https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=IptablesIptables - Versionsgeschichte2026-05-31T16:57:40ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Iptables&diff=484646&oldid=previmported>SchlurcherBot: Bot: http → https2025-06-15T04:54:22Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>{{SEITENTITEL:iptables}}<br />
{{Infobox Software<br />
| Name= iptables<br />
| Screenshot= <br />
| Beschreibung= <br />
| Hersteller= Netfilter-Projekt-Team<br />
| AktuelleVersion= <!-- Wikidata --><br />
| AktuelleVersionFreigabeDatum= <!-- Wikidata --><br />
| Betriebssystem= [[Linux]]<br />
| Kategorie= [[Firewall]]<br />
| Lizenz= [[GNU General Public License|GPL]] ([[Freie Software]])<br />
| Deutsch= nein<br />
| Website= [https://netfilter.org/ netfilter.org]<br />
}}<br />
<br />
'''iptables''' ist ein [[Userspace]]-[[Computerprogramm|Programm]] zur Konfiguration der Tabellen (''tables''), die durch die [[Firewall]] im [[Linux (Kernel)|Linux-Kernel]] (bestehend aus einer Reihe von [[Netfilter]]-Modulen) bereitgestellt werden. Diese Tabellen enthalten Ketten (''chains'') und Regeln (''rules''). Verschiedene Programme werden gegenwärtig für unterschiedliche Protokolle verwendet; iptables beschränkt sich auf [[IPv4]], für [[IPv6]] gibt es ''ip6tables'', für [[Address Resolution Protocol|ARP]] ist es ''arptables'', und mit ''ebtables'' gibt es eine Sonderkomponente für [[Ethernet]]-Frames.<br />
<br />
Da iptables erweiterte Systemprivilegien benötigt, muss es als [[Superuser|root]] ausgeführt werden. Auf den meisten Linux-Systemen ist iptables als <span style="font-family:monospace;">/usr/sbin/iptables</span> installiert. Dokumentation ist in den [[Manpage]]s mittels <syntaxhighlight lang="bash" style="white-space:nowrap" inline>man iptables</syntaxhighlight> einsehbar, sofern installiert.<br />
<br />
Der Begriff ''iptables'' wird auch oft verwendet, um ausschließlich die Kernel-Komponenten zu beschreiben. ''x_tables'' ist der Name des Kernelmoduls, der den gemeinsamen Code aller vier Module (''v4'', ''v6'', ''arp'' und ''eb'') trägt, und das API für iptables-Erweiterungen bereitstellt. Folglich ist mit ''Xtables'' oft die gesamte Firewall-Infrastruktur gemeint.<br />
<br />
== Geschichte ==<br />
<br />
Netfilter und iptables wurden ursprünglich zusammen entwickelt, sodass es Überschneidungen in der früheren Entwicklung gab. Siehe dazu den [[Netfilter|Netfilter-Artikel]].<br />
<br />
Linux besitzt ab Version 1.0 einen Paketfilter. Dieser stammte zunächst von [[Berkeley Software Distribution|BSD]] ab und wurde in der Linux-Version 2.0 unter dem Namen [[ipfwadm]] erweitert. [[Rusty Russell]] überarbeitete den Paketfilter nochmals und stellte ihn als [[ipchains]] zur Verfügung. Er wurde in Linux 2.2 integriert. Gegen 1999 wurde der Kernel und damit auch ipchains komplett überarbeitet. Aus ipchains ging iptables hervor, das seit Kernel 2.4 zum „Lieferumfang“ gehört.<br />
<br />
iptables behält die ursprüngliche Grundidee von ipfwadm: Listen von Regeln, wovon jede angibt, was in einem Paket überprüft wird und was dann mit diesem Paket geschehen soll. ipchains brachte das Konzept von Ketten (chains) ein, und iptables erweiterte dies hin zu Tabellen (tables). Eine Tabelle ist für [[Network Address Translation|NAT]] zuständig, eine weitere zur Filterung. Zusätzlich wurden die drei Punkte, wo Pakete auf ihrer „Reise“ gefiltert werden, so geändert, dass jedes Paket nur durch einen Filterpunkt gelangt.<br />
<br />
