Iptables Installation
Aus Gentoo Linux Wiki
| Firewall • Dienste absichern • Verschlüsselung • alphabetischer Security Index |
|
Dieser Artikel behandelt lediglich die notwendigen Kernelkonfigurationen bezüglich Netfilter und die Installation von Iptables. Für Grundlagen zum Thema Firewall auf Linux-Basis bitte Iptables für Anfänger lesen. Wie man einen Kernel konfiguriert steht im Kernel manuell kompilieren Howto.
Inhaltsverzeichnis |
[Bearbeiten] Netfilter
[Bearbeiten] Kernelkonfiguration
Die benötigten Optionen für Iptables:
Networking --->
Networking options --->
[*] IP: advanced router # nur einschalten, wenn der PC als Router fungiert!
[*] Network packet filtering framework (Netfilter) --->
Core Netfilter Configuration --->
<*> Netfilter netlink interface
<*> Netfilter NFQUEUE over NFNETLINK interface
<*> Netfilter LOG over NFNETLINK interface
<*> Netfilter connection tracking support
Netfilter connection tracking support (Layer 3 Independent Connection tracking) --->
[*] Connection tracking flow accounting
[*] Connection mark tracking support
<*> FTP protocol support
<*> IRC protocol support
<*> Netfilter Xtables support (required for ip_tables)
# Den Rest nach Belieben aktivieren
IP: Netfilter Configuration --->
<*> IPv4 connection tracking support (required for NAT)
<*> IP tables support (required for filtering/masq/NAT)
# Den Rest nach Belieben aktivieren
Das einfachste ist, einfach alles zu markieren.
[Bearbeiten] Installation
Das ist schnell erledigt:
emerge -av net-firewall/iptables
[Bearbeiten] QoS
Möchte man Bandbreitenmanagement einrichten, sollte man, wenn man die Pakete anhand von layer 7 (Anwendungsschicht) klassifizieren möchte erst das Paket l7-filter in der Testing Version emergen:
echo net-misc/l7-filter >> /etc/portage/package.keywords echo net-misc/l7-protocols >> /etc/portage/package.keywords emerge net-misc/l7-filter
Dabei werden die aktuellen unter /usr/src/linux/ liegenden Kernelsourcen gepatcht. Nachfolgend die Konfiguration:
[Bearbeiten] Kernelkonfiguration
Wie oben jedoch ein paar kleine Änderungen:
Networking --->
Networking options --->
[*] Network packet filtering framework (Netfilter) --->
Core Netfilter Configuration --->
<*> Netfilter connection tracking support
Netfilter connection tracking support (Layer 3 Dependent Connection tracking (OBSOLETE))
# wird für l7-filter benötigt, Rest nach Belieben aktivieren.
IP: Netfilter Configuration --->
[*] Connection tracking flow accounting
<*> IP tables support (required for filtering/masq/NAT)
<*> Layer 7 match support (EXPERIMENTAL)
# Rest nach Belieben aktivieren
# soll keine layer7-Klassifiezierung, reicht nur folgendes
Networking --->
Networking options --->
QoS and/or fair queueing --->
# alles bis auf Network emulator (NETEM) und Simple Example (Debug) aktivieren
[Bearbeiten] Software
Damit man layer-7 nutzen kann, muss man für das Paket iptables zwei Useflags setzen:
echo "net-firewall/iptables extensions l7filter" >> /etc/portage/package.use
Nun die benötigten Tools installieren, man braucht auch noch IProute2 für das Programm tc:
emerge -av net-firewall/iptables sys-apps/iproute2
Man sollte beachten, dass bei jedem Kernelupdate l7-filter neu installiert werden muss, bevor man den Kernel konfiguriert und kompiliert.
[Bearbeiten] Siehe auch
- Iptables für Anfänger
- Iptables für Fortgeschrittene
- Frontends und andere Tools für Iptables
- Bandbreitenmanagement mittels Iptables und Tc
--Misterjack 15:24, 4. Apr 2007 (UTC)
