Regeln, die es ermöglichen, dass Pakete vom Kernel gefiltert werden, werden durch Ausführen des iptables-Befehls erstellt. Beim Verwenden des iptables-Befehls müssen Sie folgende Optionen angeben:
Pakettyp — Diese Option legt fest, welche Art von Paketen der Befehl filtert.
Paketquelle oder -ziel — Diese Option legt fest, welche Pakete vom Befehl auf Grundlage der Paketquelle oder des Paketziels gefiltert werden.
Ziel — Diese Option legt fest, welche Aktion ausgeführt wird, wenn die Pakete die oben genannten Kriterien erfüllen.
Die mit der iptables-Regel verwendeten Optionen müssen logisch gruppiert sein, d.h., auf Grundlage des Zwecks und der Bedingungen der Gesamtregel, damit die Regel gültig ist.
Eine leistungsstarke Eigenschaft von iptables ist die Möglichkeit der Verwendung mehrerer Tabellen, mit denen entschieden wird, wie mit einem speziellen Paket verfahren werden soll. Dank der erweiterbaren Struktur von iptables können bestimmte Tabellen erstellt und im Verzeichnis /etc/modules/<Kernel-Version> /kernel/net/ipv4/netfilter/ abgelegt werden, um bestimmte Ziele zu erreichen. <Kernel-Version> steht hierbei für die Version des Kernel.
Die Standardtabelle filter enthält die standardmäßig integrierten INPUT-, OUTPUT-, und FORWARD-Chains. Dies ist vergleichbar mit den standardmäßigen Chains, die mit ipchains verwendet werden. iptables enthält jedoch standardmäßig auch zwei zusätzliche Tabellen, die spezifische Vorgänge zum Filtern von Paketen ausführen. Mit der nat-Tabelle können die in Paketen aufgezeichneten Ursprungs- und Zieladressen verändert werden, und mit der mangle-Tabelle können Pakete in sehr spezieller Weise verändert werden.
Jede Tabelle enthält standardmäßige Chains, die gemäß dem Tabellenzweck nötige Aufgaben ausführen. Sie können aber in jeder Tabelle auf einfache Art und Weise auch neue Chains erstellen.
Viele iptables-Befehle haben folgende Struktur:
iptables [-t <table-name>] <command> <chain-name> <parameter-1> \ <option-1> <parameter-n> <option-n> |
In diesem Beispiel ermöglicht die Option <table-name> dem Benutzer, eine andere Tabelle als die standardmäßige filter-Tabelle auszuwählen, die mit dem Befehl verwendet werden soll. Die Option <command> löst einen bestimmten Vorgang aus, wie z.B. das Anhängen oder Löschen einer Regel in einer Chain, die in der Option <chain-name> spezifiziert ist. Nach der Option <chain-name> befinden sich Parameterpaare und Optionen, die letztendlich darüber entscheiden, wie die Regel angewandt wird und was passiert, wenn ein Paket einer Regel entspricht.
Bei der Betrachtung der Struktur eines iptables-Befehls ist es wichtig, daran zu denken, dass sich anders als bei den meisten anderen Befehlen Länge und Komplexität eines iptables-Befehls je nach seinem Zweck verändern können. Ein einfacher Befehl für das Entfernen einer Regel aus einer Chain kann z.B. sehr kurz sein, während ein Befehl für das Filtern von Paketen aus einem bestimmten Sub-Netz aufgrund verschiedener spezifischer Parameter und Optionen sehr lang sein kann. Bei iptables-Befehlen sollten Sie berücksichtigen, dass manche Parameter und Optionen, die verwendet werden, unter Umständen die Notwendigkeit nach sich ziehen, weitere Parameter und Optionen zu erstellen, damit die Anforderungen der ersten Option weiter spezifiziert werden können. Um eine gültige Regel zu erstellen, muss diese weitergeführt werden, bis jeder Parameter und jede Option, die einen weiteren Optionensatz erfordert, erfüllt ist.
