.\" -*- coding: UTF-8 -*-
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH IPTABLES 8 "" "iptables 1.8.10" "iptables 1.8.10"
.\"
.\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
.\" It is based on ipchains page.
.\" TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG)
.\"
.\" ipchains page by Paul ``Rusty'' Russell March 1997
.\" Based on the original ipfwadm man page by Jos Vos <jos@xos.nl>
.\"
.\"	This program is free software; you can redistribute it and/or modify
.\"	it under the terms of the GNU General Public License as published by
.\"	the Free Software Foundation; either version 2 of the License, or
.\"	(at your option) any later version.
.\"
.\"	This program is distributed in the hope that it will be useful,
.\"	but WITHOUT ANY WARRANTY; without even the implied warranty of
.\"	MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
.\"	GNU General Public License for more details.
.\"
.\"	You should have received a copy of the GNU General Public License
.\"	along with this program; if not, write to the Free Software
.\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
.\"
.\"
.SH BEZEICHNUNG
iptables/ip6tables \(em Administrationswerkzeug für IPv4/IPv6\-Paketfilterung
und NAT
.SH ÜBERSICHT
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP|\fB\-V\fP} \fIKette\fP
\fIRegelfestlegung\fP
.P
\fBip6tables\fP [\fB\-t\fP \fITabelle\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP|\fB\-V\fP} \fIKette Regelfestlegung\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-I\fP \fIKette\fP [\fIRegelnummer\fP]
\fIRegelfestlegung\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-R\fP \fIKette Regelnummer Regelfestlegung\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-D\fP \fIKette Regelnummer\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-S\fP [\fIKette\fP [\fIRegelnummer\fP]]
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIKette\fP
[\fIRegelnummer\fP]] [\fIOptionen…\fP]
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-N\fP \fIKette\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-X\fP [\fIKette\fP]
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-P\fP \fIKette Ziel\fP
.PP
\fBiptables\fP [\fB\-t\fP \fITabelle\fP] \fB\-E\fP \fIAlterkettenname Neuerkettenname\fP
.PP
Regelfestlegung = [\fIÜbereinstimmungen…\fP] [\fIZiel\fP]
.PP
Übereinstimmung = \fB\-m\fP \fIÜbereinstimmungsname\fP
[\fIÜbereinstimmungsabhängige_Optionen\fP]
.PP
Ziel = \fB\-j\fP \fIZielname\fP [\fIZielabhängige_Optionen\fP]
.SH BESCHREIBUNG
\fBIptables\fP und \fBip6tables\fP werden zur Einrichtung, der Pflege und
Untersuchung der Tabellen der IPv4\- und IPv6\-Paketfilterregeln im
Linux\-Kernel verwandt. Es können mehrere verschiedene Tabellen definiert
werden. Jede Tabelle enthält eine Reihe von eingebauten Ketten und kann auch
benutzerdefinierte Ketten enthalten.
.PP
Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen
übereinstimmen können. Jede Regel legt fest, was mit einem übereinstimmenden
Paket passieren soll. Dies wird »Ziel« genannt. Dabei kann zu einer
benutzerdefinierten Kette in der gleichen Tabelle gesprungen werden.
.SH ZIELE
Eine Firewall\-Regel legt Kriterien für ein Paket und ein Ziel fest. Falls
das Paket nicht übereinstimmt, wird die nächste Regel in der Kette geprüft;
falls es übereinstimmt, dann wird die nächste Regel durch den Wert des Ziels
festgelegt. Diese kann der Name einer benutzerdefinierten Kette, eine der in
\fBiptables\-extensions\fP(8) beschriebenen Ziele oder eine der besonderen Werte
\fBACCEPT\fP, \fBDROP\fP oder \fBRETURN\fP sein.
.PP
\fBACCEPT\fP bedeutet, dass das Paket durchgelassen werden soll. \fBDROP\fP
bedeutet, dass das Paket fallengelassen werden soll. \fBRETURN\fP bedeutet,
dass der Durchlauf dieser Kette beendet und bei der nächsten Regel in der
vorherigen (aufrufenden) Kette fortgefahren werden soll. Falls das Ende
einer eingebauten Kette erreicht wird oder eine Übereinstimmung einer Regel
in einer eingebauten Kette mit dem Ziel \fBRETURN\fP erfolgt, dann bestimmt das
durch die Ketten\-Richtlinie festgelegte Ziel das Schicksal des Pakets.
