IPTABLES(8) iptables 1.8.10 IPTABLES(8) BEZEICHNUNG iptables/ip6tables -- Administrationswerkzeug fur IPv4/IPv6-Paketfilterung und NAT UBERSICHT iptables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung ip6tables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung iptables [-t Tabelle] -I Kette [Regelnummer] Regelfestlegung iptables [-t Tabelle] -R Kette Regelnummer Regelfestlegung iptables [-t Tabelle] -D Kette Regelnummer iptables [-t Tabelle] -S [Kette [Regelnummer]] iptables [-t Tabelle] {-F|-L|-Z} [Kette [Regelnummer]] [Optionen] iptables [-t Tabelle] -N Kette iptables [-t Tabelle] -X [Kette] iptables [-t Tabelle] -P Kette Ziel iptables [-t Tabelle] -E Alterkettenname Neuerkettenname Regelfestlegung = [Ubereinstimmungen] [Ziel] Ubereinstimmung = -m Ubereinstimmungsname [Ubereinstimmungsabhangige_Optionen] Ziel = -j Zielname [Zielabhangige_Optionen] BESCHREIBUNG Iptables und ip6tables werden zur Einrichtung, der Pflege und Untersuchung der Tabellen der IPv4- und IPv6-Paketfilterregeln im Linux-Kernel verwandt. Es konnen mehrere verschiedene Tabellen definiert werden. Jede Tabelle enthalt eine Reihe von eingebauten Ketten und kann auch benutzerdefinierte Ketten enthalten. Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen ubereinstimmen konnen. Jede Regel legt fest, was mit einem ubereinstimmenden Paket passieren soll. Dies wird >>Ziel<< genannt. Dabei kann zu einer benutzerdefinierten Kette in der gleichen Tabelle gesprungen werden. ZIELE Eine Firewall-Regel legt Kriterien fur ein Paket und ein Ziel fest. Falls das Paket nicht ubereinstimmt, wird die nachste Regel in der Kette gepruft; falls es ubereinstimmt, dann wird die nachste Regel durch den Wert des Ziels festgelegt. Diese kann der Name einer benutzerdefinierten Kette, eine der in iptables-extensions(8) beschriebenen Ziele oder eine der besonderen Werte ACCEPT, DROP oder RETURN sein. ACCEPT bedeutet, dass das Paket durchgelassen werden soll. DROP bedeutet, dass das Paket fallengelassen werden soll. RETURN bedeutet, dass der Durchlauf dieser Kette beendet und bei der nachsten Regel in der vorherigen (aufrufenden) Kette fortgefahren werden soll. Falls das Ende einer eingebauten Kette erreicht wird oder eine Ubereinstimmung einer Regel in einer eingebauten Kette mit dem Ziel RETURN erfolgt, dann bestimmt das durch die Ketten-Richtlinie festgelegte Ziel das Schicksal des Pakets. TABELLEN Es gibt derzeit funf unabhangige Tabellen. (Die zu einem Zeitpunkt vorhandenen Tabellen hangen von den Kernelkonfigurationsoptionen und der Existenz der entsprechenden Module ab). -t, --table Tabelle Diese Option legt die Paketubereinstimmungstabelle fest, auf die der Befehl agieren soll. Falls der Kernel mit automatischen Modulladen konfiguriert ist, wird versucht, das entsprechende Modul fur diese Tabelle zu laden, falls es noch nicht bereits vorhanden ist. Die Tabellen sind wie folgt: filter: Dies ist die Standardtabelle (falls keine Option >>-t<< ubergeben wurde). Sie enthalt die eingebauten Ketten INPUT (fur Pakete mit Ziel lokaler Sockets), FORWARD (fur Pakete, die durch die Maschine weitergeleitet werden) und OUTPUT (fur lokal erstellte Pakete). nat: Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine neue Verbindung erstellt. Sie besteht aus vier eingebauten Ketten: PREROUTING (zum Verandern von Paketen direkt beim Eintreffen), INPUT (zum Verandern von Paketen mit Ziel lokaler Sockets), OUTPUT (zum Verandern lokal erstellter Pakete vor der Weiterleitung) und POSTROUTING (zum Verandern von Paketen beim Verlassen der Maschine). IPv6 NAT ist seit Kernel 3.7 verfugbar. mangle: Diese Tabelle wird fur spezialisierte Paketveranderung verwandt. Bis Kernel 