Wenn Sie iptables -h eingeben, erhalten Sie eine vollständige Liste der iptables-Befehlsstrukturen.
Mit Befehlen wird iptables angewiesen, einen bestimmten Vorgang auszuführen. Nur ein einziger Befehl pro iptables-Befehlszeichenkette ist zugelassen. Mit Ausnahme des Hilfebefehls sind alle Befehle in Großbuchstaben geschrieben.
Die iptables-Befehle sind:
-A — Hängt die iptables-Regel an das Ende der spezifizierten Chain an. Dies ist der Befehl, mit dem eine Regel einfach hinzugefügt wird, wenn die Reihenfolge der Regeln in der Chain nicht ausschlaggebend ist.
-C — Kontrolliert eine bestimmte Regel, bevor sie zur benutzerdefinierten Chain hinzugefügt wird. Dieser Befehl kann Ihnen dabei helfen, komplizierte iptables-Regeln zu erstellen, indem er Sie jeweils durch Aufforderungen dazu bringt, zusätzliche Parameter und Optionen einzugeben.
-D — Entfernt eine Regel in einer bestimmten Chain nach ihrer Ziffer (z.B. 5 für die 5. Regel einer Chain). Sie können ebenfalls die gesamte Regel eingeben, woraufhin iptables dann die entsprechende Regel aus der Chain, mit der die Regel übereinstimmt, entfernt.
-E — Benennt eine benutzerdefinierte Chain um. Dies hat allerdings keine Auswirkung auf die Tabellenstruktur.
-F — Löscht die gewählte Chain, woraufhin effektiv jede Regel in der Chain entfernt wird. Wenn keine Chain angegeben wird, löscht dieser Befehl jede Regel jeder Chain.
-h — Liefert eine Liste mit Befehlsstrukturen sowie eine kurze Zusammenfassung der Befehlsparameter und -Optionen.
-I — Fügt eine Regel an einem bestimmten Punkt in eine Chain ein, welcher ein ganzzahliger Wert ist. Wenn kein Wert angegeben ist, setzt iptables den Befehl an den Anfang der Regelliste.
![]() | Achtung |
---|---|
Achten Sie darauf, welche Option (-A oder -I) Sie beim Hinzufügen von Regeln verwenden. Die Reihenfolge der Regeln kann sehr wichtig sein, wenn Sie bestimmen, ob ein bestimmtes Paket dieser oder jeder Regel entsprechen soll. |
-L — Listet alle Regeln in der nach dem Befehl spezifizierten Chain auf. Um alle Regeln in allen Chains in der Standardtabelle filter aufzulisten, spezifizieren Sie nicht eine Chain oder eine Tabelle. Ansonsten sollte folgende Satzstruktur verwendet werden, um die Regeln in einer spezifischen Chain in einer bestimmten Tabelle aufzulisten:
iptables -L <chain-name> -t <table-name> |
Leistungsstarke Optionen für den -L-Befehl, die Regelziffern liefern und ausführlichere Regelbeschreibungen ermöglichen, sind unter anderem in Abschnitt 16.3.7 beschrieben.
-N — Erstellt eine neue Chain mit benutzerdefiniertem Namen.
-P — Setzt die standardmäßige Policy für eine bestimmte Chain, damit bei der Durchquerung von Paketen durch eine Chain, die Pakete, wie bei ACCEPT oder DROP, ohne Übereinstimmung mit einer Regel an ein bestimmtes Ziel weitergeleitet werden können.
-R — Ersetzt eine Regel in einer bestimmten Chain. Sie müssen eine Regelnummer nach dem Namen der Chain verwenden, um die Regel zu ersetzen. Die erste Regel einer Chain bezieht sich auf die Regelziffer 1.
-X — Entfernt eine benutzerdefinierte Chain. Das Entfernen einer integrierten Chain für eine Tabelle ist nicht zugelassen.
