Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.6.2. Befehlsoptionen für IPTables

Regeln zum Filtern von Paketen werden mithilfe des iptables-Befehls erstellt. Die folgenden Aspekte eines Pakets werden häufig als Kriterien verwendet:
  • Pakettyp — Legt fest, welche Pakete der Befehl filtert, basierend auf dem Typ des Pakets.
  • Paketquelle/-bestimmungort — Legt fest, welche Pakete der Befehl filtert, basierend auf der Quelle oder dem Bestimmungort des Pakets.
  • Ziel — Legt fest, welche Aktion auf den Paketen angewendet wird, die den oben genannten Kriterien entsprechen.
Werfen Sie einen Blick auf Abschnitt 2.6.2.4, »IPTables Übereinstimmungsoptionen« und Abschnitt 2.6.2.5, »Zieloptionen« für weitere Informationen über bestimmte Optionen, die diese Aspekte eines Pakets betreffen.
Die mit bestimmten iptables-Regeln verwendeten Optionen müssen logisch gruppiert sein, basierend auf Zweck und Bedingungen der gesamten Regel, damit die Regel gültig ist. Der Rest dieses Abschnitts erläutert häufig verwendete Optionen für den iptables-Befehl.

2.6.2.1. Syntax der IPTables-Befehlsoptionen

Viele iptables-Befehle folgen dem folgenden Format: 
 iptables [-t <table-name>] <command> <chain-name> \ <parameter-1> <option-1> \ <parameter-n> <option-n>
<table-name> — Legt fest, auf welche Tabelle sich diese Regel bezieht. Falls nichts angegeben ist, wird die filter-Tabelle verwendet.
<command> — Legt fest, welche Aktion durchgeführt werden soll, z. B. Hinzufügen oder Löschen einer Regel.
<chain-name> — Legt die Kette fest, die bearbeitet, erstellt oder gelöscht werden soll.
<parameter>-<option> Paare — Parameter und zugehörige Optionen, die festlegen, wie ein Paket zu verarbeiten ist, auf das diese Regel zutrifft.
Die Länge und Komplexität eines iptables-Befehls kann sich sehr unterscheiden, abhängig von dessen Zweck.
Beispielsweise kann ein Befehl zum Löschen einer Regel aus einer Kette sehr kurz sein:
iptables -D <chain-name> <line-number>
Dagegen kann ein Befehl, der eine Regel hinzufügt, die Pakete von einem bestimmten Subnetz anhand einer Vielzahl an speziellen Parametern und Optionen filtert, ziemlich lang sein. Beim Zusammensetzen des iptables-Befehls muss bedacht werden, dass einige Parameter und Optionen weitere Parameter und Optionen benötigen, um eine gültige Regel zu bilden. Dies kann einen Dominoeffekt hervorrufen, mit weiteren Parametern, die wiederum weitere Parameter benötigen. Solange nicht alle Parameter und Optionen, die eine Reihe weiterer Optionen benötigen, erfüllt sind, ist die Regel nicht gültig.
Wenn Sie iptables -h eingeben, erhalten Sie eine vollständige Liste der iptables-Befehlsstrukturen.