Diese Aufteilung ermöglichte iptables wiederum, Informationen zu verwenden, die das Connection-Tracking-Subsystem erarbeitet hatte – diese Information war zuvor an NAT gebunden. Somit hat iptables mehr Möglichkeiten als ipchains, da es zusätzlich den Zustand einer Verbindung überwachen, diese umleiten, oder Datenpakete basierend auf dem Zustand stoppen und manipulieren kann, statt dies nur mittels Quell- oder Zieladresse zu tun. Eine Firewall wie iptables, die diese Voraussetzungen erfüllt, wird als ''[[Stateful Packet Inspection|stateful]]'' bezeichnet, während ipchains außer in sehr begrenzten Ausnahmefällen doch nur ''stateless'' war.<br />
<br />
Die aktuelle Version 1.8.5 ist am 3. Juni 2020 veröffentlicht worden.<ref>{{Internetquelle |url=https://git.netfilter.org/iptables/tag/?h=v1.8.5 |titel=iptables – iptables tree |sprache=en |abruf=2020-06-14}}</ref><br />
<br />
Der Nachfolger von iptables ist [[nftables]], das seit der Linux-Kernelversion 3.13 verfügbar ist.<ref>[https://www.heise.de/ct/artikel/Die-Neuerungen-von-Linux-3-13-2087964.html Die Neuerungen von Linux 3.13] – ''[[c't Magazin]]'', am 20. Januar 2014</ref><ref>[https://www.heise.de/ct/artikel/Die-Neuerungen-von-Linux-4-10-3596869.html Die Neuerungen von Linux 4.10] – ''c't Magazin'', am 17. Januar 2017</ref><ref>[https://kernelnewbies.org/Linux_3.13#head-f628a9c41d7ec091f7a62db6a49b8da50659ec88 Linux 3.13: 1.2. nftables, the successor of iptables] (englisch) – ''Linux Kernel Newbies'', am 19. Januar 2014</ref><br />
<br />
{{Siehe auch|Netfilter #Geschichte|titel1=„Geschichte“ im Artikel Netfilter }}<br />
<br />
== Zusammenfassung der Funktion ==<br />
Iptables ermöglicht dem Systemadministrator, Tabellen zu laden, die Ketten von Regeln für die Behandlung von Paketen enthalten. Jede Tabelle dient einem [[Netfilter#iptables|eigenen Zweck]]. Pakete werden durch sequenzielles Abarbeiten von Regeln innerhalb einer Kette weitergereicht. Eine Regel kann einen Sprung (jump) oder einen Aufruf (goto) in eine andere Kette erwirken, und dies kann mehrfach verschachtelt werden. (Eine Rückkehr (return) kehrt zur nächsten Regel nach dem Sprung zurück.) Jedes Netzwerkpaket, das den Computer erreicht oder diesen verlässt, durchläuft mindestens eine Kette.<br />
<br />
[[Datei:Netfilter-packet-flow.svg|mini|Graph zum Paketfluss. Pakete beginnen in einem bestimmten Kasten und werden entsprechend den Umständen (z.&nbsp;B. Routing) einen gewissen Pfad nehmen.]]<br />
<br />
Der Ursprung des Pakets bestimmt, in welcher Kette die Abarbeitung beginnt. Es gibt fünf vordefinierte Ketten (die den fünf Netfilter-Hooks entsprechen), auch wenn eine Tabelle nicht unbedingt alle Ketten haben muss. Vordefinierte Ketten haben eine ''Policy'', z.&nbsp;B. DROP, die greift, wenn ein Paket das Ende der Kette erreicht hat (also ohne auf eine Regel gepasst zu haben). Es können weitere benutzerdefinierte Ketten angelegt werden, jedoch haben diese keine Policy; trifft ein Paket auf deren Ende, geht die Abarbeitung in der Kette weiter, die ursprünglich den Sprung ausgelöst hat. Leere Ketten sind zulässig.<br />
<br />
; PREROUTING<br />
: Pakete landen in dieser Kette, bevor eine Routing-Entscheidung getroffen wird.<br />
; INPUT<br />
: Paket wird lokal zugestellt. (N.&nbsp;B.: Dies hat wenig mit Prozessen zu tun. Lokale Zustellung wird durch die ''local''-Routingtabelle kontrolliert: <syntaxhighlight lang="bash" style="white-space:nowrap" inline>ip route show table local</syntaxhighlight>)<br />
; FORWARD<br />
: Alle Pakete, die geroutet und nicht lokal zugestellt wurden, passieren diese Kette.<br />
; OUTPUT<br />
: Pakete, die vom eigenen Computer erzeugt wurden, tauchen hier auf.<br />
; POSTROUTING<br />
: Routing-Entscheidung wurde getroffen. Pakete laufen hier nochmals durch, kurz bevor sie an die Hardware abgegeben werden.<br />
<br />
