Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:centos_8_-_iptables

CentOS 8 - iptables

Seit dem Kernel 2.4 wird über die sogenannte Netfilter-Infrastruktur im Linux-Kernel das manipulieren des Netzwerkverkehrs ermöglicht (Firewall). Die Konfiguration des Netfilters im Kernel 2.4/2.6 wird über des Tool iptables (/sbin/iptables) durchgeführt.

Die nachfolgend beschriebene Installation ist die verfügbare 64-bit-Variante von CentOS in der Version 8.0.
:!: ACHTUNG - Die Standardfirewall unter CentOS in der Version 8.0 ist NICHT iptables !!!

  • firewalld - Das Dienstprogramm firewalld, konfiguriert eine Firewall auf Servern mit grafischer Benutzeroberfläche und mit firewall-cmd auf Servern ohne grafische Benutzeroberfläche. Das Dienstprogramm bzw. das Kommandozeilenprogramm sind einfach zu bedienen und decken die typischen Anwendungsfälle für diese Szenarios ab.
  • nftables - Die Standardfirewall unter CentOS in der Version 8.0 ist nftables. Es kann verwendet werden, um komplexe Firewalls, z. B. für ein ganzes Netzwerk, einzurichten.
  • iptables - Das Werkzeug iptables ist in CentOS in der Version 8.0 veraltet. Stattdessen sollte nftables verwendet werden.

:!: HINWEIS - Die nachfolgende Konfiguration sollte NUR ausgeführt werden, wenn anstelle von firewalld und nftables - WIEDER - iptables zum Einsatz kommen soll !!!

Deaktivieren: firewalld

Damit unter CentOS in der Version 8.0, als Firewall iptables verwendet werden kann und nicht zwei Firewall-Konfigurationen sich gegenseitig beeinträchtigen, muss die Firewall firewalld deaktiviert werden, was in nachfolgenden drei Schritten durchgeführt werden kann:

Schritt 1: Dienst stoppen

Nachfolgender Befehl beendet die Ausführung des Dienstes/Daemons firewalld unter CentOS in der Version 8.0:

# systemctl stop firewalld.service

* Es sollte keine Meldung erscheinen, wenn das Beenden erfolgreich durchgeführt wurde.

Schritt 2: Deativieren

Nachfolgender Befehl deaktiviert den Start des Dienstes/Daemons firewalld.service druch systemd beim Start bzw Neustart des Servers:

# systemctl disable firewalld.service
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.

Schritt 3: Maskieren

Um sicherzustellen, dass firewalld nicht durch den Zugriff auf die D-Bus Schnittstelle von firewalld gestartet wird, auch wenn andere Dienste firewalld benötigen würden und diesen somit starten würden, muss nachfolgender Befehl abschließend ausgeführt werden:

# systemctl mask firewalld.service
Created symlink /etc/systemd/system/firewalld.service → /dev/null.

Installation: iptables

Zur Installation von iptables wird nachfolgendes Paket benötigt:

  • iptables - Eigentliches Paket

Optional, kann noch nachfolgendes Paket ebenfalls installiert werden:

  • iptables-services - Minimalregelsatz an iptables-Regeln

Mit nachfolgendem Befehl, wird das rpm-Paket - iptables installiert:

# dnf install iptables
Last metadata expiration check: 0:35:29 ago on Sat Dec 28 07:20:38 2019.
Package iptables-1.8.2-9.el8.x86_64 is already installed.
Dependencies resolved.
================================================================================
 Package                 Arch         Version                Repository    Size
================================================================================
Upgrading:
 iptables                x86_64       1.8.2-9.el8_0.1        BaseOS       582 k
 iptables-ebtables       x86_64       1.8.2-9.el8_0.1        BaseOS        67 k
 iptables-libs           x86_64       1.8.2-9.el8_0.1        BaseOS        97 k

Transaction Summary
================================================================================
Upgrade  3 Packages

