Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

Was ist IP-Filterung?

IP-Filterung ist ein simples Verfahren, das entscheidet, welche Arten von IP-Datagrammen normal weitergeleitet und welche ausgesondert werden. Mit ausgesondert ist hier gemeint, daß die betroffenen Datagramme vollständig vernichtet und ignoriert werden, so als ob sie nie eingetroffen wären. Sie können viele verschiedene Kriterien festlegen, die entscheiden, welche Datagramme gefiltert werden sollen und welche nicht. Einige Beispiele dafür sind:

• Protokollarten: TCP, UDP, ICMP usw.

• Socket-Nummern (für TCP/UDP)

• Datagramm-Arten: SYN/ACK, data, ICMP Echo Request usw.

• Datagramm-Quelladresse: woher es kam

• Datagramm-Zieladresse: wohin es geht

An dieser Stelle ist es wichtig zu begreifen, daß IP-Filterung eine Einrichtung auf Netzwerkebene ist. Das bedeutet, es weiß nichts über die Anwendungen, die die Netzwerkverbindungen benutzen, sondern nur etwas über die Verbindungen selbst. Sie können zum Beispiel Benutzern den Zugriff auf Ihr internes Netzwerk über den Standard-Telnet-Port verbieten, aber wenn Sie sich dabei nur auf IP-Filterung verlassen, können Sie es nicht verhindern, daß Anwender dem Telnet-Programm eine Portnummer übergeben, die Sie in Ihrer Firewall passieren lassen. Sie können derartige Probleme umgehen, indem Sie einen Proxy-Server für jeden Dienst verwenden, den Sie durch Ihre Firewall zulassen. Die Proxy-Server kennen die Interna der für sie ausgelegten Applikationen und können daher deren Mißbrauch unterbinden, wie zum Beispiel die Verwendung des Telnet-Programms, um über einen WWW-Port hinter eine Firewall zu gelangen. Wenn Ihre Firewall einen WWW-Proxy unterstützt, wird eine solche Telnet-Verbindung immer durch den Proxy beantwortet, der nur HTTP-Anfragen weiterreicht. Es gibt eine ganze Reihe von Proxy-Server-Programmen. Manche davon sind freie Software und andere kommerzielle Produkte. Einige besonders populäre Produkte werden im Firewall-HOWTO besprochen. Sie würden den Rahmen dieses Buches sprengen.

Die Regelsätze für IP-Filterung besteht aus vielen Kombinationen der oben beschriebenen Kriterien. Nehmen wir an, Sie wollen Webanwendern im Netzwerk der virtuellen Brauerei nur insoweit Internetzugriff ermöglichen, daß sie auf die Webserver anderer Sites zugreifen können. Dazu konfigurieren Sie Ihre Firewall so, daß folgende Weiterleitungen erlaubt wären:

• Datagramme mit einer Quelladresse im Netzwerk der virtuellen Brauerei, einer beliebigen Zieladresse und dem Ziel-Port 80 (WWW).

• Datagramme mit einer Zieladresse im Netzwerk der virtuellen Brauerei und einer beliebigen Quelladresse vom Quell-Port 80 (WWW).

Beachten Sie, daß wir hier zwei Regeln benutzt haben. Wir müssen zum einen unseren ausgehenden Daten Zugang nach außen ermöglichen, zum anderen aber auch den eingehenden Daten Zugang nach innen. In der Praxis läßt sich das in Linux allerdings, wie wir noch sehen werden, ganz einfach mit einer einzigen Regel beschreiben.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center