-Z — Stellt Byte- und Paketzähler in allen Chains für eine bestimmte Tabelle auf Null.
Sobald gewisse iptables-Befehle spezifiziert worden sind, einschließlich derer zum Hinzufügen, Anhängen, Entfernen, Einfügen oder Ersetzen innerhalb einer bestimmten Chain, müssen Sie Parameter definieren, um mit der Erstellung einer Paketfilterungsregel beginnen zu können.
-c — Setzt die Zähler für eine bestimmte Regel zurück. Dieser Parameter akzeptiert die PKTS- und BYTES-Optionen zur Spezifizierung der zurückzusetzenden Zähler.
-d — Stellt Ziel-Hostnamen, IP-Adresse oder Netzwerk eines Pakets ein, das mit der Regel übereinstimmt. Wenn das Paket mit einem Netzwerk übereinstimmt, sind die folgenden Formate für IP-Adressen/Netmasks unterstützt:
N.N.N.N/M.M.M.M — Wobei N.N.N.N der Bereich der IP-Adresse und M.M.M.M die Netmask ist.
N.N.N.N/M — Wobei N.N.N.N der Bereich der IP-Adresse und M die Netmask ist.
-f — Wendet diese Regel nur auf fragmentierte Pakete an.
Durch Verwendung der !-Option nach diesem Parameter werden nur unfragmentierte Parameter abgefangen.
-i — Setzt die Schnittstelle des Eingangsnetzwerks, z.B. eth0 oder ppp0, die für eine bestimmte Regel benutzt werden soll. Mit iptables sollte dieser zusätzliche Parameter nur mit INPUT- und FORWARD-Chains in Verbindung mit der filter-Tabelle und der PREROUTING-Chain mit den nat- und mangle-Tabellen verwendet werden.
Dieser Parameter unterstützt auch folgende spezielle Optionen:
! — Weist diesen Parameter an, keine entsprechenden Übereinstimmungen zu suchen bzw. jede spezifizierte Schnittstelle von dieser Regel auszuschließen.
+ — Ein Platzhalterzeichen, das verwendet wird, um alle Schnittstellen zu kontrollieren, die einer bestimmten Zeichenkette entsprechen. Der -i eth+-Parameter würde diese Regel z.B. für alle Ethnernet-Schnittstellen Ihres Systems anwenden, aber alle anderen Schnittstellen, wie z.B. ppp0 auslassen.
Wenn der -i-Parameter ohne Spezifizierung einer Schnittstelle verwendet wird, ist jede Schnittstelle von dieser Regel betroffen.
-j — Weist iptables an, ein bestimmtes Ziel zu übergehen, wenn ein Paket einer bestimmten Regel entspricht. Gültige Ziele, die nach der -j-Option verwendet werden können, sind unter anderem die Standardoptionen ACCEPT, DROP, QUEUE und RETURN sowie erweiterte Optionen, die über Module verfügbar sind, die standardmäßig mit mit dem Red Hat Linux iptablesRPM-Paket geladen werden, wie z.B. unter anderem LOG, MARK und REJECT. Weitere Informationen zu diesen und anderen Zielen sowie Regeln zu deren Verwendung finden Sie auf der iptables-man-Seite.
Sie können ein Paket, das dieser Regel entspricht, auch an eine benutzerdefinierte Chain außerhalb der aktuellen Chain weiterleiten. Dadurch können Sie andere Regeln auf dieses Paket anwenden und es mit Hilfe spezieller Kriterien noch intensiver filtern.
Wenn kein Ziel festgelegt ist, bewegt sich das Paket an der Regel vorbei, ohne dass etwas passieren würde. Der Zähler für diese Regel springt jedoch um eine Stelle weiter, so als ob das Paket der festgelegten Regel entsprechen würde.
-o — Setzt die Schnittstelle des Ausgangsnetzwerks für eine bestimmte Regel fest, die nur mit OUTPUT- un d FORWARD-Chains in der filter-Tabelle und mit der POSTROUTING-Chain in den nat- und mangle-Tabellen verwendet werden kann. Die Optionen dieses Parameters sind dieselben wie die des Parameters der Schnittstelle des Eingangsnetzwerks (-i).