Total download size: 747 k
Is this ok [y/N]: y
Downloading Packages:
(1/3): iptables-ebtables-1.8.2-9.el8_0.1.x86_64  52 kB/s |  67 kB     00:01    
(2/3): iptables-libs-1.8.2-9.el8_0.1.x86_64.rpm  75 kB/s |  97 kB     00:01    
(3/3): iptables-1.8.2-9.el8_0.1.x86_64.rpm      349 kB/s | 582 kB     00:01    
--------------------------------------------------------------------------------
Total                                           274 kB/s | 747 kB     00:02     
warning: /var/cache/dnf/BaseOS-929b586ef1f72f69/packages/iptables-1.8.2-9.el8_0.1.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 8483c65d: NOKEY
CentOS-8 - Base                                 1.6 MB/s | 1.6 kB     00:00    
Importing GPG key 0x8483C65D:
 Userid     : "CentOS (CentOS Official Signing Key) <security@centos.org>"
 Fingerprint: 99DB 70FA E1D7 CE22 7FB6 4882 05B5 55B3 8483 C65D
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
Is this ok [y/N]: y
Key imported successfully
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                        1/1 
  Running scriptlet: iptables-libs-1.8.2-9.el8_0.1.x86_64                   1/1 
  Upgrading        : iptables-libs-1.8.2-9.el8_0.1.x86_64                   1/6 
  Running scriptlet: iptables-1.8.2-9.el8_0.1.x86_64                        2/6 
  Upgrading        : iptables-1.8.2-9.el8_0.1.x86_64                        2/6 
  Running scriptlet: iptables-1.8.2-9.el8_0.1.x86_64                        2/6 
  Upgrading        : iptables-ebtables-1.8.2-9.el8_0.1.x86_64               3/6 
  Running scriptlet: iptables-ebtables-1.8.2-9.el8_0.1.x86_64               3/6 
  Running scriptlet: iptables-ebtables-1.8.2-9.el8.x86_64                   4/6 
  Cleanup          : iptables-ebtables-1.8.2-9.el8.x86_64                   4/6 
  Running scriptlet: iptables-ebtables-1.8.2-9.el8.x86_64                   4/6 
  Cleanup          : iptables-1.8.2-9.el8.x86_64                            5/6 
  Running scriptlet: iptables-1.8.2-9.el8.x86_64                            5/6 
  Cleanup          : iptables-libs-1.8.2-9.el8.x86_64                       6/6 
  Running scriptlet: iptables-libs-1.8.2-9.el8.x86_64                       6/6 
  Verifying        : iptables-1.8.2-9.el8_0.1.x86_64                        1/6 
  Verifying        : iptables-1.8.2-9.el8.x86_64                            2/6 
  Verifying        : iptables-ebtables-1.8.2-9.el8_0.1.x86_64               3/6 
  Verifying        : iptables-ebtables-1.8.2-9.el8.x86_64                   4/6 
  Verifying        : iptables-libs-1.8.2-9.el8_0.1.x86_64                   5/6 
  Verifying        : iptables-libs-1.8.2-9.el8.x86_64                       6/6 

Upgraded:
  iptables-1.8.2-9.el8_0.1.x86_64      iptables-ebtables-1.8.2-9.el8_0.1.x86_64
  iptables-libs-1.8.2-9.el8_0.1.x86_64

Complete!

Mit nachfolgendem Befehl, wird das rpm-Paket - iptables-services installiert:

# dnf install iptables-services
Last metadata expiration check: 0:37:26 ago on Sat Dec 28 07:20:38 2019.
Dependencies resolved.
================================================================================
 Package                 Arch         Version                Repository    Size
================================================================================
Installing:
 iptables-services       x86_64       1.8.2-9.el8_0.1        BaseOS        58 k

Transaction Summary
================================================================================
Install  1 Package

Total download size: 58 k
Installed size: 20 k
Is this ok [y/N]: y
Downloading Packages:
iptables-services-1.8.2-9.el8_0.1.x86_64.rpm     51 kB/s |  58 kB     00:01    
--------------------------------------------------------------------------------
Total                                            26 kB/s |  58 kB     00:02     
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                        1/1 
  Installing       : iptables-services-1.8.2-9.el8_0.1.x86_64               1/1 
  Running scriptlet: iptables-services-1.8.2-9.el8_0.1.x86_64               1/1 
  Verifying        : iptables-services-1.8.2-9.el8_0.1.x86_64               1/1 

Installed:
  iptables-services-1.8.2-9.el8_0.1.x86_64                                      

Complete!

Mit nachfolgenden Befehlen kann überprüft werden, welche Inhalte mit den Paketen installiert wurden.

Paket iptables:

# rpm -qil iptables
Name        : iptables
Version     : 1.8.2
Release     : 9.el8_0.1
Architecture: x86_64
Install Date: Sat Dec 28 07:56:19 2019
Group       : Unspecified
Size        : 2050606
License     : GPLv2 and Artistic 2.0 and ISC
Signature   : RSA/SHA256, Sat Aug  3 20:59:25 2019, Key ID 05b555b38483c65d
Source RPM  : iptables-1.8.2-9.el8_0.1.src.rpm
Build Date  : Mon Jul  1 17:42:13 2019
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://www.netfilter.org/
Summary     : Tools for managing Linux kernel packet filtering capabilities
Description :
The iptables utility controls the network packet filtering code in the
Linux kernel. If you need to set up firewalls and/or IP masquerading,
you should either install nftables or this package.

