Verwalten von IPtables

Das administrative Tool zum Verwalten der IP-Paketfilterung für das Betriebssystem Linux wird als iptables bezeichnet. Für everRun-Systeme wurde die Arbeit mit iptables vereinfacht und optimiert. Auf der Seite IPtables-Sicherheit können Sie die verschiedenen Filtertabellenketten sowie die zugrunde liegenden Regeln einrichten, verwalten und untersuchen. Sie haben Zugriff auf die drei Hauptketten (INPUT, OUTPUT und FORWARD), um die Paketfilterungsregeln anzuwenden, die Sie benötigen. Bei everRun-Systemen werden die Regeln auf das Hostbetriebssystem jeder physischen Maschine (PM) angewendet, sowohl für IPv4- als auch IPv6-Pakete, und die Regeln bleiben auch nach einem Neustart bestehen.

Wenn Sie eine Regel einfügen, geben Sie eine Kette (INPUT, OUTPUT oder FORWARD) und eine Regelkennung an. Bei der Verarbeitung von eingehenden Paketen wendet der Kernel die Regeln an, die mit der INPUT-Kette verknüpft sind, und bei der Verarbeitung von ausgehenden Paketen die mit der OUTPUT-Kette verknüpften Regeln. Der Kernel wendet die Regeln, die mit der FORWARD-Kette verknüpft sind, an, wenn eingehende Pakete empfangen werden, die an einen anderen Host geleitet werden müssen. Regeln werden in der Reihenfolge ihrer Regelkennung angewendet. (Eine Regelkennung ähnelt einer Zeilenkennung, wobei zum Beispiel Regelkennung 1 Zeile 1 entspricht.) Anstatt selbst Regeln zu erstellen, können Sie jedoch auch Standardeinstellungen für die Regeln laden.

Auf der Seite IPtables-Sicherheit wird eine separate Tabelle für jede der drei Ketten mit den jeweils verknüpften Regeln angezeigt. Die Regeln einer bestimmten Kette sind nach Regelkennung sortiert. In den Spalten werden der Netzwerkname, der Netzwerktyp, das Protokoll und weitere Informationen angezeigt. Verwenden Sie ggf. die Bildlaufleiste an der rechten Seite, um alle Regeln anzuzeigen, und die Bildlaufleisten am unteren Rand, um alle Spalten zu sehen. Weitere Informationen zu den iptables-Funktionen finden Sie im Linux-Handbuch auf den Seiten für iptables.

Sie können optional auch festlegen, dass die Regeln nicht nur auf das Hostbetriebssystem, sondern auch auf das Gastbetriebssystem angewendet werden. Standardmäßig gelten die Regeln nur für das Hostbetriebssystem, nicht für die Gastbetriebssysteme. Wenn Sie festlegen, dass die Regeln auch für die Gäste gelten sollen, werden alle vorhandenen Regeln, importierten Regeln und neu eingefügten Regeln auch auf alle Gastbetriebssysteme angewendet (das gilt für Regeln, die auf demselben Unternehmensnetzwerk basieren, das dem Gast zugewiesen wurden).

Hinweise:  
  1. Informationen zu den Ports, die die everRun-Software verwendet, finden Sie unter Übersicht über die Systemanforderungen.
  2. Weitere Informationen zu everRun TCP- und UDP-Ports finden Sie in der Knowledge Base im Artikel TCP and UDP ports used by everRun 7 (KB-2123). Siehe Zugriff auf Artikel in der Knowledge Base.

Um die IPtables zu verwalten, müssen Sie zuerst die IPtables-Sicherheit aktivieren, falls Sie dies noch nicht getan haben.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.
  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

  3. Aktivieren Sie das Kontrollkästchen neben IPtables-Sicherheit aktivieren.

    Das Fenster IPtables-Sicherheit aktivieren wird einige Minuten lang grau. Wenn das Fenster wieder aktiv wird, ist IPtables-Sicherheit aktivieren ausgewählt.

Standardmäßig werden Regeln nur auf den Host angewendet. Es ist aber möglich, die Regeln auch auf Gäste anzuwenden.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.

  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

    Vergewissern Sie sich, dass IPtables-Sicherheit aktivieren ausgewählt ist.

  3. Standardmäßig ist Auf Host anwenden ausgewählt:

    Wählen Sie Auf Host und Gäste anwenden, um die Regeln sowohl auf das Hostbetriebssystem als auch auf Gastbetriebssysteme anzuwenden. Das Fenster Portverwaltung aktivieren wird einige Minuten lang grau.

