Das Accounting
Für Abrechnungszwecke oder um die Auslastung von Leitungen zu prüfen ist es notwendig
Informationen über die übertragenen Pakete zu erhalten. Die Accounting Informationen sind bei
Ipchains Bestandteil der normalen Regeln und werden automatisch mitgeführt. Gleichzeitig
wurden alle Zähler von 32 auf 64
Bit Breite umgestellt, so daß ein Überlauf auch bei
schnellen Schnittstellen sehr unwahrscheinlich ist. Die Anzeige der Zähler erfolgt über
das erweiterte List Kommando. Ein
<![CDATA[
ipchains -L -v output
]]>
Listet alle Ausgaberegeln auf, und gibt für jede Regel an, wie viele Pakete und wie
viele Bytes den Rechner verlassen haben. Das Zurücksetzen der Werte erfolgt mit
dem '-Z' (zap) Kommando. Eine schöne Neuerung in Ipchains ist die Möglichkeit das
Erfragen und Rücksetzen der Zählerstände atomar durchzuführen. Das Kommando
<![CDATA[
ipchains -L -v -Z
]]>
zeigt die aktuellen Werte an, und löscht sie gleichzeitig. Es kann also kein Paket
mehr zwischen dem Anzeigen des Zählerstandes und seinem Zurücksetzen verlorengehen.
Sichern und Wiederherstellen von Chains
Die Regeln der
IP Chain sind flüchtig: Nach dem nächsten
Booten sind sie nicht mehr aktiv
und müssen daher im Verlauf des Bootvorgangs erneut gesetzt werden. Je nach persönlichen
Vorlieben und Wahl der
Distribution kann dies auf unterschiedlichem Weg erfolgen. Die beliebte
Suse Distribution schlägt vor, daß die Regeln in der Datei '/etc/rc.d/firewall' eingetragen
werden. Dieses Skript wird dann automatisch bei erreichen des entsprechenden Runlevels
ausgeführt. Gerade in der Erprobungsphase eines Firewalls gibt man viele Regeln interaktiv in
der Shell ein. Hat man nun eine große Anzahl solcher Regeln definiert, ist es mühsam sie
erneut in ein Skript zu schreiben. Des weiteren besteht bei diesem manuellen Übertragen der
Regeln die Gefahr von Fehlern. Aus diesem Grund ist das Programm 'ipchains-save', das zum
Umfang des Ipchains Paketes gehört sehr praktisch: Es gibt alle aktuellen Regeln aus,
so daß sie in eine Datei geschrieben werden können. Das Gegenstück 'ipchains-restore'
ließt diese Datei und setzt die Regeln entsprechend neu.