Note: This package contains the nftables-based variants of iptables and
ip6tables, which are drop-in replacements of the legacy tools.
/etc/ethertypes
/etc/sysconfig/ip6tables-config
/etc/sysconfig/iptables-config
/usr/lib/.build-id
/usr/lib/.build-id/00
/usr/lib/.build-id/00/af1c0049bac09aade1858197681a2296678c59
/usr/lib/.build-id/01
/usr/lib/.build-id/01/2b908f4df2eeed27aa14c7014f4dfa0e71d936
/usr/lib/.build-id/02
/usr/lib/.build-id/02/def005f3898311755cfda14a446465cc842b9c
/usr/lib/.build-id/03
/usr/lib/.build-id/03/78cf3373f34033d043c08e4d1082aa931c4111
/usr/lib/.build-id/03/99260f75120f759c8fcabce43779424c4bcdf3
/usr/lib/.build-id/07
/usr/lib/.build-id/07/05e806eec60a161bd054c4c6188e5c902fae58
/usr/lib/.build-id/13
/usr/lib/.build-id/13/b3fb9501849388d276d943cf0ce208c1014cc9
/usr/lib/.build-id/14
/usr/lib/.build-id/14/58a8cb9b17f29c463a9d91974f53e8eb912522
/usr/lib/.build-id/15
/usr/lib/.build-id/15/58ff18e6bbb40c87acb6f8cfb37b33a8bed781
/usr/lib/.build-id/15/8acc84f283be0180433f0a526bf616fb7243f6
/usr/lib/.build-id/16
/usr/lib/.build-id/16/aef2faaecf629d77412bff1adeecf3ae741759
/usr/lib/.build-id/18
/usr/lib/.build-id/18/605760c0e73e2b0336933f689c0ab037b1f454
/usr/lib/.build-id/1c
/usr/lib/.build-id/1c/b17bbd07d9fe39df45ee2fb1b6db46b955f0d3
/usr/lib/.build-id/20
/usr/lib/.build-id/20/ce55118a471be106c2da615f5208563d1eca6b
/usr/lib/.build-id/23
/usr/lib/.build-id/23/b3ecb1feca7af3160f50aad8453a94121cc5e4
/usr/lib/.build-id/24
/usr/lib/.build-id/24/3dbce5592be8b2f9d25e85bd7c9fe8af2885a4
/usr/lib/.build-id/26
/usr/lib/.build-id/26/c6e513a6b876995a112f73d119bd7a4173845e
/usr/lib/.build-id/2d
/usr/lib/.build-id/2d/64899e25fab5d1f7bde96354505c23987a4ff2
/usr/lib/.build-id/2f
/usr/lib/.build-id/2f/000730cff1233b13f1b504c437ef29992e3062
/usr/lib/.build-id/30
/usr/lib/.build-id/30/f992bfb201a909acb54182b154b08f5247fdd3
/usr/lib/.build-id/31
/usr/lib/.build-id/31/2e1c5e3c61f8dbd00f313e409bf4bedeaa9219
/usr/lib/.build-id/34
/usr/lib/.build-id/34/57a9bc4fe42cb15e242c032c089717191762d1
/usr/lib/.build-id/35
/usr/lib/.build-id/35/94a7288a4d712991abf9098bb61e0b497a1e90
/usr/lib/.build-id/37
/usr/lib/.build-id/37/1183ec123a23d7e938a35eb65387e296db441d
/usr/lib/.build-id/38
/usr/lib/.build-id/38/1c1347d6888c9867ea4b9563e1bbb95f4215d8
/usr/lib/.build-id/38/e3ea88d93dbb5f43786f0cdb0ee3aa5f2e1ab3
/usr/lib/.build-id/3a
/usr/lib/.build-id/3a/daf68ca5ab0b130bad5e382cb70752e55bc7c8
/usr/lib/.build-id/3e
/usr/lib/.build-id/3e/e33f0045e22f0f24762f837cda64e648ee3311
/usr/lib/.build-id/3f
/usr/lib/.build-id/3f/cf9740e5164f237779005fe5c8f338cdd53459
/usr/lib/.build-id/40
/usr/lib/.build-id/40/13a21e88725cb913ea82fc47b40248907e6344
/usr/lib/.build-id/40/3104689e6cd7ae594493a33b6f461c5fd5be9b
/usr/lib/.build-id/42
/usr/lib/.build-id/42/148a337404dcd7b8f0b7b815e374f2ebd42eac
/usr/lib/.build-id/45
/usr/lib/.build-id/45/5e6c02349672c47f11d15e33045e635a0bfd9f
/usr/lib/.build-id/48
/usr/lib/.build-id/48/24e2ca1acda601644be34a8a543da29ede40a9
/usr/lib/.build-id/4c
/usr/lib/.build-id/4c/3b5209d86fb7b5063775eef20a0a99274169bd
/usr/lib/.build-id/4d
/usr/lib/.build-id/4d/7e85aa937e28ef905011e3201cfcf613e51a6f
/usr/lib/.build-id/4d/bd2312da7ded34c8231998eddc62d17e7c761e
/usr/lib/.build-id/4f
/usr/lib/.build-id/4f/202c966ff120248e02597c4785be8e5e0e1766
/usr/lib/.build-id/52
/usr/lib/.build-id/52/3afd6cf2757df7ef1d0e30311837345b433c5f
/usr/lib/.build-id/54
/usr/lib/.build-id/54/263be5bb11eef0b94596e2de822b73b9f662e6
/usr/lib/.build-id/56
/usr/lib/.build-id/56/53dade70551e986e356bffcee2def214fdb33a
/usr/lib/.build-id/57
/usr/lib/.build-id/57/217ce3b4e143464160b0cde995f5a7f634a39f
/usr/lib/.build-id/5d
/usr/lib/.build-id/5d/d6b381b61005e289b6552dd930c745228866f5
/usr/lib/.build-id/63
/usr/lib/.build-id/63/0676bbe027ccef1ef7be12a15cd10615ca0918
/usr/lib/.build-id/64
/usr/lib/.build-id/64/413c4782063f449bf15abfd2399e67bb1521d7