2.4.17 hatte sie zwei eingebaute Ketten: PREROUTING (zum Verandern von eingehenden Paketen vor der Weiterleitung) und OUTPUT (zum Verandern von lokal erstellten Paketen vor der Weiterleitung). Seit Kernel 2.4.18 werden drei weitere eingebaute Ketten auch unterstutzt: INPUT (fur Pakete, die in der Maschine eintreffen), FORWARD (zum Verandern von Paketen, die durch die Maschine weitergeleitet werden) und POSTROUTING (zum Verandern von Paketen beim Verlassen der Maschine). raw: Diese Tabelle wird hauptsachlich zur Konfiguration von Ausnahmen von der Verbindungsnachverfolgung im Zusammenspiel mit dem Ziel NOTRACK verwandt. Sie wird bei den Netfilter-Hooks mit hoherer Prioritat registriert und wird daher vor ip_conntrack und allen anderen IP-Tabellen aufgerufen. Sie stellt die folgenden eingebauten Ketten bereit: PREROUTING (fur Pakete, die auf beliebigen Netzwerkschnittstellen ankommen) und OUTPUT (fur Pakete, die von lokalen Prozessen erstellt werden). security: Diese Tabelle wird fur Netzwerkregeln des Mandatory Access Control (MAC) verwandt, wie sie durch die Ziele SECMARK und CONNSECMARK aktiviert werden. MAC wird durch Linux-Sicherheitsmodule wie SELinux implementiert. Die Security-Tabelle wird nach der Filtertabelle aufgerufen und erlaubt allen Regeln des Discretionary Access Control (DAC) in der Filtertabelle, vor den MAC-Regeln wirksam zu werden. Diese Tabelle stellt die folgenden eingebauten Regeln bereit: INPUT (fur Pakete, die in die Maschine selbst kommen), OUTPUT (zur Veranderung lokal erstellter Pakete vor der Weiterleitung) und FORWARD (zur Veranderung von Paketen, die durch die Maschine weitergeleitet werden). OPTIONEN Die von iptables und ip6tables erkannten Optionen konnen in mehrere verschiedene Gruppen eingeteilt werden. BEFEHLE Diese Optionen legen die gewunschte durchzufuhrende Aktion fest. Auf der Befehlszeile kann, wenn nicht nachfolgend anders vermerkt, nur eine davon angegeben werden. Fur lange Versionen der Befehl- und Optionsnamen mussen Sie nur genug Buchstaben verwenden, um sicherzustellen, dass iptables sie von allen anderen Optionen unterscheiden kann. -A, --append Kette Regelfestlegung Hangt eine oder mehrere Regeln am Ende der ausgewahlten Kette an. Wenn die Quell- oder Zielnamen zu mehr als einer Adresse aufgelost werden konnen, dann wird eine Regel an jede mogliche Adresskombination angehangt. -C, --check Kette Regelfestlegung Pruft, ob eine Regel, die mit einer Festlegung ubereinstimmt, in der ausgewahlten Kette existiert. Dieser Befehl benutzt die gleiche Logik wie -D, um einen ubereinstimmenden Eintrag zu finden, aber andert die bestehende Iptables-Konfiguration nicht und verwendet den Exit-Code, um Erfolg oder Fehlschlag anzuzeigen. -D, --delete Kette Regelfestlegung -D, --delete Kette Regelnummer Loscht eine oder mehrere Regeln aus der ausgewahlte Kette. Es gibt zwei Versionen diese Befehls: die Regel kann als Nummer in der Kette festgelegt werden (beginnend bei 1 fur die erste Regel) oder als zu ubereinstimmende Regel. -I, --insert Kette [Regelnummer] Regelfestlegung Fugt eine oder mehrere Regeln in die ausgewahlte Kette bei der angegebenen Regelnummer ein. Ist daher die Regelnummer 1, dann werden die Regel(n) am Anfang der Kette eingefugt. Dies ist auch die Vorgabe, falls keine Regelnummer angegeben wird. -R, --replace Kette Regelnummer Regelfestlegung Ersetzt eine Regel in der angegebenen Kette. Falls sich der Quell- und/oder Zielname auf mehrere Adressen auflost, dann wird der Befehl fehlschlagen. Regeln werden nummeriert, beginnend bei 1. -L, --list [Kette] Listet alle Regeln in der ausgewahlten Kette auf. Falls keine Kette ausgewahlt ist, dann werden alle Ketten aufgelistet. Wie