    Wenn Auf Host und Gäste anwenden ausgewählt ist, werden alle vorhandenen Regeln, importierten Regeln und neu eingefügten Regeln auch auf alle Gastbetriebssysteme angewendet (das gilt für Regeln, die auf demselben Unternehmensnetzwerk basieren, das dem Gast zugewiesen wurden).

Fahren Sie fort, indem Sie eine neue Regel einfügen, eine Regel entfernen, Standardeinstellungen laden, Regeln importieren oder Regeln exportieren.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.

  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

    Vergewissern Sie sich, dass IPtables-Sicherheit aktivieren ausgewählt ist.

  3. Klicken Sie auf die Schaltfläche Neue Regel einfügen, um das Popupfenster Neue Regel einfügen zu öffnen.
  4. Legen Sie im Popupfenster Neue Regel einfügen Werte für Folgendes fest:
    • Kette – Wählen Sie in der Dropdownliste INPUT, OUTPUT oder FORWARD aus.
    • Regelkennung – Geben Sie eine Zahl ein, um die Reihenfolge für die Verarbeitung der Regeln festzulegen. Beginnen Sie mit 1 und geben Sie höchstens den Wert ein, welcher der Gesamtzahl der Regeln in der Kette entspricht. Jede Regelkennung darf nur einmal vorkommen.

      Wenn Sie eine Zahl eingeben, die bereits einer Regel zugewiesen ist, wird der Wert der bestehenden Regel um 1 erhöht (sowie ggf. auch der aller folgenden Regeln), und die eingegebene Zahl wird der neuen Regel zugewiesen. Wenn zum Beispiel Regelkennung 1 bereits vorhanden ist und Sie 1 für die neue Regel eingeben, wird die vorhandene Regelkennung 1 zu Regelkennung 2, die vorhandene Regelkennung 2 (falls es sie gibt) wird zu Regelkennung 3 usw.

    • Gemeinsames Netzwerk – Wählen Sie ein Netzwerk aus der Dropdownliste aller verfügbaren freigegebenen Netzwerke aus.

    • Protokoll – Wählen Sie udp, tcp oder alle.

      Wenn Sie alle wählen, werden die Felder Gruppierung und Portnummer inaktiv (grau), weil in diesem Fall kein Bereich von Portnummern angegeben werden muss.

    • Ziel – Wählen Sie auslassen, akzeptieren oder ablehnen als Aktion, die auf die Pakete angewendet werden soll, welche die Regelkriterien erfüllen.
    • Portnummer (ab) – Geben Sie für den ersten Port des Bereichs eine Zahl zwischen 0 und 65535 ein, die nicht größer ist als Portnummer (bis).
    • Portnummer (bis) – Geben Sie für den letzten Port des Bereichs eine Zahl zwischen 0 und 65535 ein, die nicht kleiner ist als Portnummer (ab).
    • IP-Adresse (ab) – Geben Sie für die erste IPv4-Adresse des Bereichs eine Adresse zwischen 0.0.0.0 und 255.255.255.255 ein, die nicht größer ist als IP-Adresse (bis).
    • IP-Adresse (bis) – Geben Sie für die letzte IPv4-Adresse des Bereichs eine Adresse zwischen 0 und 255.255.255.255 ein, die nicht kleiner ist als IP-Adresse (ab).
    • IPv6-Adresse (ab) – Geben Sie für die erste IPv6-Adresse des Bereichs eine Adresse zwischen 0000:0000:0000:0000:0000:0000:0000:0000 und ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff ein, die nicht größer ist als IPv6-Adresse (bis).
    • IPv6-Adresse (bis) – Geben Sie für die letzte IP-Adresse des Bereichs eine Adresse zwischen 0000:0000:0000:0000:0000:0000:0000:0000 und ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff ein, die nicht kleiner ist als IPv6-Adresse (ab).

    Klicken Sie auf Einfügen, um die neue Regel einzufügen.

  5. Standardmäßig werden neu eingefügte Regeln nur auf den Host angewendet. Wenn die Regeln für den Host und die Gastbetriebssysteme gelten sollen, lesen Sie So wenden Sie Regeln nicht nur auf den Host, sondern auch auf Gastbetriebssysteme an.

  6. Klicken Sie unten auf der Seite auf Speichern oder auf Zurücksetzen, um nicht gespeicherte Änderungen zu verwerfen, womit die Regeln auf die der zuletzt gespeicherten Sitzung zurückgesetzt werden.