/usr/lib/.build-id/64/e2fcc77f87c84a9089e06b10947b79d12f3a84
/usr/lib/.build-id/6a
/usr/lib/.build-id/6a/285e6733f948aeab74d246ced751a0199ee8ad
/usr/lib/.build-id/6b
/usr/lib/.build-id/6b/c8f29990003224ea51fe4f53ecb2e490df507e
/usr/lib/.build-id/6c
/usr/lib/.build-id/6c/a8341b3bd40ab758963f223df9636cc41f82ff
/usr/lib/.build-id/6f
/usr/lib/.build-id/6f/f987bf4b4c9d5021597e6078e232900d55ca6f
/usr/lib/.build-id/71
/usr/lib/.build-id/71/5d0320a53479d1164cead0912c66da3b7ba363
/usr/lib/.build-id/73
/usr/lib/.build-id/73/9624e965faba662fc8dcfdabe31b8cbb4cea59
/usr/lib/.build-id/76
/usr/lib/.build-id/76/95d37db908a94b877f599c3e197fdf6c79dfbb
/usr/lib/.build-id/79
/usr/lib/.build-id/79/fae68a9c1f296425163a452605b65ace9e8db5
/usr/lib/.build-id/7b
/usr/lib/.build-id/7b/0114fed8b9372b94f328bbc53cfaf87f1bb97b
/usr/lib/.build-id/7e
/usr/lib/.build-id/7e/7e3199f20e8e1c9d3666b603fbc825b1922d06
/usr/lib/.build-id/7f
/usr/lib/.build-id/7f/7a3de11dbc5ff61a667ac036d5196a7cd6294a
/usr/lib/.build-id/81
/usr/lib/.build-id/81/ce8402f179a5ae105ce2520bb76523d5a76ca6
/usr/lib/.build-id/82
/usr/lib/.build-id/82/6fbb6f3d19d7e4ee6b64d34b0f4196fa1c6003
/usr/lib/.build-id/82/7b1685a08100cc544e10f2adf8d95e2aad0c0e
/usr/lib/.build-id/82/84728101648eb317d12f93be80aae8b503ba7f
/usr/lib/.build-id/82/e23157c94f486eaf8699d7d239e4db06786d8a
/usr/lib/.build-id/83
/usr/lib/.build-id/83/1785bcf0d3f19e81ff8cf846620331f351d50c
/usr/lib/.build-id/84
/usr/lib/.build-id/84/d7e7d074cea2acbd947b9d89c1618f1b3c482d
/usr/lib/.build-id/87
/usr/lib/.build-id/87/6c5430c0722e4ae2417e695643dff6603d5b9c
/usr/lib/.build-id/87/6c5430c0722e4ae2417e695643dff6603d5b9c.1
/usr/lib/.build-id/89
/usr/lib/.build-id/89/7d107124b8289734fb2c84532f855207b6f650
/usr/lib/.build-id/8e
/usr/lib/.build-id/8e/5618272e7f3c0a2743071a919be371ffcdcf05
/usr/lib/.build-id/8e/a6000e98a0815c651f4495481b37cc732efdbf
/usr/lib/.build-id/8f
/usr/lib/.build-id/8f/0c093ccc575aea81c5ade8a45eafd27a84cb25
/usr/lib/.build-id/90
/usr/lib/.build-id/90/79affc8b938972eb78bf140108ed1920475ae4
/usr/lib/.build-id/90/88317df7eaddce9a55a21e2bbcc9c7c81ff032
/usr/lib/.build-id/92
/usr/lib/.build-id/92/cd0d7ac8d44bff71d5b556beb98440d9fae827
/usr/lib/.build-id/95
/usr/lib/.build-id/95/400c869aabf49d757d2fcd9b371acad73b5fc1
/usr/lib/.build-id/99
/usr/lib/.build-id/99/cfade847beb1cfdf98efc40359d51ca24c4626
/usr/lib/.build-id/9c
/usr/lib/.build-id/9c/7574a172cac092a7508c422703a4820f1e24f9
/usr/lib/.build-id/9c/eef5a0171ea162fd2585ad2850b0b5d55c1cc3
/usr/lib/.build-id/9c/f9182c7e3fb023af6ebcd90fee1837f0c2d105
/usr/lib/.build-id/9f
/usr/lib/.build-id/9f/7689c479b571b530085f220d797e82e6ce5212
/usr/lib/.build-id/a1
/usr/lib/.build-id/a1/7ee45e147c5019983d727a27ce574639c3ffc5
/usr/lib/.build-id/a2
/usr/lib/.build-id/a2/c8e08ec594ceece961bf21f087f7556d32b696
/usr/lib/.build-id/a5
/usr/lib/.build-id/a5/f8333d190301cf464ee2dc3a97f5265020f769
/usr/lib/.build-id/a6
/usr/lib/.build-id/a6/8a1fb1796e32873012f7e644c1dca23a4b91f8
/usr/lib/.build-id/ab
/usr/lib/.build-id/ab/95150888236d39114c176dc2f50529f78e7a2e
/usr/lib/.build-id/ad
/usr/lib/.build-id/ad/bfeb27e603202adab8611aa2b257fab76bca7e
/usr/lib/.build-id/ae
/usr/lib/.build-id/ae/77eef0c339980f3a944a25cc86b0adbb7e2248
/usr/lib/.build-id/b7
/usr/lib/.build-id/b7/0fda1c8972e5910c56d7edef3756c97f573cde
/usr/lib/.build-id/b7/62dddc3b7e887432413266695bbfafe3dfc274
/usr/lib/.build-id/b9
/usr/lib/.build-id/b9/0049f173a7069974fb00440a2483c45c1e41ea
/usr/lib/.build-id/bf
/usr/lib/.build-id/bf/aecb6c98cc9725e2fef4fa22d58d5f84530a21
/usr/lib/.build-id/c2
/usr/lib/.build-id/c2/8dbbeb69967ee6a260feddb7370e0d42366407
/usr/lib/.build-id/c4
/usr/lib/.build-id/c4/af1ee310e63cf49f002e01b7face64a605eb8a
/usr/lib/.build-id/c7
/usr/lib/.build-id/c7/c115eed909b1893c7ba6646360409d046f112f
/usr/lib/.build-id/c8
/usr/lib/.build-id/c8/37a7163fa13c007b4492a74ce95747a0965424