.SH TABELLEN
Es gibt derzeit fünf unabhängige Tabellen. (Die zu einem Zeitpunkt
vorhandenen Tabellen hängen von den Kernelkonfigurationsoptionen und der
Existenz der entsprechenden Module ab).
.TP 
\fB\-t\fP, \fB\-\-table\fP \fITabelle\fP
Diese Option legt die Paketübereinstimmungstabelle fest, auf die der Befehl
agieren soll. Falls der Kernel mit automatischen Modulladen konfiguriert
ist, wird versucht, das entsprechende Modul für diese Tabelle zu laden,
falls es noch nicht bereits vorhanden ist.

Die Tabellen sind wie folgt:
.RS
.TP  .4i
\fBfilter\fP:
Dies ist die Standardtabelle (falls keine Option »\-t« übergeben wurde). Sie
enthält die eingebauten Ketten \fBINPUT\fP (für Pakete mit Ziel lokaler
Sockets), \fBFORWARD\fP (für Pakete, die durch die Maschine weitergeleitet
werden) und \fBOUTPUT\fP (für lokal erstellte Pakete).
.TP 
\fBnat\fP:
Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine
neue Verbindung erstellt. Sie besteht aus vier eingebauten Ketten:
\fBPREROUTING\fP (zum Verändern von Paketen direkt beim Eintreffen), \fBINPUT\fP
(zum Verändern von Paketen mit Ziel lokaler Sockets), \fBOUTPUT\fP (zum
Verändern lokal erstellter Pakete vor der Weiterleitung) und \fBPOSTROUTING\fP
(zum Verändern von Paketen beim Verlassen der Maschine). IPv6 NAT ist seit
Kernel 3.7 verfügbar.
.TP 
\fBmangle\fP:
Diese Tabelle wird für spezialisierte Paketveränderung verwandt. Bis Kernel
2.4.17 hatte sie zwei eingebaute Ketten: \fBPREROUTING\fP (zum Verändern von
eingehenden Paketen vor der Weiterleitung) und \fBOUTPUT\fP (zum Verändern von
lokal erstellten Paketen vor der Weiterleitung). Seit Kernel 2.4.18 werden
drei weitere eingebaute Ketten auch unterstützt: \fBINPUT\fP (für Pakete, die
in der Maschine eintreffen), \fBFORWARD\fP (zum Verändern von Paketen, die
durch die Maschine weitergeleitet werden) und \fBPOSTROUTING\fP (zum Verändern
von Paketen beim Verlassen der Maschine).
.TP 
\fBraw\fP:
Diese Tabelle wird hauptsächlich zur Konfiguration von Ausnahmen von der
Verbindungsnachverfolgung im Zusammenspiel mit dem Ziel NOTRACK
verwandt. Sie wird bei den Netfilter\-Hooks mit höherer Priorität registriert
und wird daher vor ip_conntrack und allen anderen IP\-Tabellen
aufgerufen. Sie stellt die folgenden eingebauten Ketten bereit:
\fBPREROUTING\fP (für Pakete, die auf beliebigen Netzwerkschnittstellen
ankommen) und \fBOUTPUT\fP (für Pakete, die von lokalen Prozessen erstellt
werden).
.TP 
\fBsecurity\fP:
Diese Tabelle wird für Netzwerkregeln des Mandatory Access Control (MAC)
verwandt, wie sie durch die Ziele \fBSECMARK\fP und \fBCONNSECMARK\fP aktiviert
werden. MAC wird durch Linux\-Sicherheitsmodule wie SELinux
implementiert. Die Security\-Tabelle wird nach der Filtertabelle aufgerufen
und erlaubt allen Regeln des Discretionary Access Control (DAC) in der
Filtertabelle, vor den MAC\-Regeln wirksam zu werden. Diese Tabelle stellt
die folgenden eingebauten Regeln bereit: \fBINPUT\fP (für Pakete, die in die
Maschine selbst kommen), \fBOUTPUT\fP (zur Veränderung lokal erstellter Pakete
vor der Weiterleitung) und \fBFORWARD\fP (zur Veränderung von Paketen, die
durch die Maschine weitergeleitet werden).
