Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

Die drei Wege der Filterung

Überlegen Sie sich einmal, wie ein Unix-Rechner oder jede Maschine, die in der Lage ist, IP-Verkehr zu routen, die IP-Datagramme verarbeitet. Die grundlegenden Schritte (siehe Abbildung 9.2) sind:

Abbildung 9.2: Verarbeitungsschritte von IP-Datagrammen

• Das IP-Datagramm wird empfangen. (1)

• Das eingehende IP-Datagramm wird daraufhin untersucht, ob es an einen Prozeß auf dieser Maschine gerichtet ist.

• Ist das Datagramm für diese Maschine bestimmt, wird es lokal verarbeitet. (2)

• Ist es dagegen nicht an diese Maschine gerichtet, wird in der Routing-Tabelle nach einer passenden Route gesucht und das Datagramm an das zuständige Interface weitergeleitet oder andernfalls verworfen, wenn keine Route gefunden wird. (3)

• Datagramme lokaler Prozesse werden zur Routing-Software gesendet, die sie an das passende Interface weiterleitet. (4)

• Das ausgehende IP-Datagramm wird untersucht, ob dafür eine zulässige Route existiert. Wenn nicht, wird es verworfen.

• Das IP-Datagramm wird übertragen. (5)

In unserem Diagramm veranschaulicht der Datenfluß 1→3→5, wie unsere Maschine die Daten von einem Host in unserem Ethernet zu einem über unsere PPP-Verbindung erreichbaren Host routet. Die Datenströme 1→2 und 4→5 repräsentieren den ein- und ausgehenden Datenfluß eines Netzwerkprogramms, das auf unserem lokalen Host läuft. Der Datenfluß 4→3→2 würde einen Datenstrom repräsentieren, der über eine Loopback-Verbindung läuft. Naturgemäß findet ein Datenfluß sowohl in Netzwerkgeräte hinein als auch wieder heraus statt. Die Fragezeichen im Diagramm markieren die Punkte, an denen die IP-Ebene die Routing-Entscheidungen trifft.

Die IP-Firewall des Linux-Kernels kann eine Filterung in verschiedenen Phasen dieser Verarbeitungsprozesse durchführen. Das heißt, Sie können sowohl eingehende, ausgehende als auch direkt weitergeleitete IP-Datagramme filtern.

In ipfwadm und ipchains ist eine Eingangsregel (Input) für den Datenfluß 1 im Diagramm zuständig, eine Weiterleitungsregel (Forwarding) für Datenfluß 3 und eine Ausgangsregel (Output) für Datenfluß 5. Wenn wir später auf netfilter eingehen, werden wir noch sehen, daß sich die Stellen, an denen Pakete abgefangen werden verschoben haben. Eine Eingangs-Regel wird nun auf Datenfluß 2 und eine Ausgangsregel auf Datenfluß 4 angewendet. Das hat wichtige Auswirkungen darauf, wie Sie Ihre Regelsätze strukturieren müssen. Die grundsätzlichen Prinzipien sind jedoch für alle Versionen von Linux-Firewalls dieselben.

Das wirkt vielleicht am Anfang alles unnötig kompliziert, dafür bietet es aber eine Flexibilität, mit der auch äußerst komplexe und leistungsfähige Konfigurationen erstellt werden können.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center