/usr/lib/.build-id/c8/9c9fefc5ae1227facceb3a86a4e6b07e0108cc
/usr/lib/.build-id/d6
/usr/lib/.build-id/d6/27b175f4761b4172469a0c43e224d767b6c092
/usr/lib/.build-id/d8
/usr/lib/.build-id/d8/b075e104011215695391ba0e247002edd76d7e
/usr/lib/.build-id/d8/ea8569e570348ac6ef57f95cd6cb11450b6f23
/usr/lib/.build-id/dc
/usr/lib/.build-id/dc/afdea46fea8fd118991592660cb9aa50069d20
/usr/lib/.build-id/de
/usr/lib/.build-id/de/bf967fa59200ae0953a9f35a3cee31b853c06b
/usr/lib/.build-id/df
/usr/lib/.build-id/df/7f241b36383d952f6dab5c80557cc017d0f5dd
/usr/lib/.build-id/e1
/usr/lib/.build-id/e1/71d20bd9d9b2353f9652673967e2370e6aa786
/usr/lib/.build-id/e2
/usr/lib/.build-id/e2/23a7dc2320d5a38bd4393af6849521578661b6
/usr/lib/.build-id/e2/c489b0fe44d514919b372a65667a6f2dd94661
/usr/lib/.build-id/e5
/usr/lib/.build-id/e5/3d646bfc2850453acc2fe39a97e9da6b3266ef
/usr/lib/.build-id/e6
/usr/lib/.build-id/e6/69f4e3cb068824c627f808c61602a652f3d166
/usr/lib/.build-id/e6/dbdd6da138610335148ee3f3dca3f0b5ba67a0
/usr/lib/.build-id/e7
/usr/lib/.build-id/e7/eb338686a0a59bcd28acfdbc0db53efd500d98
/usr/lib/.build-id/e9
/usr/lib/.build-id/e9/49ad30e314d8f396bae5997ec30c133df7407b
/usr/lib/.build-id/e9/aac04c32de0417137f0d8719aba0fccff961af
/usr/lib/.build-id/e9/b20021911f9b24d8cd0093c9590ba0af562354
/usr/lib/.build-id/eb
/usr/lib/.build-id/eb/f4e47386d414c804df53390ed7199449e6ac3d
/usr/lib/.build-id/ee
/usr/lib/.build-id/ee/2aeb765673ff822ee12a647c2e70d79599ceb4
/usr/lib/.build-id/f0
/usr/lib/.build-id/f0/a94dea84193814c86138c5feba17336acd07fd
/usr/lib/.build-id/f0/cb357f507c4e970ed73abbaffa270db2a5eb11
/usr/lib/.build-id/f2
/usr/lib/.build-id/f2/8efe790a401da02b23edd3fa02ce4b21c02a6c
/usr/lib/.build-id/f3
/usr/lib/.build-id/f3/5f382af3e09a6dc8520986b5db3fd0a49058fa
/usr/lib/.build-id/f3/aa76517c9f2b39dbbedba0098188689479acd0
/usr/lib/.build-id/f5
/usr/lib/.build-id/f5/4ce85413e45caeb00d38e5a9897b2f119e834b
/usr/lib/.build-id/f5/529fd6ef77a0b37f3c21472e63c1206790bb5e
/usr/lib/.build-id/f6
/usr/lib/.build-id/f6/e3a9713af5b3337e7f7e8125813eada0b4c800
/usr/lib/.build-id/fa
/usr/lib/.build-id/fa/08cc8193c49bfe88b1d169a88e2e3af1b52ce6
/usr/lib/.build-id/fa/08cc8193c49bfe88b1d169a88e2e3af1b52ce6.1
/usr/lib/.build-id/fd
/usr/lib/.build-id/fd/8de8acac65c859584082b85e64d625ca5a4532
/usr/lib/.build-id/fd/cb7e91dabc5734737fa201cb8bd4e04babfb32
/usr/lib/.build-id/ff
/usr/lib/.build-id/ff/2855cf6daabe81aa0e82f9d30648265da2528b
/usr/lib64/xtables
/usr/lib64/xtables/libarpt_mangle.so
/usr/lib64/xtables/libebt_802_3.so
/usr/lib64/xtables/libebt_arp.so
/usr/lib64/xtables/libebt_arpreply.so
/usr/lib64/xtables/libebt_dnat.so
/usr/lib64/xtables/libebt_ip.so
/usr/lib64/xtables/libebt_ip6.so
/usr/lib64/xtables/libebt_log.so
/usr/lib64/xtables/libebt_mark.so
/usr/lib64/xtables/libebt_mark_m.so
/usr/lib64/xtables/libebt_nflog.so
/usr/lib64/xtables/libebt_pkttype.so
/usr/lib64/xtables/libebt_redirect.so
/usr/lib64/xtables/libebt_snat.so
/usr/lib64/xtables/libebt_stp.so
/usr/lib64/xtables/libebt_vlan.so
/usr/lib64/xtables/libip6t_DNAT.so
/usr/lib64/xtables/libip6t_DNPT.so
/usr/lib64/xtables/libip6t_HL.so
/usr/lib64/xtables/libip6t_LOG.so
/usr/lib64/xtables/libip6t_MASQUERADE.so
/usr/lib64/xtables/libip6t_NETMAP.so
/usr/lib64/xtables/libip6t_REDIRECT.so
/usr/lib64/xtables/libip6t_REJECT.so
/usr/lib64/xtables/libip6t_SNAT.so
/usr/lib64/xtables/libip6t_SNPT.so
/usr/lib64/xtables/libip6t_ah.so
/usr/lib64/xtables/libip6t_dst.so
/usr/lib64/xtables/libip6t_eui64.so
/usr/lib64/xtables/libip6t_frag.so
/usr/lib64/xtables/libip6t_hbh.so
/usr/lib64/xtables/libip6t_hl.so
/usr/lib64/xtables/libip6t_icmp6.so
/usr/lib64/xtables/libip6t_ipv6header.so
/usr/lib64/xtables/libip6t_mh.so
/usr/lib64/xtables/libip6t_rt.so
/usr/lib64/xtables/libip6t_srh.so
/usr/lib64/xtables/libipt_CLUSTERIP.so
/usr/lib64/xtables/libipt_DNAT.so
/usr/lib64/xtables/libipt_ECN.so
/usr/lib64/xtables/libipt_LOG.so
/usr/lib64/xtables/libipt_MASQUERADE.so
