Du musst kein Netzwerkspezialist sein oder iptables in- und auswendig kennen. Du solltest aber die Grundlagen verstanden haben. Spätestens wenn du dir ansiehst wie z.B. Kubernetes Netzwerke aufspannt wirst du dieses Wissen benötigen.
Ziele
- Du kennst die grundsätzlichen "Bestandteile" von
iptables- Tables
- Chains
- Rules
- Targets
- Du verstehst was
drop,reject,returnundacceptmachen. - Du kennst die 4 default
tables - Wie kannst du dir iptables Regeln für den
Filtertable anzeigen lassen? - Wie kann eine spezifische iptables rule gelöscht werden?
- Was kann ich mir bei den
INPUT,OUTPUTundFORWARDchains imFiltertable vorstellen? - Erkläre
PREROUTINGundPOSTROUTINGimNATtable. - Du weißt was chain policy ist. Was ist der übliche default Wert dafür?
- Du kannst einfache
iptablesRegeln z.B. für das blocken von bestimmten Traffic oder das freigeben schreiben. - Du weißt was
ufwist.
Inhalte
Du musst nicht alle Inhalte ansehen. Wähle die, die dir am besten gefallen.
- Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals Show archive.org snapshot
- Iptables Tutorial: Ultimate Guide to Linux Firewall Show archive.org snapshot
- Iptables Essentials: Common Firewall Rules and Commands Show archive.org snapshot
man iptables
Aufgaben
-
Erkläre die folgenden
iptablesRegeln:iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-
Erstelle dir 2 VMs/LXC Container. Erstelle das Netzwerk so, dass die Instanzen miteinander kommunizieren können und auch das Hostsystem diese erreichen kann.
-
Eingehender Netzwerktraffic soll per default ins
droptarget laufen. -
Installiere auf einem von beiden
Nginx. Erstelle eine Firewall Regel, dass der andere Container diesen Port erreichen kann. -
Installiere SSH auf beiden Servern. Erstelle eine Firewall Regel, dass dein Host System den Port erreichen kann.
-
Besprich zusammen mit deinem Mentor diese Grafik von Wikipedia Show archive.org snapshot .
-
Wirf einen kurzen Blick auf das tool
ufw.