.RE
.SH OPTIONEN
Die von \fBiptables\fP und \fBip6tables\fP erkannten Optionen können in mehrere
verschiedene Gruppen eingeteilt werden.
.SS BEFEHLE
Diese Optionen legen die gewünschte durchzuführende Aktion fest. Auf der
Befehlszeile kann, wenn nicht nachfolgend anders vermerkt, nur eine davon
angegeben werden. Für lange Versionen der Befehl\- und Optionsnamen müssen
Sie nur genug Buchstaben verwenden, um sicherzustellen, dass \fBiptables\fP sie
von allen anderen Optionen unterscheiden kann.
.TP 
\fB\-A\fP, \fB\-\-append\fP \fIKette Regelfestlegung\fP
Hängt eine oder mehrere Regeln am Ende der ausgewählten Kette an. Wenn die
Quell\- oder Zielnamen zu mehr als einer Adresse aufgelöst werden können,
dann wird eine Regel an jede mögliche Adresskombination angehängt.
.TP 
\fB\-C\fP, \fB\-\-check\fP \fIKette Regelfestlegung\fP
Prüft, ob eine Regel, die mit einer Festlegung übereinstimmt, in der
ausgewählten Kette existiert. Dieser Befehl benutzt die gleiche Logik wie
\fB\-D\fP, um einen übereinstimmenden Eintrag zu finden, aber ändert die
bestehende Iptables\-Konfiguration nicht und verwendet den Exit\-Code, um
Erfolg oder Fehlschlag anzuzeigen.
.TP 
\fB\-D\fP, \fB\-\-delete\fP \fIKette Regelfestlegung\fP
.ns
.TP 
\fB\-D\fP, \fB\-\-delete\fP \fIKette Regelnummer\fP
Löscht eine oder mehrere Regeln aus der ausgewählte Kette. Es gibt zwei
Versionen diese Befehls: die Regel kann als Nummer in der Kette festgelegt
werden (beginnend bei 1 für die erste Regel) oder als zu übereinstimmende
Regel.
.TP 
\fB\-I\fP, \fB\-\-insert\fP \fIKette\fP [\fIRegelnummer\fP] \fIRegelfestlegung\fP
Fügt eine oder mehrere Regeln in die ausgewählte Kette bei der angegebenen
Regelnummer ein. Ist daher die Regelnummer 1, dann werden die Regel(n) am
Anfang der Kette eingefügt. Dies ist auch die Vorgabe, falls keine
Regelnummer angegeben wird.
.TP 
\fB\-R\fP, \fB\-\-replace\fP \fIKette Regelnummer Regelfestlegung\fP
Ersetzt eine Regel in der angegebenen Kette. Falls sich der Quell\- und/oder
Zielname auf mehrere Adressen auflöst, dann wird der Befehl
fehlschlagen. Regeln werden nummeriert, beginnend bei 1.
.TP 
\fB\-L\fP, \fB\-\-list\fP [\fIKette\fP]
Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette
ausgewählt ist, dann werden alle Ketten aufgelistet. Wie jeder andere Befehl
von Iptables gilt er für die angegebene Tabelle (»filter« ist die
Vorgabe). Daher werden NAT\-Regeln durch folgenden Befehl aufgelistet:
.nf
 iptables \-t nat \-n \-L
.fi
Bitte beachten Sie, dass dies oft mit der Option \fB\-n\fP verwandt wird, um
lange inverse DNS\-Auflösungen zu vermeiden. Es ist auch erlaubt, die Option
\fB\-Z\fP (zero) anzugeben. Dann wird/werden die Kette(n) atomar aufgelistet und
genullt. Die genaue Ausgabe hängt von den anderen übergebenen Argumenten
ab. Die genauen Regeln werden unterdrückt, bis Sie
.nf
 iptables \-L \-v
.fi
oder \fBiptables\-save\fP(8) verwenden.