/usr/lib64/xtables/libipt_NETMAP.so
/usr/lib64/xtables/libipt_REDIRECT.so
/usr/lib64/xtables/libipt_REJECT.so
/usr/lib64/xtables/libipt_SNAT.so
/usr/lib64/xtables/libipt_TTL.so
/usr/lib64/xtables/libipt_ULOG.so
/usr/lib64/xtables/libipt_ah.so
/usr/lib64/xtables/libipt_icmp.so
/usr/lib64/xtables/libipt_realm.so
/usr/lib64/xtables/libipt_ttl.so
/usr/lib64/xtables/libxt_AUDIT.so
/usr/lib64/xtables/libxt_CHECKSUM.so
/usr/lib64/xtables/libxt_CLASSIFY.so
/usr/lib64/xtables/libxt_CONNMARK.so
/usr/lib64/xtables/libxt_CONNSECMARK.so
/usr/lib64/xtables/libxt_CT.so
/usr/lib64/xtables/libxt_DSCP.so
/usr/lib64/xtables/libxt_HMARK.so
/usr/lib64/xtables/libxt_IDLETIMER.so
/usr/lib64/xtables/libxt_LED.so
/usr/lib64/xtables/libxt_MARK.so
/usr/lib64/xtables/libxt_NFLOG.so
/usr/lib64/xtables/libxt_NFQUEUE.so
/usr/lib64/xtables/libxt_NOTRACK.so
/usr/lib64/xtables/libxt_RATEEST.so
/usr/lib64/xtables/libxt_SECMARK.so
/usr/lib64/xtables/libxt_SET.so
/usr/lib64/xtables/libxt_SYNPROXY.so
/usr/lib64/xtables/libxt_TCPMSS.so
/usr/lib64/xtables/libxt_TCPOPTSTRIP.so
/usr/lib64/xtables/libxt_TEE.so
/usr/lib64/xtables/libxt_TOS.so
/usr/lib64/xtables/libxt_TPROXY.so
/usr/lib64/xtables/libxt_TRACE.so
/usr/lib64/xtables/libxt_addrtype.so
/usr/lib64/xtables/libxt_bpf.so
/usr/lib64/xtables/libxt_cgroup.so
/usr/lib64/xtables/libxt_cluster.so
/usr/lib64/xtables/libxt_comment.so
/usr/lib64/xtables/libxt_connbytes.so
/usr/lib64/xtables/libxt_connlabel.so
/usr/lib64/xtables/libxt_connlimit.so
/usr/lib64/xtables/libxt_connmark.so
/usr/lib64/xtables/libxt_conntrack.so
/usr/lib64/xtables/libxt_cpu.so
/usr/lib64/xtables/libxt_dccp.so
/usr/lib64/xtables/libxt_devgroup.so
/usr/lib64/xtables/libxt_dscp.so
/usr/lib64/xtables/libxt_ecn.so
/usr/lib64/xtables/libxt_esp.so
/usr/lib64/xtables/libxt_hashlimit.so
/usr/lib64/xtables/libxt_helper.so
/usr/lib64/xtables/libxt_ipcomp.so
/usr/lib64/xtables/libxt_iprange.so
/usr/lib64/xtables/libxt_ipvs.so
/usr/lib64/xtables/libxt_length.so
/usr/lib64/xtables/libxt_limit.so
/usr/lib64/xtables/libxt_mac.so
/usr/lib64/xtables/libxt_mark.so
/usr/lib64/xtables/libxt_multiport.so
/usr/lib64/xtables/libxt_nfacct.so
/usr/lib64/xtables/libxt_osf.so
/usr/lib64/xtables/libxt_owner.so
/usr/lib64/xtables/libxt_physdev.so
/usr/lib64/xtables/libxt_pkttype.so
/usr/lib64/xtables/libxt_policy.so
/usr/lib64/xtables/libxt_quota.so
/usr/lib64/xtables/libxt_rateest.so
/usr/lib64/xtables/libxt_recent.so
/usr/lib64/xtables/libxt_rpfilter.so
/usr/lib64/xtables/libxt_sctp.so
/usr/lib64/xtables/libxt_set.so
/usr/lib64/xtables/libxt_socket.so
/usr/lib64/xtables/libxt_standard.so
/usr/lib64/xtables/libxt_state.so
/usr/lib64/xtables/libxt_statistic.so
/usr/lib64/xtables/libxt_string.so
/usr/lib64/xtables/libxt_tcp.so
/usr/lib64/xtables/libxt_tcpmss.so
/usr/lib64/xtables/libxt_time.so
/usr/lib64/xtables/libxt_tos.so
/usr/lib64/xtables/libxt_u32.so
/usr/lib64/xtables/libxt_udp.so
/usr/sbin/ip6tables
/usr/sbin/ip6tables-restore
/usr/sbin/ip6tables-restore-translate
/usr/sbin/ip6tables-save
/usr/sbin/ip6tables-translate
/usr/sbin/iptables
/usr/sbin/iptables-apply
/usr/sbin/iptables-restore
/usr/sbin/iptables-restore-translate
/usr/sbin/iptables-save
/usr/sbin/iptables-translate
/usr/sbin/xtables-monitor
/usr/sbin/xtables-nft-multi
/usr/share/doc/iptables
/usr/share/doc/iptables/INCOMPATIBILITIES
/usr/share/licenses/iptables
/usr/share/licenses/iptables/COPYING
/usr/share/man/man8/ip6tables-restore.8.gz
/usr/share/man/man8/ip6tables-save.8.gz
/usr/share/man/man8/ip6tables.8.gz
/usr/share/man/man8/iptables-apply.8.gz
/usr/share/man/man8/iptables-extensions.8.gz
/usr/share/man/man8/iptables-restore.8.gz
/usr/share/man/man8/iptables-save.8.gz
/usr/share/man/man8/iptables.8.gz
/usr/share/man/man8/nfnl_osf.8.gz
/usr/share/man/man8/xtables-monitor.8.gz
/usr/share/man/man8/xtables-nft.8.gz
/usr/share/man/man8/xtables-translate.8.gz

