Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.5.7. IPTables und Connection Tracking

Sie können Verbindungen zu Diensten untersuchen und basierend auf deren Verbindungszustand einschränken. Ein Modul innerhalb von iptables verwendet eine Methode, die Connection Tracking oder auch Dynamische Paketfilterung genannt wird, um Informationen über eingehende Verbindungen zu speichern. Sie können den Zugriff auf Grundlage der folgenden Verbindungszustände erlauben oder verweigern:

NEW — Ein Paket fordert eine neue Verbindung an, z. B. eine HTTP-Anfrage.
ESTABLISHED — Ein Paket ist Teil einer bestehenden Verbindung.
RELATED — Ein Paket fordert eine neue Verbindung an, ist jedoch Teil einer bestehenden Verbindung. So verwendet FTP beispielsweise Port 21, um eine Verbindung herzustellen, die Daten werden jedoch auf einem anderen Port übertragen (üblicherweise Port 20).
INVALID — Ein Paket gehört zu keiner Verbindung in der Connection-Tracking-Tabelle.

Sie können die iptables-Funktion zur Zustandsüberprüfung mit jedem Netzwerkprotokoll verwenden, selbst wenn das Protokoll selbst zustandslos ist (wie z. B. UDP). Das folgende Beispiel zeigt eine Regel, die mithilfe der dynamischen Paketfilterung nur solche Pakete weiterleitet, die mit einer bereits bestehenden Verbindung zusammenhängen:

[root@myServer ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Select Your Language

Red Hat Training

2.5.7. IPTables und Connection Tracking

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Red Hat Training

2.5.7. IPTables und Connection Tracking

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links