.TP 
\fB\-S\fP, \fB\-\-list\-rules\fP [\fIKette\fP]
Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette ausgewählt
ist, dann werden alle Ketten wie bei »iptables\-save« angezeigt. Wie jeder
andere Befehl von Iptables gilt er für die angegebene Tabelle (»filter« ist
die Vorgabe).
.TP 
\fB\-F\fP, \fB\-\-flush\fP [\fIKette\fP]
Leert die ausgewählte Kette (alle Ketten in der Tabelle, falls keine
angegeben ist). Dies ist zum Löschen aller Regeln einer nach der anderen
äquivalent.
.TP 
\fB\-Z\fP, \fB\-\-zero\fP [\fIKette\fP [\fIRegelnummer\fP]]
Setzt die Paket\- und Bytezähler in allen Ketten auf Null, oder nur in der
angegebenen Kette oder nur die der angegebenen Regel in einer Kette. Es ist
korrekt, auch die Option \fB\-L\fP, \fB\-\-list\fP festzulegen, um die Zähler direkt
vor dem Bereinigen zu sehen (siehe oben).
.TP 
\fB\-N\fP, \fB\-\-new\-chain\fP \fIKette\fP
Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf
noch kein Ziel mit diesem Namen geben.
.TP 
\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIKette\fP]
Löscht die angegebene Kette. Es darf keine Referenzen auf die Kette
geben. Falls diese existieren, müssen Sie die bezugnehmenden Regeln löschen
oder ersetzen, bevor die Kette gelöscht werden kann. Die Kette muss leer
sein, d.h. sie darf keine Regeln enthalten. Falls kein Argument angegeben
ist, werden alle leeren Ketten in der Tabelle gelöscht. Leere eingebaute
Ketten können nur mit \fBiptables\-nft\fP(8) gelöscht werden.
.TP 
\fB\-P\fP, \fB\-\-policy\fP \fIKette Ziel\fP
Setzt die Richtlinie für die eingebaute (nicht benutzerdefinierte) Kette auf
das angegebene Ziel. Das Richtlinienziel muss entweder \fBACCEPT\fP oder
\fBDROP\fP sein.
.TP 
\fB\-E\fP, \fB\-\-rename\-chain\fP \fIAltekette Neuekette\fP
Benennt die benutzer\-spezifizierte Kette in den vom Benutzer
bereitgestellten Namen um. Dies ist kosmetisch und hat keine Auswirkungen
auf die Struktur der Tabelle.
.TP 
\fB\-h\fP
Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus.
.SS PARAMETER
Die folgenden Parameter bilden eine Regelspezifikation (wie sie in den
Befehlen add, delete, insert, replace und append verwandt wird).
.TP 
\fB\-4\fP, \fB\-\-ipv4\fP
Diese Option hat keine Auswirkungen in \fBiptables\fP und
\fBiptables\-restore\fP(8). Falls eine Regel mit (und nur mit)
\fBip6tables\-restore\fP(8) eingefügt wird, die die Option \fB\-4\fP verwendet, wird
sie stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler
auslösen. Diese Option erlaubt IPv4\- und IPv6\-Regeln in einer gemeinsamen
Regeldatei für die Verwendung mit \fBiptables\-restore\fP(8) und
\fBip6tables\-restore\fP(8).
.TP 
\fB\-6\fP, \fB\-\-ipv6\fP
Falls eine Regel mit (und nur mit) \fBiptables\-restore\fP(8) eingefügt wird,
die die Option \fB\-6\fP verwendet, wird sie stillschweigend ignoriert. Alle
anderen Verwendungen werden einen Fehler auslösen. Diese Option erlaubt
IPv4\- und IPv6\-Regeln in einer gemeinsamen Regeldatei für die Verwendung mit
\fBiptables\-restore\fP(8) und \fBip6tables\-restore\fP(8). Diese Option hat keine
Auswirkungen in \fBip6tables\fP und \fBip6tables\-restore\fP(8).