Paket iptables-services:

# rpm -qil iptables-services
Name        : iptables-services
Version     : 1.8.2
Release     : 9.el8_0.1
Architecture: x86_64
Install Date: Sat Dec 28 07:58:08 2019
Group       : System Environment/Base
Size        : 20132
License     : GPLv2 and Artistic 2.0 and ISC
Signature   : RSA/SHA256, Sat Aug  3 20:59:56 2019, Key ID 05b555b38483c65d
Source RPM  : iptables-1.8.2-9.el8_0.1.src.rpm
Build Date  : Mon Jul  1 17:42:13 2019
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://www.netfilter.org/
Summary     : iptables and ip6tables services for iptables
Description :
iptables services for IPv4 and IPv6

This package provides the services iptables and ip6tables that have been split
out of the base package since they are not active by default anymore.
/etc/sysconfig/ip6tables
/etc/sysconfig/iptables
/usr/lib/systemd/system/ip6tables.service
/usr/lib/systemd/system/iptables.service
/usr/libexec/initscripts/legacy-actions/ip6tables
/usr/libexec/initscripts/legacy-actions/ip6tables/panic
/usr/libexec/initscripts/legacy-actions/ip6tables/save
/usr/libexec/initscripts/legacy-actions/iptables
/usr/libexec/initscripts/legacy-actions/iptables/panic
/usr/libexec/initscripts/legacy-actions/iptables/save
/usr/libexec/iptables
/usr/libexec/iptables/ip6tables.init
/usr/libexec/iptables/iptables.init