-p — Setzt das IP-Protokoll für die Regel, die entweder icmp, tcp, udp oder all sein kann, um allen möglichen Protokollen zu entsprechen. Außerdem können weniger verwendete Protokolle, die in /etc/protocols aufgelistet sind, ebenfalls verwendet werden. Wenn diese Option beim Erstellen einer Regel ausgelassen wird, ist die all-Option der Standard.
-s — Setzt die Quelle eines bestimmten Pakets mit Hilfe derselben Satzstrukturen, die der Zielparameter (-d) verwendet.
Verschiedene Netzwerkprotokolle ermöglichen spezielle Übereinstimmungsoptionen, die auf spezifische Weise gesetzt werden können, um ein bestimmtes Paket mit Hilfe dieses Protokolls zu kontrollieren. Das Protokoll muss natürlich zuerst im iptables-Befehl spezifiziert werden, z.B. durch die Verwendung von -p tcp <Protokollname> (wobei <Protokollname> das Ziel-Protokoll ist) die Optionen für dieses Protokoll verfügbar zu machen.
Folgende Übereinstimmungsoptionen stehen für das TCP-Protokoll zur Verfügung (-p tcp):
--dport — Setzt den Zielport für das Paket. Für die Konfiguration dieser Option können Sie entweder den Namen eines Netzwerkdienstes verwenden (z.B. www oder smtp) und eine oder mehrere Portnummern verwenden. Um die Namen und Alias-Namen der Netzwerkdienste und die Portnummern, die Sie verwenden, nachzulesen, sehen Sie sich bitte die Datei /etc/services an. Sie können auch --destination-port verwenden, um diese Übereinstimmungsoption zu spezifizieren.
Um eine spezifische Reihe von Portnummern anzugeben, trennen Sie die zwei Ziffern durch einen Doppelpunkt (:), z.B.: -p tcp --dport 3000:3200. Die längstmögliche Reihe ist 0:65535.
Sie können auch ein Ausrufezeichen (!) als Flag nach der --dport-Option verwenden, um iptables anzuweisen, alle Pakete, die nicht diesen Netzwerkdienst oder diesen Port verwenden, zu kontrollieren.
--sport — Setzt den Ursprungsport des Pakets unter Verwendung der selben Optionen wie --dport. Sie können auch --source-port verwenden, um diese Übereinstimmungsoption zu spezifizieren.
--syn — Kontrolliert alle TCP-Pakete, die eine Kommunikation initialisieren sollen, allgemein SYN-Pakete genannt, auf Übereinstimmung mit dieser Regel. Alle Pakete, die einen Daten-Payload enthalten, werden nicht bearbeitet. Wird ein Ausrufezeichen (!) als Flag hinter die --syn-Option gesetzt, werden alle Nicht-SYN-Pakete kontrolliert.
--tcp-flags — Ermöglicht die Verwendung von TCP-Paketen mit bestimmten Bits oder Flags, damit sie einer Regel entsprechen. Die Übereinstimmungsoption --tcp-flags akzeptiert nachstehend zwei Parameter, die Flags für bestimmte Bits in einer Liste mit Kommatrennung sind. Der erste Parameter ist eine Maske, die die zu untersuchenden Flags des Pakets bestimmt. Der zweite Parameter bezieht sich auf die Flags, die im Paket gesetzt werden müssen, um eine Übereinstimmung zu erhalten.
Mögliche Flags sind:
ACK
FIN
PSH
RST
SYN
URG
ALL
NONE
Eine iptables-Regel, die -p tcp --tcp-flags ACK,FIN,SYN SYN enthält, überprüft beispielsweise nur TCP-Pakete, in denen das SYN-Flag aktiviert und die ACK - und FIN-Flags deaktiviert sind.
