LabEx
AnmeldenKostenlos beitreten

Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist

LinuxLinuxBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie prüfen können, ob ein Netzwerk-Paketfilter in Linux aktiv ist. Sie werden traditionelle Methoden mithilfe von iptables nutzen, um die Firewall-Regeln aufzulisten, und das neuere nftables-Framework untersuchen, indem Sie dessen Regelsatz auflisten. Abschließend werden Sie die Filtereinstellungen überprüfen, indem Sie die relevanten Dateien im Verzeichnis /proc/sys/net untersuchen. So erhalten Sie ein umfassendes Verständnis davon, wie Sie den Status der Netzwerk-Paketfilterung auf einem Linux-System bestimmen können.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/FileandDirectoryManagementGroup(["File and Directory Management"]) linux(("Linux")) -.-> linux/UserandGroupManagementGroup(["User and Group Management"]) linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") linux/FileandDirectoryManagementGroup -.-> linux/cd("Directory Changing") linux/UserandGroupManagementGroup -.-> linux/sudo("Privilege Granting") linux/RemoteAccessandNetworkingGroup -.-> linux/ifconfig("Network Configuring") linux/RemoteAccessandNetworkingGroup -.-> linux/netstat("Network Monitoring") linux/RemoteAccessandNetworkingGroup -.-> linux/ip("IP Managing") subgraph Lab Skills linux/cat -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} linux/cd -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} linux/sudo -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} linux/ifconfig -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} linux/netstat -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} linux/ip -.-> lab-558739{{"Wie man prüft, ob ein Netzwerkpaketfilter in Linux aktiv ist"}} end

Auflisten der iptables-Regeln mit iptables -L

In diesem Schritt lernen Sie, wie Sie die aktuellen Firewall-Regeln mithilfe des Befehls iptables anzeigen können. iptables ist ein traditionelles Befehlszeilen-Tool zur Konfiguration der Linux-Kernel-Firewall.

Firewalls sind für die Netzwerksicherheit unerlässlich. Sie steuern ein- und ausgehenden Netzwerkverkehr basierend auf einer Reihe von Regeln. Diese Regeln bestimmen, ob bestimmte Verbindungen zugelassen oder blockiert werden.

Um die aktuellen iptables-Regeln aufzulisten, verwenden Sie die Option -L. Diese Option teilt iptables mit, die Regeln in den angegebenen Ketten (chains) aufzulisten.

Öffnen Sie das Terminal, wenn Sie es noch nicht getan haben. Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

sudo iptables -L

Sie müssen sudo verwenden, da das Anzeigen von Firewall-Regeln administrative Berechtigungen erfordert.

Sie werden eine Ausgabe ähnlich der folgenden sehen:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Diese Ausgabe zeigt die Regeln für die drei Standardketten: INPUT, FORWARD und OUTPUT.

  • INPUT: Steuert den Verkehr, der an die lokale Maschine gerichtet ist.
  • FORWARD: Steuert den Verkehr, der durch die Maschine geht (wird für das Routing verwendet).
  • OUTPUT: Steuert den Verkehr, der von der lokalen Maschine ausgeht.

Die policy ACCEPT bedeutet, dass standardmäßig der Verkehr in diesen Ketten zugelassen wird, wenn keine spezifische Regel darauf zutrifft.

Wenn spezifische Regeln konfiguriert wären, würden sie unter jeder Kette aufgelistet werden und Details wie das Ziel (z.B. ACCEPT, DROP), das Protokoll (z.B. tcp, udp), die Quell- und Ziel-IP-Adressen sowie die Ports anzeigen.

Zurzeit ist die Standardkonfiguration einfach, aber Sie haben erfolgreich iptables verwendet, um die aktuellen Regeln anzuzeigen.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Prüfen von nftables mit nft list ruleset

In diesem Schritt werden Sie nftables erkunden, den Nachfolger von iptables. Während iptables immer noch weit verbreitet ist, bietet nftables ein flexibleres und effizienteres Framework für die Paketfilterung und die Netzwerkadressenübersetzung (Network Address Translation, NAT).

nftables nutzt das Befehlszeilen-Tool nft zur Verwaltung von Regelsätzen. Ein Regelsatz ist eine Sammlung von Tabellen, Ketten (chains) und Regeln, die festlegen, wie Netzwerkverkehr behandelt wird.

Um den aktuellen nftables-Regelsatz anzuzeigen, verwenden Sie den Befehl list ruleset.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

sudo nft list ruleset

Wiederum ist sudo erforderlich, da das Anzeigen von Firewall-Regeln administrative Berechtigungen erfordert.

Sie könnten eine Ausgabe ähnlich der folgenden sehen, oder es ist möglicherweise leer, wenn keine nftables-Regeln konfiguriert sind:

table ip filter {
	chain INPUT {
		type filter hook input priority 0; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority 0; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority 0; policy accept;
	}
}

Diese Ausgabe zeigt einen grundlegenden nftables-Regelsatz mit einer Tabelle namens filter für die ip-Adressfamilie. Innerhalb dieser Tabelle gibt es drei Ketten: INPUT, FORWARD und OUTPUT, ähnlich wie bei iptables.

