|
Nochmal auf ein Blick:
Table/Chain r />
filter/INPUT hier landen alle Pakete, die an einen lokalen Prozess gerichtet sind. Damit lassen sich Zugriffe auf lokale Prozesse hier perfekt regulieren, z.B.:
. Zugriff auf einen lokal laufenden Server nur aus bestimmten Netzen
. Nur Pakete durchlassen, die zu einer bestehenden Verbindung gehören
filter/OUTPUT hier gehen alle Pakete durch, die von einem lokalen Prozess erzeugt wurden. Damit lassen sich lokale Prozesse nach außen schützen, z.B.:
. keine ausgehenden \"verdächtigen\" Verbindungen am Server (Schutz eines Servers vor Daten-Klau)
. keine \"losen\" Pakete nach draußen -- nur gültige Verbindungen
filter/FORWARD durch diese Chain gehen alle Pakete durch, die durch diese Maschine geroutet werden. Hiermit lassen sich also alle Rechner in jeweils dem Zielnetz des Routing schützen, z.B.:
. kein UDP nach außen, außer DNS
. keine öffnenden Verbindungen nach innen
. Pakete, die zu keiner Verbindung gehören, werden gefiltert
nat/PREROUTING Wenn Adress-Übersetzungen durchgeführt werden, müssen alle Pakete vor dem Routing hier durch.
Hier lassen sich von zu routende Pakete verändern:
. die Ziel-IP-Adresse
. der Ziel-Port
nat/OUTPUT vom lokalen Rechner stammende Pakete
gehen hier durch;
Änderungen genauso wie bei nat/PREROUTING.
nat/POSTROUTING Hier gehen nochmals alle Pakete, die geroutet worden sind, durch (auch lokal erzeugte Pakete). Hier werden Angaben über die Herkunft eines Paketes verändert,wie:
. Quell-IP-Adresse
. Masquerading
(Sonderform von Quell-IP-Änderung)
mangle/PREROUTING
mangle/OUTPUT ähnlich den \"nat\" Chains, nur mit dem Unterschied,
dass hier spezielle Paket-Parameter geändert werden können, wie:
. die TTL (Time to live)
|