jeder andere Befehl von Iptables gilt er fur die angegebene Tabelle (>>filter<< ist die Vorgabe). Daher werden NAT-Regeln durch folgenden Befehl aufgelistet: iptables -t nat -n -L Bitte beachten Sie, dass dies oft mit der Option -n verwandt wird, um lange inverse DNS-Auflosungen zu vermeiden. Es ist auch erlaubt, die Option -Z (zero) anzugeben. Dann wird/werden die Kette(n) atomar aufgelistet und genullt. Die genaue Ausgabe hangt von den anderen ubergebenen Argumenten ab. Die genauen Regeln werden unterdruckt, bis Sie iptables -L -v oder iptables-save(8) verwenden. -S, --list-rules [Kette] Zeigt alle Regeln in der ausgewahlten Kette an. Falls keine Kette ausgewahlt ist, dann werden alle Ketten wie bei >>iptables-save<< angezeigt. Wie jeder andere Befehl von Iptables gilt er fur die angegebene Tabelle (>>filter<< ist die Vorgabe). -F, --flush [Kette] Leert die ausgewahlte Kette (alle Ketten in der Tabelle, falls keine angegeben ist). Dies ist zum Loschen aller Regeln einer nach der anderen aquivalent. -Z, --zero [Kette [Regelnummer]] Setzt die Paket- und Bytezahler in allen Ketten auf Null, oder nur in der angegebenen Kette oder nur die der angegebenen Regel in einer Kette. Es ist korrekt, auch die Option -L, --list festzulegen, um die Zahler direkt vor dem Bereinigen zu sehen (siehe oben). -N, --new-chain Kette Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf noch kein Ziel mit diesem Namen geben. -X, --delete-chain [Kette] Loscht die angegebene Kette. Es darf keine Referenzen auf die Kette geben. Falls diese existieren, mussen Sie die bezugnehmenden Regeln loschen oder ersetzen, bevor die Kette geloscht werden kann. Die Kette muss leer sein, d.h. sie darf keine Regeln enthalten. Falls kein Argument angegeben ist, werden alle leeren Ketten in der Tabelle geloscht. Leere eingebaute Ketten konnen nur mit iptables-nft(8) geloscht werden. -P, --policy Kette Ziel Setzt die Richtlinie fur die eingebaute (nicht benutzerdefinierte) Kette auf das angegebene Ziel. Das Richtlinienziel muss entweder ACCEPT oder DROP sein. -E, --rename-chain Altekette Neuekette Benennt die benutzer-spezifizierte Kette in den vom Benutzer bereitgestellten Namen um. Dies ist kosmetisch und hat keine Auswirkungen auf die Struktur der Tabelle. -h Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus. PARAMETER Die folgenden Parameter bilden eine Regelspezifikation (wie sie in den Befehlen add, delete, insert, replace und append verwandt wird). -4, --ipv4 Diese Option hat keine Auswirkungen in iptables und iptables-restore(8). Falls eine Regel mit (und nur mit) ip6tables-restore(8) eingefugt wird, die die Option -4 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler auslosen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer gemeinsamen Regeldatei fur die Verwendung mit iptables-restore(8) und ip6tables-restore(8). -6, --ipv6 Falls eine Regel mit (und nur mit) iptables-restore(8) eingefugt wird, die die Option -6 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler auslosen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer gemeinsamen Regeldatei fur die Verwendung mit iptables-restore(8) und ip6tables-restore(8). Diese Option hat keine Auswirkungen in ip6tables und ip6tables-restore(8). [!] -p, --protocol Protokoll Das Protokoll der Regel oder des zu prufenden Pakets. Das angegebene Protokoll kann entweder tcp, udp, udplite, icmp, icmpv6, esp, ah, sctp, mh oder das besondere Schlusselwort >>all<< oder ein numerischer Wert, der eines dieser Protokolle oder ein anderes darstellt. Ein Protokollname aus /etc/protocols ist erlaubt. Ein Argument >>!