Rechner dicht machen: IPChains unter Linux

Eigene Chains
Das Konfigurieren eines Firewalls erfordert mitunter viele Regeln. Eine große Zahl von Regeln wird aber schnell unübersichtlich und damit fehleranfällig. Deswegen erlaubt es IP Chain, Regeln zu gruppieren und zusammenzufassen. Um eine Gruppe von Regeln anzulegen, erzeugt man zunächst eine eigene Chain. Das Kommando dafür lautet

ipchains -N Name Der Name der Chain ist auf 8 Zeichen begrenzt, Groß- und Kleinschreibung ist relevant. Die vordefinierten Namen könen nicht verwendet werden. Am besten verwendet man hier nur Kleinbuchstaben, um bei späteren Erweiterungen des Programms keine Konflikte auszulösen. Hat man eine eigene Chain erzeugt, so können ihr mit den normalen Befehlen Regeln zugewiesen werden. Anstelle der Defaultnamen wird nun einfach der Name der neuen Chain verwendet. Eine eigene Chain löscht man mittels

ipchains -X Name Allerdings können nur leere Chains gelöscht werden, die nicht als Ziel in einer anderen Chain verwendet werden. Um eine Chain zu leeren bedient man sich wie gehabt des Flush Kommandos '-F'. Eine neu definierte Chain ist zunächst inaktiv. Kein Paket wird an sie weitergeleitet. Um sie einzubinden muß man sie in einer der default Chains als Jump Target angeben. Das Kommando

ipchains -A input -j my-input leitet beispielsweise alle Pakete die am Rechner ankommen an die eigene Input Chain weiter. Hat die eigene Chain keine passende Regel für das Paket, so kommt es zurück zur default Chain und wird dort weiterverarbeitet.

Protokolle
Ipchains ist in der Lage das ausführen einer Regel zu protokollieren. Dem Kommando zum einrichten der Regel wird dazu einfach der Parameter '-l' angehängt. Im Normalfall wird man nur Regeln protokollieren, die selten aufgerufen werden und die Pakete zurückweisen. Erlaubt man zum Beispiel den Zugriff auf einen lokalen Webserver über einen Firewall, so kann es interessant sein, Zugriffe auf alle anderen Ports zu protokollieren.

Für gewöhnlich geht einem Einbruchsversuch ein sondieren der Lage voraus. Im Protokoll tauchen dann plötzlich viele Zugriffe auf gesprerrte Ports auf, die den Administrator warnen können. Auf der anderen Seiten können ungewöhnliche Pakete die von Rechnern innerhalb der Firewall stammen und die zurückgewiesen werden auf installierte trojanische Pferde auf diesen Rechnern hinweisen. Die Protokollinformationen werden über den Syslog Mechanismus in die entsprechenden Dateien geschrieben. IPChains verwendet Facility 'kernel' und den Level 'info' um seine Nachrichten zu klassifizieren.