.TP 
[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIProtokoll\fP
Das Protokoll der Regel oder des zu prüfenden Pakets. Das angegebene
Protokoll kann entweder \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBicmp\fP, \fBicmpv6\fP,
\fBesp\fP, \fBah\fP, \fBsctp\fP, \fBmh\fP oder das besondere Schlüsselwort »\fBall\fP« oder
ein numerischer Wert, der eines dieser Protokolle oder ein anderes
darstellt. Ein Protokollname aus \fI/etc/protocols\fP ist erlaubt. Ein Argument
»!« vor dem Protokoll invertiert den Test. Die Zahl Null ist äquivalent zu
\fBall\fP. »\fBall\fP« stimmt mit allen Protokollen überein und wird als
Vorgabewert verwandt, wenn diese Option nicht angegeben wird. Beachten Sie,
dass außer \fBesp\fP die IPv6\-Erweiterungskopfzeilen in \fBip6tables\fP nicht
erlaubt sind. \fBesp\fP und \fBipv6\-nonext\fP können mit Kernelversion 2.6.11 oder
neuer verwandt werden. Die Zahl Null ist zu \fBall\fP äquivalent. Dies
bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert 0 überprüfen
können. Um mit einer HBH\-Kopfzeile zu übereinstimmen, selbst wenn diese die
letzte wäre, können Sie \fB\-p 0\fP nicht benutzen, sondern benötigen immer \fB\-m hbh\fP.
.TP 
[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIAdresse\fP[\fB/\fP\fIMaske\fP][\fB,\fP\fI…\fP]
Quellfestlegung. \fIAdresse\fP kann entweder ein Netzwerkname, ein Rechnername,
eine Netzwerk\-IP\-Adresse (mit \fB/\fP\fIMaske\fP) oder eine einfache IP\-Adresse
sein. Rechnernamen werden nur einmal aufgelöst, bevor die Regel an den
Kernel übergeben wird. Bitte beachten Sie, dass es eine wirklich schlechte
Idee ist, einen Namen anzugeben, der über eine Abfrage in der Ferne (wie
DNS) aufgelöst wird. Die \fIMaske\fP kann entweder eine IPv4\-Netzwerkmaske (für
\fBiptables\fP) oder eine einfache Zahl sein, die die Anzahl an 1en (von links
gezählt) der Netzwerkmaske festlegt. Daher ist eine Iptables\-Maske \fI24\fP
äquivalent zu \fI255.255.255.0\fP. Ein Argument »!« vor der Adressangabe
invertiert die Bedeutung der Adresse. Der Schalter \fB\-\-src\fP ist ein Alias
für diese Option. Mehrere Adressen können angegeben werden, aber dies \fBwird zu mehreren Regeln expandiert\fP (beim Hinzufügen mit \-A) oder führt zum
Löschen von mehreren Regeln (mit \-D).
.TP 
[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIAdresse\fP[\fB/\fP\fIMaske\fP][\fB,\fP\fI…\fP]
Zielfestlegung. Siehe die Beschreibung des Schalters \fB\-s\fP (Quelle) für eine
detaillierte Beschreibung der Syntax. Der Schalter \fB\-\-dst\fP ist ein Alias
für diese Option.
.TP 
\fB\-m\fP, \fB\-\-match\fP \fIÜbereinstimmung\fP
Gibt eine zu verwendende Übereinstimmung an; das heißt ein
Erweiterungsmodul, das auf eine bestimmte Eigenschaft prüft. Die Gruppe der
Übereinstimmungen stellt die Bedingung dar, unter der ein Ziel aufgerufen
wird. Übereinstimmungen werden in der Reihenfolge der Angabe auf der
Befehlszeile (von der ersten zur letzten) ausgewertet und funktionieren in
der Kurzschlussart. Das heißt, falls eine Erweiterung als »falsch«
ausgewertet wird, wird die Auswertung beendet.