Wie bei vielen anderen Optionen auch, wird die Auswirkung der Überprüfungsoptionen durch Einfügen eines Ausrufezeichens (!) hinter --tcp-flags umgekehrt, so dass für deren Überprüfung die Flags des zweiten Parameters nicht in Reihenfolge gesetzt werden müssen.
--tcp-option — Versucht mit Hilfe von TCP-spezifischen Optionen zu überprüfen, die innerhalb eines bestimmten Pakets aktiviert werden können. Diese Übereinstimmungsoption kann ebenfalls mit dem Ausrufezeichen (!) umgekehrt werden.
Für das UDP-Protokoll stehen folgende Übereinstimmungsoptionen zur Verfügung(-p udp):
--dport — Spezifiziert den Zielport des UDP-Pakets unter Verwendung von Dienstnamen, Portnummer oder einer Reihe von Portnummern. Die --destination-port-Übereinstimmungsoption kann an Stelle von --dport benutzt werden.
Vgl. hierzu die --dport-Übereinstimmungsoption in Abschnitt 16.3.5.1 für die verschiedenen Verwendungsmethoden dieser Option.
--sport — Bestimmt den Ursprungsport des UDP-Pakets unter Verwendung von Dienstnamen, Portnummer oder einer Reihe von Portnummern. Die --source-port-Übereinstimmungsfunktion kann an Stelle von --sport verwendet werden.
Vgl. hierzu die --dport- Übereinstimmungsfunktion in Abschnitt 16.3.5.1 für die vielen unterschiedlichen Verwendungsmöglichkeiten dieser Option.
Diese Match-Optionen sind für das Internet Control Message Protocol (ICMP) (-p icmp) verfügbar:
--icmp-type — Bestimmt den Namen oder die Nummer des ICMP-Typs, der mit der Regel übereinstimmen soll. Durch Eingabe des Befehls iptables -p icmp -h wird eine Liste aller gültigen ICMP-Namen angezeigt.
Zusätzliche Übereinstimmungsoptionen, die sich nicht spezifisch auf ein Protokoll beziehen, sind ebenfalls mithilfe von Modulen verfügbar, die geladen werden, wenn der iptables- Befehl sie aufruft. Um ein Übereinstimmungsmodul anzuwenden, müssen Sie das Modul mit dessen Namen laden, indem beim Erstellen einer Regel der -m <Modulname> (wobei <Modulname> durch den Namen des Moduls ersetzt wird) in den iptables-Befehl eingefügt wird.
Standardmäßig stehen zahlreiche Module zur Verfügung. Sie können auch Ihre eigenen Module erstellen, um die Funktionalität der Übereinstimmungsoptionen zu erweitern.
Es gibt viele Module; an dieser Stelle werden wir Ihnen allerdings nur die bekanntesten vorstellen.
limit-Modul — Mit diesem Modul können Sie eine Grenze setzen für die Anzahl der in Übereinstimmung mit einer Regel zu überprüfenden Pakete. Dies ist besonders nützlich, wenn Regelübereinstimmungen protokolliert werden. Auf diese Weise verhindern Sie, dass die zahlreichen übereinstimmenden Pakete Ihre Protokolldateien nicht mit wiederholten Nachrichten überfüllen oder zu viele Systemressourcen beanspruchen.
--limit — Bestimmt die Zahl der Übereinstimmungen innerhalb eines bestimmten Zeitraums, der mit einem Anzahl- und Zeitbearbeiter in dem Format <number> /<Zeit> angegeben wird. Mit --limit 5/hour wird z.B. nur fünf Mal stündlich nach einer Übereinstimmung mit einer Regel gesucht.
Wenn keine Anzahl- und Zeitarbeiter angegeben sind, wird der Standardwert 3/hour angenommen.
--limit-burst — Setzt eine Grenze für die Anzahl von Paketen, deren Übereinstimmung mit einer Regel gleichzeitig geprüft --limit-Option verwendet werden. Man kann außerdem einen maximalen Grenzwert setzen.
