IP-Tables (Firewall)

CO-Tools Vorlage:Entwurf


Firewall allgemein

Mit der Firewall-Funktionalität haben Sie die Möglichkeit, auf Basis von Iptables-Firewallregeln für Ihren Server zu erstellen. Auf diese Weise können Sie den Zugriff aus dem Internet auf Ihren Server oder auch von Ihrem Server aus in das Internet beschränken.

Firewallregelübersicht

Beim Aufruf der Firewalleinstellungen im DCP wird Ihnen eine Übersicht der angelegten und noch frei zur Verfügung stehenden Regeln angezeigt:

Datei:/images/support/tools firewall uebersicht.png

  1. "Aktiv" zeigt an, ob eine Regel aktiv ist oder ob der Regelsatz noch zur Verfügung steht. Beachten Sie, dass neue Regeln nur erstellt und im Interface gespeichert werden, wenn der Haken bei 'aktiv' gesetzt ist. Um eine Regel wieder zu deaktivieren, muss lediglich der Haken wieder entfernt werden. Die Regel wird dann gelöscht.
  2. Hier können Sie einstellen, ob die Regel nur für ein bestimmtes Verbindungsprotokoll zutreffen soll. Sollte hier nichts ausgewählt werden, wird die Regel auf die Protokolle TCP und UDP angewendet.

Hinweis: UDP ist ein sogenanntes verbindungsloses Protokoll. Das heißt, dass alle Pakete automatisch den Status NEW erhalten. ESTABLISHED und RELATED fallen also weg. Mehr dazu finden Sie unter 'Verbindungsstatus'. Falls Sie ICMP als Protokoll ausgewählen, dürfen keine Angaben für Quell- oder Zielport gemacht werden.

  1. Hier geben Sie die IP-Adresse bzw. die Netzadresse der Quelle ein. Für 'alle Hosts' Feld leer lassen oder 0.0.0.0/0 eintragen.
  2. Geben Sie hier die Netzmaske der Quelle ein. Die Netzmaske wird in CIDR notiert (siehe unten).
  3. Geben Sie hier den Quellport an. Sollen alle Ports eingetragen werden, lassen Sie dieses Feld leer. Sie können auch einen Portbereich angeben.
  4. Hier geben Sie die IP-Adresse bzw. die Netzadresse des Ziels ein. Für 'alle Hosts' Feld leer lassen oder 0.0.0.0/0 eintragen.
  5. Geben Sie hier die Netzmaske des Ziels ein. Die Netzmaske wird in CIDR notiert (siehe unten).
  6. Geben Sie hier den Zielport an. Sollen alle Ports eingetragen werden, lassen Sie dieses Feld leer. Sie können auch einen Portbereich angeben.
  7. Verbindungsstatus:
    • NEW:
    Trifft zu, wenn eine komplett neue Verbindung aufgebaut wurde, also in beide Richtungen (von der Quelle zum Zielhost und andersherum) noch keine Pakete an die entsprechenden IP-Adressen gesendet wurden.
    • ESTABLISHED:
    Trifft zu, sobald in beide Richtungen Pakete an die entsprechenden IP-Adressen gesendet wurden.
    • RELATED:
    Trifft zu, wenn eine neue Verbindung aufgebaut wird, die auf eine bereits bestehende Verbindung zurückzuführen ist.
  8. Aktion:
    • ACCEPT:
    Auf die Regel zutreffende Pakete sind erlaubt und werden durchgelassen.
    • REJECT:
    Auf die Regel zutreffende Pakete werden geblockt und der Server sendet eine entsprechende Antwort zurück.
    • DROP:
    Auf die Regel zutreffende Pakete werden geblockt und verworfen, ohne dass der Server eine Antwort zurücksendet.
  9. Über den Button "Löschen" werden alle Regeln auf einmal gelöscht.
  10. Mit "Übernehmen" werden Ihre Änderungen gespeichert.

Netzmasken

Anzahl IP-Adressen Netzmaske CIDR
1 255.255.255.255 /32
2 255.255.255.254 /31
4 255.255.255.252 /30
8 255.255.255.248 /29
16 255.255.255.240 /28
32 255.255.255.224 /27
64 255.255.255.192 /26
128 255.255.255.128 /25
256 255.255.255.0 /24

Beispiele

Mit diesem Eintrag würden sämtliche Zugriffe aus dem Adressbereich 192.168.1.0 - 192.168.1.255 auf die IP-Adresse 192.168.2.50 verworfen.

Datei:/images/support/tools firewall beispiel1.png Durch folgenden Eintrag wird der Zugriff von der IP-Adresse 192.168.1.20 auf den Adressbereich 192.168.2.128 - 192.168.2.255 gesperrt.

Datei:/images/support/tools firewall beispiel2.png