<< vor dem Protokoll invertiert den Test. Die Zahl Null ist aquivalent zu all. >>all<< stimmt mit allen Protokollen uberein und wird als Vorgabewert verwandt, wenn diese Option nicht angegeben wird. Beachten Sie, dass ausser esp die IPv6-Erweiterungskopfzeilen in ip6tables nicht erlaubt sind. esp und ipv6-nonext konnen mit Kernelversion 2.6.11 oder neuer verwandt werden. Die Zahl Null ist zu all aquivalent. Dies bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert 0 uberprufen konnen. Um mit einer HBH-Kopfzeile zu ubereinstimmen, selbst wenn diese die letzte ware, konnen Sie -p 0 nicht benutzen, sondern benotigen immer -m hbh. [!] -s, --source Adresse[/Maske][,] Quellfestlegung. Adresse kann entweder ein Netzwerkname, ein Rechnername, eine Netzwerk-IP-Adresse (mit /Maske) oder eine einfache IP-Adresse sein. Rechnernamen werden nur einmal aufgelost, bevor die Regel an den Kernel ubergeben wird. Bitte beachten Sie, dass es eine wirklich schlechte Idee ist, einen Namen anzugeben, der uber eine Abfrage in der Ferne (wie DNS) aufgelost wird. Die Maske kann entweder eine IPv4-Netzwerkmaske (fur iptables) oder eine einfache Zahl sein, die die Anzahl an 1en (von links gezahlt) der Netzwerkmaske festlegt. Daher ist eine Iptables-Maske 24 aquivalent zu 255.255.255.0. Ein Argument >>!<< vor der Adressangabe invertiert die Bedeutung der Adresse. Der Schalter --src ist ein Alias fur diese Option. Mehrere Adressen konnen angegeben werden, aber dies wird zu mehreren Regeln expandiert (beim Hinzufugen mit -A) oder fuhrt zum Loschen von mehreren Regeln (mit -D). [!] -d, --destination Adresse[/Maske][,] Zielfestlegung. Siehe die Beschreibung des Schalters -s (Quelle) fur eine detaillierte Beschreibung der Syntax. Der Schalter --dst ist ein Alias fur diese Option. -m, --match Ubereinstimmung Gibt eine zu verwendende Ubereinstimmung an; das heisst ein Erweiterungsmodul, das auf eine bestimmte Eigenschaft pruft. Die Gruppe der Ubereinstimmungen stellt die Bedingung dar, unter der ein Ziel aufgerufen wird. Ubereinstimmungen werden in der Reihenfolge der Angabe auf der Befehlszeile (von der ersten zur letzten) ausgewertet und funktionieren in der Kurzschlussart. Das heisst, falls eine Erweiterung als >>falsch<< ausgewertet wird, wird die Auswertung beendet. -j, --jump Ziel Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket ubereinstimmt. Das Ziel kann eine benutzerdefinierte Kette sein (die sich von der unterscheidet, in der die Regel ist), eines der besonderen eingebauten Ziele, die sofort uber das Schicksal dieses Paketes entscheiden oder eine Erweiterung (siehe nachfolgende UBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN). Falls diese Option in einer Regel nicht angegeben wird (und -g nicht verwandt wird), dann wird die ubereinstimmende Regel keine Auswirkung auf das Schicksal des Paketes haben, aber die Zahler der Regel werden erhoht. -g, --goto Kette Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette fortfahren soll. Anders als bei der Option >>--jump<< wird bei RETURN die Verarbeitung nicht in dieser Kette fortgefahren, sondern in der Kette, die dies mittels >>--jump<< aufrief. [!] -i, --in-interface Name Name der Schnittstelle mittels der ein Paket empfangen wurde (nur fur Pakete, die in die Ketten INPUT, FORWARD und PREROUTING eintreten). Wird das Argument >>!<< vor dem Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der Schnittstellenname auf ein >>+<< endet, dann werden alle Schnittstellen ubereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen uberein. [!] -o, --out-interface Name Name der Schnittstelle mittels der ein Paket gesendet wird (fur Pakete, die in die Ketten FORWARD, OUTPUT und POSTROUTING eintreten). Wird das Argument >>!