Wenn keine Zahl festgelegt wird, können anfangs nur fünf Pakete in Übereinstimmung mit der Regel überprüft werden.
state-Modul — Dieses Modul, welches die --state-Übereinstimmungsoptionen definiert, kann ein Paket auf die nachfolgenden, bestimmten Verbindungszustände überprüfen:
ESTABLISHED — Das übereinstimmende Paket wird anderen Paketen in einer bestimmten Verbindung zugeordnet.
INVALID — Das übereinstimmende Paket kann nicht mit einer bekannten Verbindung verknüpft werden.
NEW — Das übereinstimmende Paket stellt entweder eine neue Verbindung her oder ist Teil einer Zwei-Weg-Verbindung, die vorher nicht gesehen wurde.
RELATED — Ein übereinstimmendes Paket stellt eine neue Verbindung her, die auf irgendeine Weise mit einer bestehenden Verbindung zusammenhängt.
Die Verbindungsstatus können untereinander miteinander verbunden werden, indem sie durch Kommata voneinander getrennt werden, wie z.B. in -m state --state INVALID,NEW.
mac-Modul — Dieses Modul ermöglicht die Übereinstimmung einer bestimmten Hardware-MAC-Adresse zu überprüfen.
Das mac-Modul hat folgende Option:
--mac-source — Überprüft auf die MAC-Adresse der NIC, welche das Paket gesendet hat. Um eine MAC-Adresse von einer Regel auszuschließen, fügen Sie nach der --mac-source-Übereinstimmungsoption ein Ausrufezeichen (!) hinzu.
Weitere, über Module verfügbare Übereinstimmungsoptionen finden Sie auf der man-Seite zu iptables.
Sobald ein Paket mit einer bestimmten Regel übereinstimmt, kann die Regel das Paket an viele verschiedene Ziele senden, an denen dann eventuell weitere Vorgänge erfolgen. Außerdem hat jede Chain ein standardmäßiges Ziel, das verwendet wird, wenn ein Paket keiner Regel entspricht oder wenn in der Regel, mit dem das Paket übereinstimmt, ein Ziel angegeben ist.
Die Folgenden sind die Standardziele:
<user-defined-chain> — <user-defined-chain> steht hier für den Namen der benutzerdefinierten Chain. Dieses Ziel leitet das Paket zur Ziel-Chain weiter.
ACCEPT — Das Paket gelangt erfolgreich an sein Ziel oder an eine andere Chain.
DROP — Das Paket wird "ausgelassen". Das System, das dieses Paket gesendet hat, wird nicht über das "Ausfallen" des Pakets benachrichtigt.
QUEUE — Das Paket wird zur Warteschlange für die Bearbeitung durch eine Benutzerraum-Applikation hinzugefügt.
RETURN — Hält die Überprüfung der Übereinstimmung des Pakets mit Regeln in der aktuellen Chain an. Wenn das Paket mit einem RETURN-Ziel mit einer Regel in einer Chain übereinstimmt, die von einer anderen Chain aufgerufen wurde, wird das Paket an die erste Chain zurückgesendet, damit die Überprüfung wieder dort aufgenommen werden kann, wo sie unterbrochen wurde. Wenn die RETURN-Regel in einer integrierten Chain verwendet wird und das Paket nicht zu seiner vorherigen Chain zurückkehren kann, entscheidet das Standardziel für die aktuelle Chain, welche Maßnahme getroffen wird.
Zusätzlich zu diesen Standardzielen können auch noch verschiedene andere Ziele mit Erweiterungen verwendet werden, sogenannte Zielmodulen. Weitere Informationen zu Übereinstimmungsoptionsmodulen finden Sie unter Abschnitt 16.3.5.4.