.TP 
\fB\-j\fP, \fB\-\-jump\fP \fIZiel\fP
Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket
übereinstimmt. Das Ziel kann eine benutzerdefinierte Kette sein (die sich
von der unterscheidet, in der die Regel ist), eines der besonderen
eingebauten Ziele, die sofort über das Schicksal dieses Paketes entscheiden
oder eine Erweiterung (siehe nachfolgende \fBÜBEREINSTIMMUNGS\- UND ZIELERWEITERUNGEN\fP). Falls diese Option in einer Regel nicht angegeben wird
(und \fB\-g\fP nicht verwandt wird), dann wird die übereinstimmende Regel keine
Auswirkung auf das Schicksal des Paketes haben, aber die Zähler der Regel
werden erhöht.
.TP 
\fB\-g\fP, \fB\-\-goto\fP \fIKette\fP
Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette
fortfahren soll. Anders als bei der Option »\-\-jump« wird bei \fBRETURN\fP die
Verarbeitung nicht in dieser Kette fortgefahren, sondern in der Kette, die
dies mittels »\-\-jump« aufrief.
.TP 
[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIName\fP
Name der Schnittstelle mittels der ein Paket empfangen wurde (nur für
Pakete, die in die Ketten \fBINPUT\fP, \fBFORWARD\fP und \fBPREROUTING\fP
eintreten). Wird das Argument »!« vor dem Schnittstellennamen verwandt, wird
die Bedeutung invertiert. Falls der Schnittstellenname auf ein »+« endet,
dann werden alle Schnittstellen übereinstimmen, die mit diesem Namen
beginnen. Falls diese Option nicht angegeben wird, dann stimmen alle
Schnittstellennamen überein.
.TP 
[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIName\fP
Name der Schnittstelle mittels der ein Paket gesendet wird (für Pakete, die
in die Ketten \fBFORWARD\fP, \fBOUTPUT\fP und \fBPOSTROUTING\fP eintreten). Wird das
Argument »!« vor dem Schnittstellennamen verwandt, wird die Bedeutung
invertiert. Falls der Schnittstellenname auf ein »+« endet, dann werden alle
Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls diese
Option nicht angegeben wird, dann stimmen alle Schnittstellennamen überein.
.TP 
[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP
Dies bedeutet, dass sich die Regel nur auf das zweite und weitere
IPv4\-Fragmente des fragmentierten Pakets bezieht. Da es keine Möglichkeit
gibt, den Quell\- oder Zielport (oder den ICMP\-Typ) solcher Pakete zu
bestimmen, stimmen diese Pakete nicht mit irgend einer Regel überein, die
diese festlegen. Steht das Argument »!« vor dem Schalter »\-f«, dann stimmt
die Regel nur mit Kopffragmenten oder nicht fragmentierten Paketen
überein. Diese Option ist IPv4\-spezifisch und in \fBip6tables\fP nicht
verfügbar.
.TP 
\fB\-c\fP, \fB\-\-set\-counters\fP \fIPakete Bytes\fP
Diese Regel ermöglicht es dem Administrator, die Paket\- und Bytezähler einer
Regel zu aktivieren (während der Aktionen \fBINSERT\fP, \fBAPPEND\fP, \fBREPLACE\fP).
.SS "WEITERE OPTIONEN"
Die folgenden zusätzlichen Optionen können festgelegt werden:
.TP 
\fB\-v\fP, \fB\-\-verbose\fP
Ausführliche Ausgabe. Diese Option führt dazu, dass der Befehl »list«
Schnittstellennamen, die Regeloptionen (falls vorhanden) und die TOS\-Masken
anzeigt. Die Paket\- und Bytezähler werden auch aufgeführt, mit den Endungen
»K«, »M« oder »G« für 1000, 1.000.000 bzw. 1.000.000.000 (aber siehe den
Schalter \fB\-x\fP um dies zu ändern). Beim Anhängen, Einfügen, Löschen und
Ersetzen führt dieser Schalter zu detaillierten Informationen über die
auszugebenden Regel(n). \fB\-v\fP kann mehrfach angegeben werden, um
möglicherweise detailliertere Fehlersuchausgaben zu erzeugen: Zweimal
angegeben wird \fBiptables\-legacy\fP Tabelleninformationen und Einträge in
libiptc rausschreiben, \fBiptables\-nft\fP wird Regeln in Netlink (VM\-Code)
\-Darstellungen rausschreiben. Dreimal angegeben wird \fBiptables\-nft\fP auch
alle an den Kernel gesandten Netlinkmeldungen rausschreiben.