Jede Regel in einer Kette enthält Spezifikationen (''matches''), auf welche Pakete sie zutrifft. Regeln können außerdem ein Ziel (''target'', für Erweiterungen) bzw. Urteil (''verdict'') enthalten. Mit dem Durchlaufen eines Paketes durch eine Kette werden Regeln nacheinander geprüft. Falls eine Regel auf das Paket nicht zutrifft, wird zur nächsten Regel übergegangen. Trifft sie hingegen zu, wird die mit Ziel/Urteil gelistete Aktion durchgeführt, welche darin resultieren kann, dass das Paket weiter durch die Kette läuft oder nicht. Spezifikationen stellen den größten Teil von Regelwerken dar, da sie die Bedingungen enthalten, auf die ein Paket getestet wird. Diese Tests können für jeden Layer im OSI-Model durchgeführt werden, zu nennen sind die <syntaxhighlight lang="bash" style="white-space:nowrap" inline>--mac-source</syntaxhighlight> und <syntaxhighlight lang="bash" style="white-space:nowrap" inline>-p tcp --dport</syntaxhighlight> Parameter. Jedoch gibt es auch protokollunabhängige Optionen, z.&nbsp;B. <code>-m&nbsp;time</code>.<br />
<br />
Ein Paket avanciert in einer Kette, bis entweder eine Regel auf das Paket zutrifft und ein endgültiges Urteil für das Paket gefällt wird (z.&nbsp;B. mittels ACCEPT oder DROP) oder bis eine Regel als Urteil RETURN enthält (wodurch es in der übergeordneten Kette wieder weitergeht) oder bis das Ende der Kette erreicht wird.<br />
<br />
== Frontends ==<br />
Zur Erleichterung beim Aufsetzen von Regeln wird Software von vielen Herstellern angeboten. Frontends in textbasierter oder grafischer Manier erlauben es Benutzern, einfache Regelwerke mit wenigen Mausklicks anzulegen; Skripte sind oftmals [[Unix-Shell#Skripte|Shell-Skripte]] (aber auch andere Sprachen sind möglich), die iptables oder (das schnellere) iptables-restore mit einer Reihe von vordefinierten Regeln aufrufen. Dabei können auch Vorlagen zum Einsatz kommen, die mittels Konfigurationsdateien angelegt werden. Linux-Distributionen verwenden oft Vorlagen, bieten dem Anwender aber auch die Möglichkeit, eigene Regeln zu definieren.<br />
<br />
Beispiele: <br />
* [[Firewall Builder]] <br />
* [[ISPConfig]] <br />
* [[Plesk]] <br />
* [[Uncomplicated Firewall|UFW (Uncomplicated Firewall)]] <br />
* [[Webmin]] <br />
<br />
Solche Frontends, Generatoren und Skripte sind oft durch ihre Vorlagen und Bauweise beschränkt. Hinzu kommt, dass die so generierten Regelwerke meist nicht für den jeweiligen Einsatz der Firewall optimiert sind, da eine automatische Optimierung im Frontend einen hohen Entwicklungsaufwand darstellen würde. Benutzern, die ein gutes Verständnis von iptables haben und ein optimiertes Regelwerk wünschen, wird daher angeraten, die Regeln selbst zu konstruieren.<br />
<br />
== Siehe auch ==<br />
* [[IPFilter]]<br />
* [[Paketfilter]]<br />
* [[OSI-Modell]]<br />
* [[Liste der Portnummern]]<br />
* [[Fail2ban]]<br />
<br />
== Literatur ==<br />
* Gregor N. Purdy: ''Linux iptables – kurz & gut''. O’Reilly, 2004, ISBN 3-89721-506-3.<br />
* Gregor N. Purdy: ''Linux iptables Pocket Reference''. O’Reilly Media, 2004, englisch, ISBN 0-596-00569-5.<br />
* [[Ralf Spenneberg]]: ''Linux-Firewalls mit iptables & Co., mit CD-ROM''. Addison-Wesley, München, 2006, ISBN 3-8273-2136-0.<br />
<br />
== Weblinks ==<br />
{{Wikibooks|Linux-Praxisbuch/ Linux-Firewall mit IP-Tables|Linux-Praxisbuch: Linux-Firewall mit IP-Tables}}<br />
* [https://www.netfilter.org/ Homepage des Netfilter-Teams] (englisch)<br />
* [https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html frozentux.net] (englisch)<br />
* [http://selflinux.org/selflinux/html/iptables.html Dokumentation] unter Selflinux<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
{{Normdaten|TYP=s|GND=4796978-7}}<br />
<br />
[[Kategorie:Paketfilter]]<br />
[[Kategorie:Linux-Betriebssystemkomponente]]</div>imported>SchlurcherBot