  • table ip filter: Definiert eine Tabelle namens filter für IPv4-Verkehr.
  • chain INPUT { ... }: Definiert die Eingangskette.
  • type filter hook input priority 0;: Gibt an, dass dies eine Filterkette ist, die in den Eingangsnetzwerkpfad mit einer Priorität von 0 eingebunden ist.
  • policy accept;: Setzt die Standardrichtlinie für diese Kette auf das Akzeptieren von Verkehr.

Wenn spezifische Regeln definiert wären, würden sie innerhalb der Kettensätze aufgelistet werden.

Der Vergleich der Ausgabe von iptables -L und nft list ruleset kann Ihnen einen Überblick darüber geben, welches Firewall-System die Regeln auf dem System aktiv verwaltet oder ob beide vorhanden sind. Auf modernen Systemen wird nftables zunehmend zur Standardlösung.

Sie haben nun erfolgreich nft verwendet, um den aktuellen nftables-Regelsatz anzuzeigen.

Klicken Sie auf Weiter, um fortzufahren.

Überprüfen der Filtereinstellungen in /proc/sys/net

In diesem Schritt werden Sie einige kernel-Level-Netzwerkfiltereinstellungen untersuchen, indem Sie die Dateien im Verzeichnis /proc/sys/net betrachten. Das /proc-Dateisystem ist ein virtuelles Dateisystem, das Informationen über Prozesse und andere Systeminformationen bereitstellt. Das Verzeichnis /proc/sys enthält Dateien, die es Ihnen ermöglichen, Kernel-Parameter zur Laufzeit anzuzeigen und zu ändern.

Insbesondere werden wir uns Einstellungen ansehen, die sich auf die Netzwerkfilterung und Weiterleitung beziehen.

Navigieren Sie mit dem cd-Befehl in das relevante Verzeichnis:

cd /proc/sys/net/ipv4/conf/all/

Das Verzeichnis /proc/sys/net/ipv4/conf/all/ enthält Konfigurationsdateien, die auf alle Netzwerkschnittstellen angewendet werden.

Lassen Sie uns nun den Inhalt einer Datei im Zusammenhang mit der Weiterleitung anzeigen. Verwenden Sie den cat-Befehl, um den Inhalt der Datei forwarding anzuzeigen:

cat forwarding

Die Ausgabe wird wahrscheinlich entweder 0 oder 1 sein:

0
  • 0: Zeigt an, dass die IP-Weiterleitung deaktiviert ist. Dies bedeutet, dass das System keine Pakete zwischen verschiedenen Netzwerkschnittstellen weiterleiten wird.
  • 1: Zeigt an, dass die IP-Weiterleitung aktiviert ist. Dies ist für Router oder Systeme, die als Gateways fungieren, erforderlich.

Als Nächstes betrachten wir eine Einstellung im Zusammenhang mit der Filterung eingehender Pakete mit einer Source-Route-Option. Diese Option kann manchmal auf schädliche Weise verwendet werden. Zeigen Sie den Inhalt der Datei accept_source_route an:

cat accept_source_route

Die Ausgabe wird wahrscheinlich 0 sein:

0
  • 0: Zeigt an, dass das System Pakete mit der Source-Route-Option ignorieren wird. Dies ist ein übliches Sicherheitsmaßnahme.
  • 1: Zeigt an, dass das System Pakete mit der Source-Route-Option akzeptieren wird.

Diese Dateien in /proc/sys/net bieten einen Low-Level-Einblick in die Konfiguration des Kernels zur Behandlung von Netzwerkverkehr. Während iptables und nftables die Regeln für die Filterung verwalten, steuern diese Kernel-Parameter das grundlegende Netzwerkverhalten wie die Weiterleitung und die Behandlung bestimmter Paketoptionen.

Sie haben nun erfolgreich die Kernel-Netzwerkfiltereinstellungen mithilfe des /proc-Dateisystems untersucht.

Klicken Sie auf Weiter, um das Lab abzuschließen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie überprüfen können, ob ein Netzwerkpaketfilter in Linux aktiv ist, indem Sie die Konfiguration gängiger Firewall-Tools untersuchen. Sie haben begonnen, indem Sie den Befehl iptables -L verwendet haben, um die aktuellen Regeln aufzulisten, die mit dem traditionellen iptables-Tool konfiguriert wurden. Dabei haben Sie die Standardketten (INPUT, FORWARD, OUTPUT) und ihre Richtlinien verstanden.

Als Nächstes haben Sie nftables, den modernen Ersatz für iptables, erkundet, indem Sie den Befehl nft list ruleset verwendet haben, um seine Konfiguration anzuzeigen. Schließlich haben Sie gelernt, wie Sie Filtereinstellungen auf einer tieferen Ebene überprüfen können, indem Sie die relevanten Parameter im Verzeichnis /proc/sys/net überprüfen, das die Kernel-Netzwerkkonfiguration zugänglich macht.

Verwandt Linux Kurse
Schnellstart mit Linux

Schnellstart mit Linux

LinuxShell
Anfänger
Linux für Anfänger

Linux für Anfänger

LinuxShell
Fortgeschritten
Üben Sie Linux-Befehle

Üben Sie Linux-Befehle

LinuxShell
Anfänger