.TP 
\fB\-V\fP, \fB\-\-version\fP
Zeigt die Programmversion und die verwandte Kernel\-API.
.TP 
\fB\-w\fP, \fB\-\-wait\fP [\fISekunden\fP]
Wartet auf die Xtables\-Sperre. Um zu verhindern, dass mehrere Instanzen des
Programms gleichzeitig laufen, wird beim Start versucht, eine exklusive
Sperre zu erlangen. Standardmäßig wird sich das Programm beenden, falls die
Sperre nicht erlangt werden kann. Diese Option führt dazu, dass das Programm
wartet (endlos oder für die optionalen \fISekunden\fP), bis die exklusive
Sperre erlangt werden kann.
.TP 
\fB\-n\fP, \fB\-\-numeric\fP
Numerische Ausgabe. IP\-Adressen und Port\-Nummern werden im numerischen
Format dargestellt. Standardmäßig wird das Programm versuchen, sie als
Rechnernamen, Netzwerknamen oder Dienste (wo anwendbar) anzuzeigen.
.TP 
\fB\-x\fP, \fB\-\-exact\fP
Expandiert Zahlen. Zeigt den genauen Wert der Paket\- und Bytezähler an,
statt nur die gerundete Anzahl in Ks (Vielfaches von 1000), Ms (Vielfaches
von 1000 K) oder Gs (Vielfaches von 1000 M). Diese Option ist nur für den
Befehl \fB\-L\fP relevant.
.TP 
\fB\-\-line\-numbers\fP
Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der
Position dieser Regel in der Kette entspricht.
.TP 
\fB\-\-modprobe=\fP\fIBefehl\fP
Verwendet beim Hinzufügen oder Einfügen von Regeln in einer Kette \fIBefehl\fP,
um notwendige Module (Ziele, Übereinstimmungserweiterungen usw.) zu laden.

.SH SPERRDATEI
Iptables verwendet die Datei \fI/run/xtables.lock\fP, um eine exklusive Sperre
beim Start zu erlangen.

Die Umgebungsvariable \fBXTABLES_LOCKFILE\fP kann dazu verwandt werden, die
Standardeinstellung außer Kraft zu setzen.

.SH "ÜBEREINSTIMMUNGS\- UND ZIELERWEITERUNGEN"
.PP
Iptables kann erweiterte Paketübereinstimmungs\- und \-zielmodule
benutzen. Eine Liste dieser ist in der Handbuchseite
\fBiptables\-extensions\fP(8) verfügbar.
.SH DIAGNOSE
Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe
ausgegeben. Der Exit\-Code ist bei korrektem Funktionieren 0. Fehler, die
aufgrund ungültiger oder missbräuchlicher Befehlszeilenparameter verursacht
werden, führen zu einem Exit\-Code von 2. Fehler, die eine Inkompatibilität
zwischen Kernel und dem Anwendungsraum anzeigen, führen zu einem Exit\-Code
von 3. Fehler, die ein Ressourcenproblem anzeigen, wie eine beschäftigte
Sperre, Fehler bei der Speicherreservierung oder Fehlermeldungen vom Kernel,
führen zu einem Exit\-Code von 4. Anderere Fehler führen schließlich zu einem
Exit\-Code von 1.
.SH FEHLER
Fehler? Was sind das? ;\-) Nun, vielleicht möchten Sie dazu auf
https://bugzilla.netfilter.org/ schauen. \fBiptables\fP wird sich sofort mit
einem Fehler\-Code von 111 beenden, wenn es bemerkt, dass es als
setuid\-to\-root\-Programm aufgerufen wurde. Iptables kann auf diese Art nicht
sicher verwandt werden, da es den zur Laufzeit geladenen dynamischen
Bibliotheken (Übereinstimmungen, Zielen) vertraut und der Suchpfad mittels
Umgebungsvariablen gesetzt werden kann.