Dienst/Deamon-Start einrichten

Um iptables und ip6tables, welche als Dienste/Deamons als Hintergrundprozesse laufen, auch nach einem Neustart des Servers zur Verfügung zu haben, sollen die Dienste/Daemons mit dem Server mit gestartet werden, was mit nachfolgenden Befehlen realisiert werden kann:

# systemctl enable iptables.service
Created symlink /etc/systemd/system/basic.target.wants/iptables.service → /usr/lib/systemd/system/iptables.service.

und

# systemctl enable ip6tables.service
Created symlink /etc/systemd/system/basic.target.wants/ip6tables.service → /usr/lib/systemd/system/ip6tables.service.

Eine Überprüfung, ob beim Neustart des Server der iptables-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben:

# systemctl list-unit-files --type=service | grep -E ^ip't|6'
ip6tables.service                           enabled        
iptables.service                            enabled

bzw.

# systemctl is-enabled iptables.service
enabled

und

# systemctl is-enabled ip6tables.service
enabled

Erster Start

iptables

Nachfolgender Befehl führt den ersten Start des Dienstes/Daemons iptables aus:

# systemctl start iptables.service

Mit nachfolgendem Befehl kann ünberprüft werden, ob der Dienst/Daemon ordnungsgemäß gestartet wurde und läuft:

# systemctl status iptables.service
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor pr>
   Active: active (exited) since Sat 2019-12-28 08:06:00 CET; 8s ago
  Process: 9573 ExecStart=/usr/libexec/iptables/iptables.init start (code=exite>
 Main PID: 9573 (code=exited, status=0/SUCCESS)

Dec 28 08:06:00 localhost.localdomain systemd[1]: Starting IPv4 firewall with i>
Dec 28 08:06:00 localhost.localdomain iptables.init[9573]: iptables: Applying f>
Dec 28 08:06:00 localhost.localdomain systemd[1]: Started IPv4 firewall with ip>

Nachfolgender Befehl überprüft, ob eine Regelsatz aktiv ist:

# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  148 10796 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 84 packets, 10872 bytes)
 pkts bytes target     prot opt in     out     source               destination

ip6tables

Nachfolgender Befehl fürt den ersten Start des Dienstes/Daemons ip6tables aus:

# systemctl start ip6tables.service

Mit nachfolgendem Befehl kann ünberprüft werden, ob der Dienst/Daemon ordnungsgemäß gestartet wurde und läuft:

# systemctl status ip6tables.service
● ip6tables.service - IPv6 firewall with ip6tables
   Loaded: loaded (/usr/lib/systemd/system/ip6tables.service; enabled; vendor p>
   Active: active (exited) since Sat 2019-12-28 08:37:13 CET; 44s ago
  Process: 15116 ExecStart=/usr/libexec/iptables/ip6tables.init start (code=exi>
 Main PID: 15116 (code=exited, status=0/SUCCESS)

Dec 28 08:37:13 localhost.localdomain systemd[1]: Starting IPv6 firewall with i>
Dec 28 08:37:13 localhost.localdomain ip6tables.init[15116]: ip6tables: Applyin>
Dec 28 08:37:13 localhost.localdomain systemd[1]: Started IPv6 firewall with ip>

Nachfolgender Befehl überprüft, ob eine Regelsatz aktiv ist:

# ip6tables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 state NEW tcp dpt:22
    0     0 ACCEPT     udp      *      *       ::/0                 fe80::/64            udp dpt:546 state NEW
    0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Weitere Informationen

Weiterführende Informationen zu iptables innerhlab dieses DokuWikis können unter nachfolgendm internen Link abgerufen werden:

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
tachtler/centos_8_-_iptables.txt · Zuletzt geändert: 2020/04/25 10:24 von klaus