dateien vor dem Versenden in eine ganze Reihe von Paketen verpackt, kann TCP sie in der richtigen Reihenfolge wieder zusammensetzen, auch wenn sie auf Grund unterschiedlicher Laufzeiten in der falschen Reihenfolge ankommen.

Das leistet UDP zwar nicht, ist dafür aber deutlich kompakter und erzeugt weniger "Verpackung" beim Paketversand. Ein komplettes IP-Paket mit UDP-Daten sehen Sie in Abbildung 2 schematisch dargestellt.

Abbildung 2: Schematische Darstellung eines UDP-Datenpakets.

Nachdem das Paket über den Zielport die entsprechenden Anwendung erreicht hat, muss diese die Daten richtig interpretieren. Für jede Anwendung gibt es daher ein Protokoll, das die Daten korrekt darstellt. Beim bereits erwähnten HTTP handelt es sich um ein Anwendungsprotokoll für das Darstellen von Webseiten. Ein nicht weniger bekanntes Protokoll ist das File Transfer Protocol (FTP).

Sowohl HTTP als auch FTP setzen bei der Übertragung auf TCP auf. Das gewährleistet zum einen die für größere Datenmengen unverzichtbare Transportsicherheit. Zum anderen lässt sich auch gleichzeitig kontrollieren, wer die Verbindung initiieren darf. Zwar soll der Client die Verbindung zum Server im Internet aufnehmen dürfen, jedoch nicht umgekehrt jeder aus dem Internet ungefragt mit dem Client reden. Der Begriff, hinter dem sich die Zuordnung zu bereits etablierten Verbindungen verbirgt, lautet Stateful Inspection.

Iptables

Ein Paketfilter ist eine Software, die alle Netzwerkschnittstellen überwacht und die IP-Pakete nach vorher definierten Regeln überprüft. Anhand der IP-Adressen stellt der Filter fest, ob Absender und Empfänger überhaupt kommunizieren dürfen. Eine Schicht tiefer im IP-Paket wird anhand des Transportprotokolls und des Anwendungsprotokolls entschieden, ob die Kommunikation derfolgen darf.

Die meisten DSL-Router bringen einen solchen einfachen Paketfilter mit und bieten auf diese Weise eine rudimentäre Schutzfunktion. Das Paket Iptables ist etwas mehr als ein reiner Paketfilter. Es kann zusätzlich erkennen, ob Pakete zu einer schon etablierten TCP-Verbindung gehören (Stateful Inspection), Adressumsetzungen (NAT) zwischen Internet und privatem Netz vornehmen und vieles mehr.

Iptables ordnet je nach Richtung den Netzverkehr standardmäßig einer von drei Regelketten zu, den so genannten Chains. Ist ein Paket direkt an den Computer adressiert, arbeitet es die INPUT-Chain ab. Bevor der Rechner es versendet, muss es die OUTPUT-Chain durchlaufen. Und wenn es vom Computer nur weitergeleitet wird – ob vom inneren Netz zum äußeren oder umgekehrt – passiert es die FORWARD-Chain.

Abbildung 3 stellt die Standardketten von Iptables schematisch dar. Ein Paket wird in der jeweiligen Regelkette der Reihe nach mit den Filterregeln geprüft. Bei einer Übereinstimmung kommt die Regel zur Anwendung, die Bearbeitung endet damit. Falls keine Regel zutrifft, wird eine Standardregel angewandt, die so genannte Policy.

Abbildung 3: Die Standard-Chains von Iptables.

Zu jeder Standard-Chain gehört eine solche Policy. Da man nicht jeden möglichen Fall genau regeln kann, muss es eine Standardantwort für den Rest geben. Dabei kann man zwei Strategien verfolgen: Die eine erlaubt alles, was nicht explizit geregelt ist. Damit stellt man sicher, dass erst einmal alles funktioniert, Unerwünschtes muss man ausdrücklich verbieten. Die zweite Strategie gestattet nur den explizit erwünschten Datenverkehr und verbietet den Rest. Die zweite Variante bietet deutlich mehr Sicherheit, erfordert jedoch in der Regel mehr Konfigurationsaufwand.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Iptables-Grundlagen für Desktop-Nutzer
    Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.
  • Nachgeladen
    Dem Linux-Paketfilter Iptables fehlt eine einfache Möglichkeit, die Filterregeln nach einem Systemneustart automatisch zu laden. Die lässt sich aber durchaus nachrüsten – sogar auf mehreren Wegen.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Linux-Systeme vor Angriffen schützen, Teil 2
    Nachdem wir im ersten Teil wie die Axt im Walde gehaust und fast alle Daemons erledigt haben, bauen wir jetzt eine einfache Firewall für den Hausgebrauch auf, die die letzten Mauselöcher stopfen soll.
  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Brother Drucker DCP-J4120
Achim Zerrer, 09.12.2016 18:08, 0 Antworten
Hallo, ich wollte unter Leap 42.1 den Brother Drucker installieren und dazu das PPD- Datei vom do...
Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...