.SH "KOMPATIBILITÄT MIT IPCHAINS"
Dieses \fBiptables\fP ist sehr ähnlich dem Ipchains von Rusty Russell. Der
Hauptunterschied besteht darin, dass die Ketten \fBINPUT\fP und \fBOUTPUT\fP nur
für Pakete durchlaufen werden, die in den lokalen Rechner eintreten bzw. von
dem lokalen Rechner stammen. Daher läuft jedes Paket nur durch eine der drei
Ketten (außer dem Loopback\-Verkehr, der sowohl die Ketten INPUT als auch
OUTPUT durchläuft); in der alten Ipchains\-Version liefen weitergeleitete
Pakete durch alle drei.
.PP
Der andere Hauptunterschied besteht darin, dass sich \fB\-i\fP auf die
Eingabeschnittstelle bezieht; sich \fB\-o\fP auf die Ausgabeschnittstelle
bezieht und beide für Pakete verfügbar sind, die in die Kette \fBFORWARD\fP
eintreten.
.PP
Die verschiedenen Arten von NAT wurden abgetrennt; \fBiptables\fP ist beim
Einsatz der Standardtabelle »filter« ein reiner Paketfilter, mit optionalen
Erweiterungsmodulen. Dies sollte einen Großteil der früher beobachteten
Verwirrung über die Kombination von IP\-Masquerading und Paketfilterung
vermeiden. Daher werden die folgenden Optionen anders gehandhabt:
.nf
 \-j MASQ
 \-M \-S
 \-M \-L
.fi
Es gibt eine Reihe weiterer Änderungen in Iptables.
.SH "SIEHE AUCH"
\fBiptables\-apply\fP(8), \fBiptables\-save\fP(8), \fBiptables\-restore\fP(8),
\fBiptables\-extensions\fP(8),
.PP
Das packet\-filtering\-HOWTO gibt weitere Dateils zum Einsatz von Iptables zur
Paketfilterung, das NAT\-HOWTO gibt Details zum NAT, das
netfilter\-extensions\-HOWTO gibt Details zu Erweiterungen, die nicht in der
Standarddistribution sind und das netfilter\-hacking\-HOWTO gibt Details zu
den Interna von Netfilter.
.br
Siehe \fBhttps://www.netfilter.org/\fP.
.SH AUTOREN
Iptables wurde ursprünglich von Rusty Russell geschrieben, am Anfang stimmte
er sich mit Michael Neuling ab.
.PP
Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er für ein
generisches Paketauswahl\-Rahmenwerk in Iptables warb, schrieb dann die
Tabelle »mangle«, die Eigentümerübereinstimmung, das Markierungszeug und
machte überall coole Dinge.
.PP
James Morris schrieb das TOS\-Ziel und die TOS\-Übereinstimmung.
.PP
Jozsef Kadlecsik schrieb das REJECT\-Ziel.
.PP
Harald Welte schrieb das ULOG\- und NFQUEUE\-Ziel, das neue Libiptc, sowie die
TTL\-, DSCP\-, ECN\-Übereinstimmungen und \-Ziele.
.PP
Das Netfilter\-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso,
Eric Leblond, Florian Westphal und Arturo Borrero Gonzalez. Ehemalige
Kernteammitglieder sind: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai,
James Morris, Harald Welte und Rusty Russell.
.PP
.\" .. and did I mention that we are incredibly cool people?
.\" .. sexy, too ..
.\" .. witty, charming, powerful ..
.\" .. and most of all, modest ..
Die Handbuchseite wurde ursprünglich von Herve Eychenne
<rv@wallfire.org> geschrieben.
.SH VERSION
.PP
Diese Handbuchseite gilt für \fBiptables\fP/\fBip6tables\fP 1.8.10.
.PP
.SH ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de>
erstellt.
.PP
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License Version 3
.UE
oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
.PP
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden,
schicken Sie bitte eine E-Mail an die
.MT debian-l10n-german@lists.debian.org
Mailingliste der Übersetzer
.ME .