Ordnung in der Firewall mit IPset

Für das Management von Paketfilter-Regeln verwenden Administratoren unterschiedliche Tools. Grafische Interfaces unterstützen häufig nur das Erstellen oder Anpassen der Regeln mit einer grafischen Eingabemaske für die einzelnen Bestandteile. Da die Regeln am Ende dieselben sind, verzichten viele Administratoren jedoch direkt auf die Nutzung grafischer Tools und verwenden entsprechende Skripte für iptables. Zwar bietet der Linux-Kernel bereits seit vielen Jahren Unterstützung für nftables, allerdings hat es sich bis heute nicht umfassend durchgesetzt. Selbst moderne Software, wie etwa Docker für den Betrieb von Microservices, verwendet weiterhin iptables für die Netzwerkkonfiguration.

Je komplexer Ihre Konfiguration von iptables wird, desto schwieriger ist es, den Überblick zu behalten. Nutzen Sie in Ihrem Unternehmen separate Subnetze für einzelne Abteilungen und benötigen Sie abteilungsübergreifend Zugriff auf bestimmte Dienste für bestimmte Personen, wächst die Menge der Regeln schnell. Um den Überblick zu behalten und Filterregeln einfacher zu gruppieren, können Sie IPset [1] verwenden.

Erweiterungen für iptables

Bereits seit Beginn der Entwicklung des Netfilter-Projekts gibt es für iptables sogenannte Match-Extensions. Die Unterstützung für einzelne Extensions können Sie in der Kernel-Konfiguration aktivieren. Bekannt sind vor allem die Conntrack-Erweiterung, die auch grundlegend für die NAT-Funktionalität ist, und die State-Erweiterung, um den Status einer Verbindung zu prüfen. Neben vielen anderen Match-Extensions können Sie etwa mit der Owner-Match-Extension Pakete anhand der User-ID des Programms filtern, das die Netzwerkpakete erzeugt hat. Mit der Limit-Erweiterung implementieren Sie eine Bandbreitenlimitierung für passende Pakete. Einige iptables-Argumente, beispielsweise die Auswahl des Protokolls, implizieren die Verwendung entsprechender

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.