    Nachdem die neue Regel gespeichert wurde, wird sie auf der Seite IPtables-Sicherheit in der entsprechenden Kette angezeigt.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.

  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

    Vergewissern Sie sich, dass IPtables-Sicherheit aktivieren ausgewählt ist.

    (Auf Host anwenden und Auf Host und Gäste anwenden haben keinen Effekt beim Entfernen von Regeln.)

  3. Wählen Sie die Regel aus, die Sie entfernen möchten.
  4. Klicken Sie (in der Spalte ganz rechts) für die ausgewählte Regel auf Entfernen.

  5. Klicken Sie unten auf der Seite auf Speichern oder auf Zurücksetzen, um nicht gespeicherte Änderungen zu verwerfen, womit die Regeln auf die der zuletzt gespeicherten Sitzung zurückgesetzt werden.

    Nachdem die Regel entfernt wurde, wird sie auf der Seite IPtables-Sicherheit nicht mehr angezeigt.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.

  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

    Vergewissern Sie sich, dass IPtables-Sicherheit aktivieren ausgewählt ist.

  3. Klicken Sie unten auf der Seite auf Standardeinstellungen laden.

    Es wird eine Warnung angezeigt: Die aktuellen Einstellungen werden von den ursprünglichen Einstellungen überschrieben! Klicken Sie auf OK, wenn Sie die Standardeinstellungen laden möchten, oder klicken Sie auf Abbrechen, um das Laden der Standardeinstellungen abzubrechen. Wenn Sie auf OK klicken, bleibt das Fenster Portverwaltung aktivieren einige Minuten lang grau und die Meldung Laden der Standardeinstellungen.... wird angezeigt.

  4. Standardmäßig werden Standardregeln nur auf den Host angewendet. Wenn die Regeln für den Host und die Gastbetriebssysteme gelten sollen, lesen Sie So wenden Sie Regeln nicht nur auf den Host, sondern auch auf Gastbetriebssysteme an.

  1. Klicken Sie im linken Navigationsbereich auf Voreinstellungen, um die Seite Voreinstellungen zu öffnen.

  2. Klicken Sie auf der Seite Voreinstellungen auf IPtables-Sicherheit.

    Vergewissern Sie sich, dass IPtables-Sicherheit aktivieren ausgewählt ist.

  3. Klicken Sie unten auf der Seite auf Importieren oder Exportieren.

    • Importieren – Der Assistent zum Importieren/Wiederherstellen der IPtables-Sicherheitsregeln wird eingeblendet. Navigieren Sie zu der XML-Datei, die Sie importieren möchten, und wählen Sie sie aus. Alle Regeln, die in der importierten XML-Datei mit dem Typ eines gemeinsamen Netzwerks verknüpft sind, werden für jedes vorhandene gemeinsame Netzwerk im System, das denselben Typ aufweist, generiert.

      Nachdem Sie eine XML-Datei ausgewählt haben, wird die folgende Meldung angezeigt:

      Mit Anhängen bleibt der aktuelle Regelsatz erhalten.  Wählen Sie Überschreiben, um alle aktuellen Regeln zu löschen.

      Klicken Sie auf die entsprechende Schaltfläche:

      • Anhängen – Die ausgewählte XML-Datei wird an die vorhandene XML angehängt, wobei die vorhandenen Regeln erhalten bleiben.
      • Überschreiben – Die ausgewählte XML-Datei überschreibt die vorhandene XML, wobei die vorhandenen Regeln gelöscht werden.
    • Exportieren – Es wird ein Dateiexplorer-Fenster eingeblendet. Navigieren Sie zu einem Speicherort auf Ihrem lokalen System, an dem Sie die Datei mit den exportierten Regeln speichern wollen. Alle Regeln in der Tabelle werden in eine XML-Datei exportiert, die dann zum ausgewählten Speicherort heruntergeladen wird.

  4. Standardmäßig werden importierte Regeln nur auf den Host angewendet. Wenn die Regeln für den Host und die Gastbetriebssysteme gelten sollen, lesen Sie So wenden Sie Regeln nicht nur auf den Host, sondern auch auf Gastbetriebssysteme an.

  5. Wenn Sie eine Datei importiert haben, klicken Sie auf Speichern (oder auf Zurücksetzen, um die zuvor gespeicherten Werte wiederherzustellen).

Verwandte Themen

Die Seite „Voreinstellungen“

Die everRun Availability Console