Firewalls: "LINUX iptables - kurz & gut"

[Helmut]

Autor: Gregor N. Purdy
Deutsche Übersetzung von Peter Klicman
1. Auflage 2005
ISBN 3-89721-506-3
Seiten 100
EUR8.00, SFR13.90

http://www.oreilly.de/catalog/lnxiptablesprger/

"LINUX iptables - KURZ & GUT" ist ein Taschenbuch von 100 Seiten aus der bekannten Reihe mit Kurz-Referenzen des O'Reilly-Verlags.

Der Titel beschäftigt sich mit dem Linux-Firewall-System "Netfilter", das mit der Kernel-Version 2.4 als Ablösung für "ipchains" eingeführt worden ist.

Das Netfilter-System ist auch bekannt unter dem Namen seines wichtigsten Administrationskommandos: "iptables".

Netfilter oder "iptables" wird eingesetzt, um unter Linux Firewall-Systeme zu erstellen und zu konfigurieren.

Das Buch "LINUX iptables - KURZ & GUT" gliedert sich in zwei Teile. Neben der Befehls-Referenz, die den Hauptteil des Buches einnimmt, gibt es vorab auf 22 Seiten eine gründliche Einführung in das Thema und eine kompakte Übersicht. Hier werden die Grundbegriffe und Zusammenhänge von "iptables" in aller Kürze hervorragend erläutert.

Besonders hervorzuheben sind die Diagramme, die verdeutlichen, wie der Paketfluss bei den verschiedenen Bearbeitungsarten NATting, Filtering und Mangling aussieht und welche Einstiegspunkte (Hooks) hier jeweils genutzt werden können (PREROUTING, INPUT, FORWARD, POSTROUTING, OUTPUT). Diese Übersicht ist auch für Umsteiger von "ipchains" wichtig, weil sich der Paketfluss von "ipchains" zu "iptables" geändert hat.

Insbesondere, wenn Pakete mehrfach behandelt werden, also NAT und Filter, evtl. auch noch Mangling zur Anwendung kommt, ist es schon von Bedeutung, sich klar zu machen, in welcher Reihenfolge bestimmte Bearbeitungen erfolgen werden!

Als nächstes wird der Aufbau von "iptables"-Regeln aus "Matches" und "Targets" erläutert. Auf die "Matches" und die vordefinierten "Targets" geht dann der zweite Teil des Buches, die Referenz detailliert ein.

Vorher gibt es aber noch einen wertvollen Abschnitt, in dem die verschiedenen Einsatzmöglichkeiten für "iptables" näher erläutert werden; Paketfilter, Accounting, Connection Tracking, Paket-Manupulationen, Network Address Translation (NAT), Masquerading, Port-Forwarding und Load-Balancing.

Kommen wir nun also zur Befehlsreferenz. Auch bei einem Preis von 8 Euro mag hier nun mancher sagen, "Wozu soll ich denn da Geld ausgeben? Das gibt es doch alles im Internet!". Tja, irgendwie sicher schon. Aber hier gibt es alles zusammen, im Überblick und mit wertvollen Hinweisen angereichert.

Das sind so Kleinigkeiten, wie

• unter welchen Bedingungen bestimmte Matches tatsächlich verfügbar sind (z.B. welche Kernel-Optionen notwendig sind)
  
• Hinweise auf Fehler in den Manpages bestimmter Versionen (Option -C in V1.2.7a wird beschrieben, existiert aber nicht!)
  
• Warnungen vor Missverständnissen (z.B. warum die Option FASTROUTE für eine Firewall keine gute Idee ist)
  
• praktische Zusatzinformationen (wie z.B. Aufbau von Headern, Bedeutung von Flags, ICMP-Typen und Codes) immer genau passend da, wo sie benötigt werden
  

und ähnliches mehr.

Im umfangreichen Referenzteil des Buches macht die eigentlich "Befehlsreferenz" für iptables einschließlich der Subbefehle gerade mal drei Seiten aus! Das reicht auch völlig aus. Der Schwerpunkt des Referenzteils liegt auf der Vorstellung und Erläuterung der Match-Klauseln und der vordefinierten Targets.

"Matches" bieten vielfältige Möglichkeiten, Bedingungen zu formulieren, um aus dem Strom der IP-Pakete diejenigen herauszugreifen, die in der einen oder anderen Weise bearbeitet werden sollen. Was mit den Paketen dann geschehen soll, legen die Targets fest.

Dieser Teil bietet sich nicht nur als Referenz, also zum Nachschlagen an, sondern auch, um sich mal schnell einen Überblick über die Leistungsfähigkeit des Netfilter-Systems zu verschaffen! Man kann leicht von Punkt zu Punkt springen und weiss meist schon nach dem ersten Satz, ob dieser Match oder dieses Target vor dem Hintergrund des eigenen Vorhabens eine weitere Vertiefung lohnt oder ob man momentan darüber hinwegspringen kann.

Der besprochene Titel ist die deutsche Übersetzung des englisch-sprachigen Originals. Die Übersetzung ist gelungen und fällt an keiner Stelle unangenehm auf! Wer es aber trotzdem möchte, kann den Titel auch im Original bekommen:

http://www.oreilly.de/catalog/lnxiptablespr/

Gregor N. Purdy: "Linux iptables Pocket Reference", 1st Edition September 2004, ISBN 0-596-00569-5, Seiten 96, EUR9.90, SFR16.90


Fazit:

"LINUX iptables - KURZ & GUT" eignet sich zum einen für den Einsteiger in "iptables" als kompakte, preiswerte Übersicht, durchaus auch für Interessenten, die sich einfach mal nur informieren wollen, wie "iptables" funktioniert und was man damit anstellen kann.

Zum anderen ist der Titel aber auch ein wertvoller Begleiter für den Firewall-Profi, der mit diesem Büchlein immer eine handliche Referenz parat hat, die den gesamten Leistungsumfang von "iptables" abdeckt.



Helmut Elschner
http://hitforum.de