Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Die Paket- <strong>und</strong> Bytezähler benutzen die Anhänge K, M, G als Abkürzungen <strong>für</strong> 1000, 1<br />
Million <strong>und</strong> 1 Gigabyte. Die Option -x gibt die echten Zahlen aus, unabhängig davon, wie<br />
groß diese sind.<br />
Reset von Zählern.<br />
Zähler können mit der Option -Z auf Null gesetzt werden:<br />
# ipchains -v -L input<br />
Chain input (refcnt = 1): (policy ACCEPT)<br />
pkts bytes target prot opt tosa tosx ifname mark source destination ports<br />
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any<br />
# ipchains -Z input<br />
# ipchains -v -L input<br />
Chain input (refcnt = 1): (policy ACCEPT)<br />
pkts bytes target prot opt tosa tosx ifname mark source destination ports<br />
0 0 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any<br />
#<br />
Das Problem bei dieser Vorgehensweise ist, daß man manchmal die Zählerstände<br />
ablesen muß, bevor diese resettet werden. In obigem Beispiel können die Optionen -L <strong>und</strong><br />
-Z zusammen angewendet werden, um die Zählerstände beim Ablesen zu resetten.<br />
Unglücklicherweise ist das nicht möglich, wenn sich die Befehle auf eine einzige chain<br />
beziehen. Hierbei müssen dann alle chains zugleich resettet werden.<br />
Setzen der Policy<br />
# ipchains -L -v -Z<br />
Chain input (policy ACCEPT):<br />
pkts bytes target prot opt tosa tosx ifname mark source destination ports<br />
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any<br />
Chain forward (refcnt = 1): (policy ACCEPT)<br />
Chain output (refcnt = 1): (policy ACCEPT)<br />
Chain test (refcnt = 0):<br />
0 0 DENY icmp ----- 0xFF 0x00 ppp0 localnet/24 anywhere any<br />
# ipchains -L -v<br />
Chain input (policy ACCEPT):<br />
pkts bytes target prot opt tosa tosx ifname mark source destination ports<br />
10 840 ACCEPT icmp ----- 0xFF 0x00 lo anywhere anywhere any<br />
Chain forward (refcnt = 1): (policy ACCEPT)<br />
Chain output (refcnt = 1): (policy ACCEPT)<br />
Chain test (refcnt = 0):<br />
0 0 DENY icmp ----- 0xFF 0x00 ppp0 localnet/24 anywhere any<br />
#<br />
In den vorangehenden Abschnitten wurde die Problematik der Regeln beschrieben, deren<br />
Anweisungen auf chains zeigen, <strong>und</strong> wie diese chains ohne Sinn durchlaufen werden.<br />
Siehe auch Kapitel Definition einer Anweisung. In diesem Fall bestimmt die policy einer<br />
chain das Schicksahl eines Paketes. Nur die eingebauten chains (input, output <strong>und</strong><br />
forward) besitzen policies. Wenn ein Paket am Ende einer Userdefinierten chain<br />
"herausfällt", dann werde die Regeln der vorangegengenen chain weiter durchlaufen.<br />
Die Policy kann eine der vier ersten speziellen Anweisungen sein: ACCEPT, DENY,<br />
REJECT oder MASQ. MASQ ist nur <strong>für</strong> die forward chain definiert.<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins