iptables/ip6tables — Administrationswerkzeug für
IPv4/IPv6-Paketfilterung und NAT
ÜBERSICHT
iptables [-t Tabelle]
{-A|-C|-D|-V} Kette
Regelfestlegung
ip6tables [-t Tabelle]
{-A|-C|-D|-V} Kette Regelfestlegung
iptables [-t Tabelle] -I Kette
[Regelnummer] Regelfestlegung
iptables [-t Tabelle] -R Kette
Regelnummer Regelfestlegung
iptables [-t Tabelle] -D Kette
Regelnummer
iptables [-t Tabelle] -S [Kette
[Regelnummer]]
iptables [-t Tabelle]
{-F|-L|-Z} [Kette [Regelnummer]]
[Optionen…]
iptables [-t Tabelle] -N
Kette
iptables [-t Tabelle] -X
[Kette]
iptables [-t Tabelle] -P Kette
Ziel
iptables [-t Tabelle] -E
Alterkettenname Neuerkettenname
Regelfestlegung = [Übereinstimmungen…]
[Ziel]
Übereinstimmung = -m
Übereinstimmungsname
[Übereinstimmungsabhängige_Optionen]
Ziel = -j Zielname
[Zielabhängige_Optionen]
Iptables und ip6tables werden zur Einrichtung, der
Pflege und Untersuchung der Tabellen der IPv4- und IPv6-Paketfilterregeln im
Linux-Kernel verwandt. Es können mehrere verschiedene Tabellen
definiert werden. Jede Tabelle enthält eine Reihe von eingebauten
Ketten und kann auch benutzerdefinierte Ketten enthalten.
Jede Kette ist eine Liste von Regeln, die mit einer Reihe von
Paketen übereinstimmen können. Jede Regel legt fest, was mit
einem übereinstimmenden Paket passieren soll. Dies wird
»Ziel« genannt. Dabei kann zu einer benutzerdefinierten Kette
in der gleichen Tabelle gesprungen werden.
Eine Firewall-Regel legt Kriterien für ein Paket und ein
Ziel fest. Falls das Paket nicht übereinstimmt, wird die
nächste Regel in der Kette geprüft; falls es
übereinstimmt, dann wird die nächste Regel durch den Wert des
Ziels festgelegt. Diese kann der Name einer benutzerdefinierten Kette, eine
der in iptables-extensions(8) beschriebenen Ziele oder eine der
besonderen Werte ACCEPT, DROP oder RETURN sein.
ACCEPT bedeutet, dass das Paket durchgelassen werden soll.
DROP bedeutet, dass das Paket fallengelassen werden soll.
RETURN bedeutet, dass der Durchlauf dieser Kette beendet und bei der
nächsten Regel in der vorherigen (aufrufenden) Kette fortgefahren
werden soll. Falls das Ende einer eingebauten Kette erreicht wird oder eine
Übereinstimmung einer Regel in einer eingebauten Kette mit dem Ziel
RETURN erfolgt, dann bestimmt das durch die Ketten-Richtlinie
festgelegte Ziel das Schicksal des Pakets.
Es gibt derzeit fünf unabhängige Tabellen. (Die zu
einem Zeitpunkt vorhandenen Tabellen hängen von den
Kernelkonfigurationsoptionen und der Existenz der entsprechenden Module
ab).
- -t, --table
Tabelle
- Diese Option legt die Paketübereinstimmungstabelle fest, auf die
der Befehl agieren soll. Falls der Kernel mit automatischen Modulladen
konfiguriert ist, wird versucht, das entsprechende Modul für diese
Tabelle zu laden, falls es noch nicht bereits vorhanden ist.
Die Tabellen sind wie folgt:
- filter:
- Dies ist die Standardtabelle (falls keine Option »-t«
übergeben wurde). Sie enthält die eingebauten Ketten
INPUT (für Pakete mit Ziel lokaler Sockets), FORWARD
(für Pakete, die durch die Maschine weitergeleitet werden) und
OUTPUT (für lokal erstellte Pakete).
- nat:
- Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine
neue Verbindung erstellt. Sie besteht aus vier eingebauten Ketten:
PREROUTING (zum Verändern von Paketen direkt beim
Eintreffen), INPUT (zum Verändern von Paketen mit Ziel
lokaler Sockets), OUTPUT (zum Verändern lokal erstellter
Pakete vor der Weiterleitung) und POSTROUTING (zum Verändern
von Paketen beim Verlassen der Maschine). IPv6 NAT ist seit Kernel 3.7
verfügbar.
- mangle:
- Diese Tabelle wird für spezialisierte Paketveränderung
verwandt. Bis Kernel 2.4.17 hatte sie zwei eingebaute Ketten:
PREROUTING (zum Verändern von eingehenden Paketen vor der
Weiterleitung) und OUTPUT (zum Verändern von lokal
erstellten Paketen vor der Weiterleitung). Seit Kernel 2.4.18 werden drei
weitere eingebaute Ketten auch unterstützt: INPUT
(für Pakete, die in der Maschine eintreffen), FORWARD (zum
Verändern von Paketen, die durch die Maschine weitergeleitet
werden) und POSTROUTING (zum Verändern von Paketen beim
Verlassen der Maschine).
- raw:
- Diese Tabelle wird hauptsächlich zur Konfiguration von Ausnahmen
von der Verbindungsnachverfolgung im Zusammenspiel mit dem Ziel NOTRACK
verwandt. Sie wird bei den Netfilter-Hooks mit höherer
Priorität registriert und wird daher vor ip_conntrack und allen
anderen IP-Tabellen aufgerufen. Sie stellt die folgenden eingebauten
Ketten bereit: PREROUTING (für Pakete, die auf beliebigen
Netzwerkschnittstellen ankommen) und OUTPUT (für Pakete, die
von lokalen Prozessen erstellt werden).
- security:
- Diese Tabelle wird für Netzwerkregeln des Mandatory Access Control
(MAC) verwandt, wie sie durch die Ziele SECMARK und
CONNSECMARK aktiviert werden. MAC wird durch
Linux-Sicherheitsmodule wie SELinux implementiert. Die Security-Tabelle
wird nach der Filtertabelle aufgerufen und erlaubt allen Regeln des
Discretionary Access Control (DAC) in der Filtertabelle, vor den
MAC-Regeln wirksam zu werden. Diese Tabelle stellt die folgenden
eingebauten Regeln bereit: INPUT (für Pakete, die in die
Maschine selbst kommen), OUTPUT (zur Veränderung lokal
erstellter Pakete vor der Weiterleitung) und FORWARD (zur
Veränderung von Paketen, die durch die Maschine weitergeleitet
werden).
Die von iptables und ip6tables erkannten Optionen
können in mehrere verschiedene Gruppen eingeteilt werden.
Diese Optionen legen die gewünschte durchzuführende
Aktion fest. Auf der Befehlszeile kann, wenn nicht nachfolgend anders
vermerkt, nur eine davon angegeben werden. Für lange Versionen der
Befehl- und Optionsnamen müssen Sie nur genug Buchstaben verwenden,
um sicherzustellen, dass iptables sie von allen anderen Optionen
unterscheiden kann.
- -A, --append Kette
Regelfestlegung
- Hängt eine oder mehrere Regeln am Ende der ausgewählten
Kette an. Wenn die Quell- oder Zielnamen zu mehr als einer Adresse
aufgelöst werden können, dann wird eine Regel an jede
mögliche Adresskombination angehängt.
- -C, --check Kette
Regelfestlegung
- Prüft, ob eine Regel, die mit einer Festlegung
übereinstimmt, in der ausgewählten Kette existiert. Dieser
Befehl benutzt die gleiche Logik wie -D, um einen
übereinstimmenden Eintrag zu finden, aber ändert die
bestehende Iptables-Konfiguration nicht und verwendet den Exit-Code, um
Erfolg oder Fehlschlag anzuzeigen.
- -D, --delete Kette
Regelfestlegung
- -D, --delete
Kette Regelnummer
- Löscht eine oder mehrere Regeln aus der ausgewählte Kette.
Es gibt zwei Versionen diese Befehls: die Regel kann als Nummer in der
Kette festgelegt werden (beginnend bei 1 für die erste Regel) oder
als zu übereinstimmende Regel.
- -I, --insert
Kette [Regelnummer] Regelfestlegung
- Fügt eine oder mehrere Regeln in die ausgewählte Kette bei
der angegebenen Regelnummer ein. Ist daher die Regelnummer 1, dann werden
die Regel(n) am Anfang der Kette eingefügt. Dies ist auch die
Vorgabe, falls keine Regelnummer angegeben wird.
- -R, --replace Kette
Regelnummer Regelfestlegung
- Ersetzt eine Regel in der angegebenen Kette. Falls sich der Quell-
und/oder Zielname auf mehrere Adressen auflöst, dann wird der
Befehl fehlschlagen. Regeln werden nummeriert, beginnend bei 1.
- -L, --list
[Kette]
- Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette
ausgewählt ist, dann werden alle Ketten aufgelistet. Wie jeder
andere Befehl von Iptables gilt er für die angegebene Tabelle
(»filter« ist die Vorgabe). Daher werden NAT-Regeln durch
folgenden Befehl aufgelistet:
iptables -t nat -n -L
Bitte beachten Sie, dass dies oft mit der Option -n verwandt wird, um
lange inverse DNS-Auflösungen zu vermeiden. Es ist auch erlaubt,
die Option -Z (zero) anzugeben. Dann wird/werden die Kette(n)
atomar aufgelistet und genullt. Die genaue Ausgabe hängt von den
anderen übergebenen Argumenten ab. Die genauen Regeln werden
unterdrückt, bis Sie
iptables -L -v
oder iptables-save(8) verwenden.
- -S, --list-rules
[Kette]
- Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette
ausgewählt ist, dann werden alle Ketten wie bei
»iptables-save« angezeigt. Wie jeder andere Befehl von
Iptables gilt er für die angegebene Tabelle (»filter«
ist die Vorgabe).
- -F, --flush
[Kette]
- Leert die ausgewählte Kette (alle Ketten in der Tabelle, falls
keine angegeben ist). Dies ist zum Löschen aller Regeln einer nach
der anderen äquivalent.
- -Z, --zero
[Kette [Regelnummer]]
- Setzt die Paket- und Bytezähler in allen Ketten auf Null, oder nur
in der angegebenen Kette oder nur die der angegebenen Regel in einer
Kette. Es ist korrekt, auch die Option -L, --list
festzulegen, um die Zähler direkt vor dem Bereinigen zu sehen
(siehe oben).
- -N, --new-chain
Kette
- Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf
noch kein Ziel mit diesem Namen geben.
- -X, --delete-chain
[Kette]
- Löscht die angegebene Kette. Es darf keine Referenzen auf die Kette
geben. Falls diese existieren, müssen Sie die bezugnehmenden Regeln
löschen oder ersetzen, bevor die Kette gelöscht werden kann.
Die Kette muss leer sein, d.h. sie darf keine Regeln enthalten. Falls kein
Argument angegeben ist, werden alle leeren Ketten in der Tabelle
gelöscht. Leere eingebaute Ketten können nur mit
iptables-nft(8) gelöscht werden.
- -P, --policy Kette
Ziel
- Setzt die Richtlinie für die eingebaute (nicht benutzerdefinierte)
Kette auf das angegebene Ziel. Das Richtlinienziel muss entweder
ACCEPT oder DROP sein.
- -E, --rename-chain
Altekette Neuekette
- Benennt die benutzer-spezifizierte Kette in den vom Benutzer
bereitgestellten Namen um. Dies ist kosmetisch und hat keine Auswirkungen
auf die Struktur der Tabelle.
- -h
- Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax
aus.
Die folgenden Parameter bilden eine Regelspezifikation (wie sie in
den Befehlen add, delete, insert, replace und append verwandt wird).
- -4, --ipv4
- Diese Option hat keine Auswirkungen in iptables und
iptables-restore(8). Falls eine Regel mit (und nur mit)
ip6tables-restore(8) eingefügt wird, die die Option
-4 verwendet, wird sie stillschweigend ignoriert. Alle anderen
Verwendungen werden einen Fehler auslösen. Diese Option erlaubt
IPv4- und IPv6-Regeln in einer gemeinsamen Regeldatei für die
Verwendung mit iptables-restore(8) und
ip6tables-restore(8).
- -6, --ipv6
- Falls eine Regel mit (und nur mit) iptables-restore(8)
eingefügt wird, die die Option -6 verwendet, wird sie
stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler
auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer
gemeinsamen Regeldatei für die Verwendung mit
iptables-restore(8) und ip6tables-restore(8). Diese Option
hat keine Auswirkungen in ip6tables und
ip6tables-restore(8).
- [!] -p, --protocol Protokoll
- Das Protokoll der Regel oder des zu prüfenden Pakets. Das
angegebene Protokoll kann entweder tcp, udp, udplite,
icmp, icmpv6, esp, ah, sctp, mh
oder das besondere Schlüsselwort »all« oder
ein numerischer Wert, der eines dieser Protokolle oder ein anderes
darstellt. Ein Protokollname aus /etc/protocols ist erlaubt. Ein
Argument »!« vor dem Protokoll invertiert den Test. Die Zahl
Null ist äquivalent zu all. »all«
stimmt mit allen Protokollen überein und wird als Vorgabewert
verwandt, wenn diese Option nicht angegeben wird. Beachten Sie, dass
außer esp die IPv6-Erweiterungskopfzeilen in
ip6tables nicht erlaubt sind. esp und ipv6-nonext
können mit Kernelversion 2.6.11 oder neuer verwandt werden. Die
Zahl Null ist zu all äquivalent. Dies bedeutet, dass Sie das
Protokollfeld nicht direkt auf den Wert 0 überprüfen
können. Um mit einer HBH-Kopfzeile zu übereinstimmen, selbst
wenn diese die letzte wäre, können Sie -p 0 nicht
benutzen, sondern benötigen immer -m hbh.
- [!] -s, --source
Adresse[/Maske][,…]
- Quellfestlegung. Adresse kann entweder ein Netzwerkname, ein
Rechnername, eine Netzwerk-IP-Adresse (mit /Maske) oder eine
einfache IP-Adresse sein. Rechnernamen werden nur einmal aufgelöst,
bevor die Regel an den Kernel übergeben wird. Bitte beachten Sie,
dass es eine wirklich schlechte Idee ist, einen Namen anzugeben, der
über eine Abfrage in der Ferne (wie DNS) aufgelöst wird. Die
Maske kann entweder eine IPv4-Netzwerkmaske (für
iptables) oder eine einfache Zahl sein, die die Anzahl an 1en (von
links gezählt) der Netzwerkmaske festlegt. Daher ist eine
Iptables-Maske 24 äquivalent zu 255.255.255.0. Ein
Argument »!« vor der Adressangabe invertiert die Bedeutung
der Adresse. Der Schalter --src ist ein Alias für diese
Option. Mehrere Adressen können angegeben werden, aber dies wird
zu mehreren Regeln expandiert (beim Hinzufügen mit -A) oder
führt zum Löschen von mehreren Regeln (mit -D).
- [!] -d, --destination
Adresse[/Maske][,…]
- Zielfestlegung. Siehe die Beschreibung des Schalters -s (Quelle)
für eine detaillierte Beschreibung der Syntax. Der Schalter
--dst ist ein Alias für diese Option.
- -m, --match
Übereinstimmung
- Gibt eine zu verwendende Übereinstimmung an; das heißt ein
Erweiterungsmodul, das auf eine bestimmte Eigenschaft prüft. Die
Gruppe der Übereinstimmungen stellt die Bedingung dar, unter der
ein Ziel aufgerufen wird. Übereinstimmungen werden in der
Reihenfolge der Angabe auf der Befehlszeile (von der ersten zur letzten)
ausgewertet und funktionieren in der Kurzschlussart. Das heißt,
falls eine Erweiterung als »falsch« ausgewertet wird, wird
die Auswertung beendet.
- -j, --jump
Ziel
- Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket
übereinstimmt. Das Ziel kann eine benutzerdefinierte Kette sein
(die sich von der unterscheidet, in der die Regel ist), eines der
besonderen eingebauten Ziele, die sofort über das Schicksal dieses
Paketes entscheiden oder eine Erweiterung (siehe nachfolgende
ERWEITERUNGEN). Falls diese Option in einer Regel nicht angegeben
wird (und -g nicht verwandt wird), dann wird die
übereinstimmende Regel keine Auswirkung auf das Schicksal des
Paketes haben, aber die Zähler der Regel werden erhöht.
- -g, --goto
Kette
- Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette
fortfahren soll. Anders als die Option »--jump« wird bei
»return« die Verarbeitung nicht in dieser Kette
fortgefahren, sondern in der Kette, die dies mittels
»--jump« aufrief.
- [!] -i, --in-interface Name
- Name der Schnittstelle mittels der ein Paket empfangen wurde (nur
für Pakete, die in die Ketten INPUT, FORWARD und
PREROUTING eintreten). Wird das Argument »!« vor dem
Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der
Schnittstellenname auf ein »+« endet, dann werden alle
Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls
diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen
überein.
- [!] -o, --out-interface Name
- Name der Schnittstelle mittels der ein Paket gesendet wird (für
Pakete, die in die Ketten FORWARD, OUTPUT und
POSTROUTING eintreten). Wird das Argument »!« vor dem
Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der
Schnittstellenname auf ein »+« endet, dann werden alle
Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls
diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen
überein.
- [!] -f, --fragment
- Dies bedeutet, dass sich die Regel nur auf das zweite und weitere
IPv4-Fragmente des fragmentierten Pakets bezieht. Da es keine
Möglichkeit gibt, den Quell- oder Zielport (oder den ICMP-Typ)
solcher Pakete zu bestimmen, stimmen diese Pakete nicht mit irgend einer
Regel überein, die diese festlegen. Steht das Argument
»!« vor dem Schalter »-f«, dann stimmt die
Regel nur mit Kopffragmenten oder nicht fragmentierten Paketen
überein. Diese Option ist IPv4-spezifisch und in ip6tables
nicht verfügbar.
- -c, --set-counters
Pakete Bytes
- Diese Regel ermöglicht es dem Administrator, die Paket- und
Bytezähler einer Regel zu aktivieren (während der Aktionen
INSERT, APPEND, REPLACE).
Die folgenden zusätzlichen Optionen können
festgelegt werden:
- -v, --verbose
- Ausführliche Ausgabe. Diese Option führt dazu, dass der
Befehl »list« Schnittstellennamen, die Regeloptionen (falls
vorhanden) und die TOS-Masken anzeigt. Die Paket- und Bytezähler
werden auch aufgeführt, mit den Endungen »K«,
»M« oder »G« für 1000, 1.000.000 bzw.
1.000.000.000 (aber siehe den Schalter -x um dies zu
ändern). Beim Anhängen, Einfügen, Löschen und
Ersetzen führt dieser Schalter zu detaillierten Informationen
über die auszugebenden Regel(n). -v kann mehrfach angegeben
werden, um möglicherweise detailliertere Fehlersuchausgaben zu
erzeugen: Zweimal angegeben wird iptables-legacy
Tabelleninformationen und Einträge in libiptc rausschreiben,
iptables-nft wird Regeln in Netlink (VM-Code) -Darstellungen
rausschreiben. Dreimal angegeben wird iptables-nft auch alle an den
Kernel gesandten Netlinkmeldungen rausschreiben.
- -V, --version
- Zeigt die Programmversion und die verwandte Kernel-API.
- -w, --wait
[Sekunden]
- Wartet auf die Xtables-Sperre. Um zu verhindern, dass mehrere Instanzen
des Programms gleichzeitig laufen, wird beim Start versucht, eine
exklusive Sperre zu erlangen. Standardmäßig wird sich das
Programm beenden, falls die Sperre nicht erlangt werden kann. Diese Option
führt dazu, dass das Programm wartet (endlos oder für die
optionalen Sekunden), bis die exklusive Sperre erlangt werden
kann.
- -n, --numeric
- Numerische Ausgabe. IP-Adressen und Port-Nummern werden im numerischen
Format dargestellt. Standardmäßig wird das Programm
versuchen, sie als Rechnernamen, Netzwerknamen oder Dienste (wo anwendbar)
anzuzeigen.
- -x, --exact
- Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezähler
an, statt nur die gerundete Anzahl in Ks (Vielfaches von 1000), Ms
(Vielfaches von 1000 K) oder Gs (Vielfaches von 1000 M). Diese Option ist
nur für den Befehl -L relevant.
- --line-numbers
- Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu,
die der Position dieser Regel in der Kette entspricht.
- --modprobe=Befehl
- Verwendet beim Hinzufügen oder Einfügen von Regeln in einer
Kette Befehl, um notwendige Module (Ziele,
Übereinstimmungserweiterungen usw.) zu laden.
Iptables verwendet die Datei /run/xtables.lock, um eine
exklusive Sperre beim Start zu erlangen.
Die Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt
werden, die Standardeinstellung außer Kraft zu setzen.
ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN
Iptables kann erweiterte Paketübereinstimmungs- und
-zielmodule benutzen. Eine Liste dieser ist in der Handbuchseite
iptables-extensions(8) verfügbar.
Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe
ausgegeben. Der Exit-Code ist bei korrektem Funktionieren 0. Fehler, die
aufgrund ungültiger oder missbräuchlicher
Befehlszeilenparameter verursacht werden, führen zu einem Exit-Code
von 2 und andere Fehler führen zu einem Exit-Code von 1.
Fehler? Was sind das? ;-) Nun, vielleicht möchten Sie dazu
auf http://bugzilla.netfilter.org/ schauen. iptables wird sich sofort
mit einem Fehler-Code von 111 beenden, wenn es bemerkt, dass es als
setuid-to-root-Programm aufgerufen wurde. Iptables kann auf diese Art nicht
sicher verwandt werden, da es den zur Laufzeit geladenen dynamischen
Bibliotheken (Übereinstimmungen, Zielen) vertraut und der Suchpfad
mittels Umgebungsvariablen gesetzt werden kann.
Dieses iptables ist sehr ähnlich dem Ipchains von
Rusty Russell. Der Hauptunterschied besteht darin, dass die Ketten
INPUT und OUTPUT nur für Pakete durchlaufen werden, die
in den lokalen Rechner eintreten bzw. von dem lokalen Rechner stammen. Daher
läuft jedes Paket nur durch eine der drei Ketten (außer dem
Loopback-Verkehr, der sowohl die Ketten INPUT als auch OUTPUT
durchläuft); in der alten Ipchains-Version liefen weitergeleitete
Pakete durch alle drei.
Der andere Hauptunterschied besteht darin, dass sich -i auf
die Eingabeschnittstelle bezieht; sich -o auf die
Ausgabeschnittstelle bezieht und beide für Pakete verfügbar
sind, die in die Kette FORWARD eintreten.
Die verschiedenen Arten von NAT wurden abgetrennt; iptables
ist beim Einsatz der Standardtabelle »filter« ein reiner
Paketfilter, mit optionalen Erweiterungsmodulen. Dies sollte einen
Großteil der früheren Verwirrung über die Kombination
von IP-Masquerading und Paketfilterung vereinfachen. Daher werden die
folgenden Optionen anders gehandhabt:
-j MASQ
-M -S
-M -L
Es gibt eine Reihe weiterer Änderungen in Iptables.
iptables-apply(8), iptables-save(8),
iptables-restore(8), iptables-extensions(8),
Das packet-filtering-HOWTO gibt weitere Dateils zum Einsatz von
Iptables zur Paketfilterung, das NAT-HOWTO gibt Details zum NAT, das
netfilter-extensions-HOWTO gibt Details zu Erweiterungen, die nicht in der
Standarddistribution sind und das netfilter-hacking-HOWTO gibt Details zu
den Interna von Netfilter.
Siehe http://www.netfilter.org/.
Iptables wurde ursprünglich von Rusty Russell geschrieben,
am Anfang stimmte er sich mit Michael Neuling ab.
Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er
für ein generisches Paketauswahl-Rahmenwerk in Iptables warb, schrieb
dann die Tabelle »mangle«, die
Eigentümerübereinstimmung, das Markierungszeug und machte
überall coole Dinge.
James Morris schrieb das TOS-Ziel und die
TOS-Übereinstimmung.
Jozsef Kadlecsik schrieb das REJECT-Ziel.
Harald Welte schrieb das ULOG- und NFQUEUE-Ziel, das neue Libiptc,
sowie die TTL-, DSCP-, ECN-Übereinstimmungen und -Ziele.
Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira
Ayuso, Eric Leblond, Florian Westphal und Arturo Borrero Gonzalez. Ehemalige
Kernteammitglieder sind: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai,
James Morris, Harald Welte und Rusty Russell.
Die Handbuchseite wurde ursprünglich von Herve Eychenne
<rv@wallfire.org> geschrieben.
Diese Handbuchseite gilt für
iptables/ip6tables 1.8.9.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General
Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite
finden, schicken Sie bitte eine E-Mail an die
Mailingliste
der Übersetzer.