Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Anweisung kann nur in der input chain verwendet werden. Sinnvoll kann diese Option<br />
zur Umleitung von Paketen auf Port 80 auf einen Proxy-Server auf Port 8080 sein. Bei<br />
UDP Paketen können diese an den UDP nach TCP Umsetzer (udprelay) übergeben<br />
werden, um Protokolle, wie NFS, NIS/YP sicherer gegen Angriffe zu machen. Diese<br />
Option kann auch auf Filter zeigen, die auf der <strong>Firewall</strong> installiert wurden, um JAVA <strong>und</strong><br />
Active-X aus dem Datenstrom herauszufiltern, ohne auf einen Proxy verzichten zu<br />
müssen, quasi als Kaskade von Proxy <strong>und</strong> Filter. Bitte beachten: Diese Option funktioniert<br />
zuverlässig nur mit der Kernelversion <strong>2.2</strong> . Ein Update von RedHat Linux 5.2 auf die neue<br />
Kernelversion ist aber problemlos. Updates <strong>und</strong> Patches findet man auf den Seiten von<br />
RedHat.<br />
Zum Schluß kommt die Anweisung RETURN. Diese Anweisung besagt, daß alle folgenden<br />
Regeln über gangen werden können. Weitere Details in dem Abschnitt Aufsetzen der<br />
Policy.<br />
Alle weiteren Anweisungen, die nicht diesen sechs entsprechen zeigen auf eine User<br />
definierte Regel. Die Bedeutung dieser Anweisungen wird in Anweisungen, die auf eine<br />
chain wirken. Das Paket wird alle Regeln in der chain durchlaufen, bis sich eine Regel<br />
findet, die beschreibt, was mit dem Paket geschehen soll.<br />
Dieses Beispiel zeigt Regeln, die keinen Sinn ergeben:<br />
input test<br />
---------------------------- ----------------------------<br />
| Rule1: -p ICMP -j REJECT | | Rule1: -s 192.168.1.1 |<br />
|--------------------------| |--------------------------|<br />
| Rule2: -p TCP -j Test | | Rule2: -d 192.168.1.1 |<br />
|--------------------------| ----------------------------<br />
| Rule3: -p UDP -j DENY |<br />
----------------------------<br />
Man denke sich ein TCP Paket, welches als Quell-IP - Nummer die Adresse 192.168.1.1<br />
besitzt <strong>und</strong> an die Adresse 1.2.3.4 gerichtet ist. Es betritt die input chain, <strong>und</strong> wird von<br />
Regel Nummer 2 als Zutreffend erkannt. Danach wechselt es zur test chain. Hier trifft<br />
die Regel Nummer 1 bereits zu, aber es ist keine Anweisung definiert. Danach durchläuft<br />
das Paket die test chain bis zum Ende <strong>und</strong> kehrt wieder in die input chain <strong>zurück</strong>.<br />
Hier passiert das Paket die Regel Nummer 3, die aber ebenfalls nicht zutrifft. Was danach<br />
mit dem Paket passieren soll, beschreibt die Policy.<br />
Ein kleines Diagramm:<br />
v __________________________<br />
`input' | / `Test' v<br />
------------------------|--/ -----------------------|----<br />
| Rule1 | /| | Rule1 | |<br />
|-----------------------|/-| |----------------------|---|<br />
| Rule2 / | | Rule2 | |<br />
|--------------------------| -----------------------v----<br />
| Rule3 /--+___________________________/<br />
------------------------|---<br />
v<br />
In dem Abschnitt Organisation der <strong>Firewall</strong>regeln werden Wege beschrieben, wie man<br />
User definierte chains effizient einsetzen kann.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins