236929

PREROUTING-Kette

Als Nächstes fügen wir Regeln zur PREROUTING-Kette in der nat-Tabelle hinzu. Obwohl diese Tabelle nicht für die Paketfilterung bestimmt ist, ist deren PREROUTING-Kette besonders nützlich für die Filterung, um eine Fälschung von IP-Adressen des Absenders oder Empfängers zu verhindern. Wenn wir DROP-Einträge in der PREROUTING-Kette platzieren, müssen sie in den INPUT- und FORWARD-Ketten vorhanden sein, da die PREROUTING-Kette auf alle Pakete angewandt wird, die den Firewall-Host passieren. Es ist sauberer, Einträge an einer einzigen Stelle zu platzieren, anstatt sie zu duplizieren.

iptables -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 - j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i ppp0 -s 224.0.0.0/4 -j DROP

Schließlich beenden wir sowohl die INPUT- als auch die FORWARD-Ketten mit einer Regel, die alle nicht ausdrücklich erlaubten Pakete verbietet. Obwohl wir dieses Verhalten bereits mit dem Befehl iptables -P erzwungen haben, ermöglicht uns das LOG-Ziel zu sehen, wer aus dem Internet an unsere Tür klopft.

iptables -A INPUT -i ppp0 -j LOG
iptables -A FORWARD -i ppp0 -j LOG

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

236929