Es gibt viele erweiterte Zielmodule, von denen sich die meisten auf bestimmte Tabellen oder Situationen beziehen. Einige der bekanntesten Zielmodule, die standardmäßig in Red Hat Linux enthalten sind:
LOG — Protokolliert alle Pakete, die dieser Regel entsprechen. Da die Pakete vom Kernel protokolliert werden, bestimmt die /etc/syslog.conf-Datei, wo diese Protokolldateien geschrieben werden. Standardmäßig werden sie in der /var/log/messages-Datei abgelegt.
Nach dem LOG-Ziel können verschiedene Optionen verwendet werden, um die Art des Protokolls zu bestimmen:
--log-level — Bestimmt die Prioritätsstufe eines Protokolliervorgangs. Auf der syslog.conf-man-Seite finden Sie eine Liste der Prioritätsstufen.
--log-ip-options — Alle in den Kopfzeilen eines IP-Pakets enthaltenen Optionen werden protokolliert.
--log-prefix — Fügt beim Schreiben einer Protokollzeile eine Zeichenkette vor der Protokollzeile ein. Es werden bis zu 29 Zeichen nach der --log-prefix- Option akzeptiert. Dies ist auch beim Schreiben von syslog-Filtern im Zusammenhang mit der Paketprotokollierung sehr nützlich.
--log-tcp-options — Alle in den Kopfzeilen eines TCP-Pakets enthaltenen Optionen werden protokolliert.
--log-tcp-sequence — Schreibt die TCP- Sequenznummer für das Paket in der Protokolldatei.
REJECT — Sendet ein Fehlerpaket an das System zurück, das das Paket gesendet hat, und lässt dieses dann "aus" (DROP).
Mit dem REJECT-Ziel kann die --reject-with <Typ> -Option verwendet werden, um mehrere Details zusammen mit dem Fehlerpaket zu senden. Die Meldung port-unreachable ist die standardmäßige <type>-Fehlermeldung (wobei <type> die Art der Zurückweisung angibt), die angezeigt wird, wenn keine andere Option angewandt wurde. Eine vollständige Liste der verwendbaren <type>-Optionen finden Sie auf der iptables-man-Seite.
Andere Zielerweiterungen, die für die Maskierung unter Verwendung der nat-Tabelle oder für Paketänderung mithilfe der mangle-Tabelle nützlich sind, finden Sie auf der iptables-man-Seite.
Der standardmäßige Auflistungsbefehl iptables -L bietet eine sehr allgemeine Übersicht über die standardmäßigen aktuellen Regel-Chains der Filtertabelle. Es gibt aber auch noch zusätzliche Optionen mit weiteren Informationen:
-v — Zeigt eine ausführliche Ausgabe an, wie z.B. die Anzahl der Pakete und Bytes, die jede Chain gesehen hat, die Anzahl der Pakete und Bytes, die von jeder Regel auf Übereinstimmung überprüft wurden und auf deren Schnittstellen eine bestimmte Regel angewandt werden.
-x — Erweitert die Zahlen auf ihre exakten Werte. In einem arbeitenden System kann die Anzahl der Pakte und Bytes, die von einer bestimmten Chain oder Regel gesehen werden, unter Verwendung der Abkürzungen K (Tausender), M (Millionen) und G (Milliarden) am Ende der Zahl wiedergegeben werden. Mit dieser Option muss zwangsläufig die vollständige Zahl angezeigt werden.
-n — Zeigt IP-Adressen und Portnummern im numerischen Format an, und nicht im standardmäßigen Hostnamen- und Netzwerkdienst-Format.
--line-numbers — Listet Regeln in jeder Chain in Nähe derer numerischer Reihenfolge in der Chain auf. Diese Option ist nützlich, wenn man versucht, eine bestimmte Regel aus einer Chain zu entfernen oder zu bestimmen, wo eine Regel in einer Chain eingefügt werden soll.
-t — Gibt einen Tabellennamen an.
Zurück | Zum Anfang | Vor |
Unterschiede zwischen iptables und ipchains | Zum Kapitelanfang | Das Speichern von iptables-Informationen |