Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
ICMP Nummer 8 (echo request), worauf der Host mit einem ICMP Paket Typ 0 (echo<br />
reply) antwortet. Ein Beispiel:<br />
# ping -c 1 127.0.0.1<br />
PING 127.0.0.1 (127.0.0.1): 56 data bytes<br />
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms<br />
--- 127.0.0.1 ping statistics ---<br />
1 packets transmitted, 1 packets received, 0% packet loss<br />
ro<strong>und</strong>-trip min/avg/max = 0.2/0.2/0.2 ms<br />
# ipchains -A input -s 127.0.0.1 -p icmp -j DENY<br />
# ping -c 1 127.0.0.1<br />
PING 127.0.0.1 (127.0.0.1): 56 data bytes<br />
--- 127.0.0.1 ping statistics ---<br />
1 packets transmitted, 0 packets received, 100% packet loss<br />
#<br />
Man kann hier gut erkennen, daß das erste Ping ein einmaliges Paket versendet, <strong>und</strong> ein<br />
Echo erscheint. Nach Programmierung des Kernels erscheint kein Echo mehr.<br />
Die Syntax des Befehls ist recht einfach: Füge an die input chain eine Regel an, die<br />
Pakete mit dem Protokolls ICMP von der Quelladresse 127.0.0.1 verwirft.<br />
Die Regel kann auf zwei Weisen wieder gelöscht werden. Zuerst kann die Regel, die die<br />
erste <strong>und</strong> einzige in der chain ist, unter Angabe der Nummer gelöscht werden.<br />
# ipchains -D input 1<br />
#<br />
Die zweite Variante ist ein Löschen der Regel dadurch, daß man die Syntax der Regel<br />
noch einmal wiederholt, nur diesmal aber nicht anfügt (-A) sondern löscht (-D):<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins<br />
# ipchains -D input -s 127.0.0.1 -p icmp -j DENY<br />
#<br />
Existieren mehrere gleichlautende Regeln in der chain, so wird nur die erste Regel<br />
gelöscht, als vorsicht mit dem mehrfachen Aufruf von Skripten.<br />
Filter Spezifikationen<br />
Es wurden bisher nur die Optionen -p <strong>und</strong> -s eingeführt. Um auch Dienste auf Port- Ebene<br />
filtern zu können, sind zusätzliche Angaben notwendig. Genau hierum dreht sich dieses<br />
längere Kompendium.<br />
Filtern nach Quell - <strong>und</strong> Zieladresse<br />
Die Quell (-s) <strong>und</strong> Ziel (-d) IP-Adressen können im Prinzip auf vier verschiedene Arten<br />
erfolgen. Einmal können die IP-Adressen direkt als Quadrupel von vier Zahlen zwischen 0<br />
<strong>und</strong> 255 angegeben werden, wie 127.0.0.1, zum anderen kann der Name eingesetzt<br />
werden, wie z.B. localhost. oder www.intra.net.<br />
Der dritte <strong>und</strong> vierte Weg sind die Angaben der Netzwerk-Gruppen. Hier können<br />
Adressen, wie 10.0.0.0/24 oder 192.168.0.0/8 gemacht werden. Die Angaben mit einem<br />
/24 /16 oder /8 bezeichnen die signifikanten Bits (von rechts aus gesehen). /24 bedeutet,<br />
daß die letzen 3 Zahlen variiert werden dürfen. also alle IP - Nummern von 10.0.0.1 bis<br />
10.254.254.254 verwendet werden dürfen, was dann einem Class-C Netz entspricht. /16