<< vor dem Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der Schnittstellenname auf ein >>+<< endet, dann werden alle Schnittstellen ubereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben wird, dann stimmen alle Schnittstellennamen uberein. [!] -f, --fragment Dies bedeutet, dass sich die Regel nur auf das zweite und weitere IPv4-Fragmente des fragmentierten Pakets bezieht. Da es keine Moglichkeit gibt, den Quell- oder Zielport (oder den ICMP-Typ) solcher Pakete zu bestimmen, stimmen diese Pakete nicht mit irgend einer Regel uberein, die diese festlegen. Steht das Argument >>!<< vor dem Schalter >>-f<<, dann stimmt die Regel nur mit Kopffragmenten oder nicht fragmentierten Paketen uberein. Diese Option ist IPv4-spezifisch und in ip6tables nicht verfugbar. -c, --set-counters Pakete Bytes Diese Regel ermoglicht es dem Administrator, die Paket- und Bytezahler einer Regel zu aktivieren (wahrend der Aktionen INSERT, APPEND, REPLACE). WEITERE OPTIONEN Die folgenden zusatzlichen Optionen konnen festgelegt werden: -v, --verbose Ausfuhrliche Ausgabe. Diese Option fuhrt dazu, dass der Befehl >>list<< Schnittstellennamen, die Regeloptionen (falls vorhanden) und die TOS-Masken anzeigt. Die Paket- und Bytezahler werden auch aufgefuhrt, mit den Endungen >>K<<, >>M<< oder >>G<< fur 1000, 1.000.000 bzw. 1.000.000.000 (aber siehe den Schalter -x um dies zu andern). Beim Anhangen, Einfugen, Loschen und Ersetzen fuhrt dieser Schalter zu detaillierten Informationen uber die auszugebenden Regel(n). -v kann mehrfach angegeben werden, um moglicherweise detailliertere Fehlersuchausgaben zu erzeugen: Zweimal angegeben wird iptables-legacy Tabelleninformationen und Eintrage in libiptc rausschreiben, iptables-nft wird Regeln in Netlink (VM-Code) -Darstellungen rausschreiben. Dreimal angegeben wird iptables-nft auch alle an den Kernel gesandten Netlinkmeldungen rausschreiben. -V, --version Zeigt die Programmversion und die verwandte Kernel-API. -w, --wait [Sekunden] Wartet auf die Xtables-Sperre. Um zu verhindern, dass mehrere Instanzen des Programms gleichzeitig laufen, wird beim Start versucht, eine exklusive Sperre zu erlangen. Standardmassig wird sich das Programm beenden, falls die Sperre nicht erlangt werden kann. Diese Option fuhrt dazu, dass das Programm wartet (endlos oder fur die optionalen Sekunden), bis die exklusive Sperre erlangt werden kann. -n, --numeric Numerische Ausgabe. IP-Adressen und Port-Nummern werden im numerischen Format dargestellt. Standardmassig wird das Programm versuchen, sie als Rechnernamen, Netzwerknamen oder Dienste (wo anwendbar) anzuzeigen. -x, --exact Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezahler an, statt nur die gerundete Anzahl in Ks (Vielfaches von 1000), Ms (Vielfaches von 1000 K) oder Gs (Vielfaches von 1000 M). Diese Option ist nur fur den Befehl -L relevant. --line-numbers Fugt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der Position dieser Regel in der Kette entspricht. --modprobe=Befehl Verwendet beim Hinzufugen oder Einfugen von Regeln in einer Kette Befehl, um notwendige Module (Ziele, Ubereinstimmungserweiterungen usw.) zu laden. SPERRDATEI Iptables verwendet die Datei /run/xtables.lock, um eine exklusive Sperre beim Start zu erlangen. Die Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt werden, die Standardeinstellung ausser Kraft zu setzen. UBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN Iptables kann erweiterte Paketubereinstimmungs- und -zielmodule benutzen. Eine Liste dieser ist in der Handbuchseite iptables-extensions(8) verfugbar. DIAGNOSE Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe ausgegeben. Der Exit-Code ist bei korrektem Funktionieren 0. Fehler, die aufgrund ungultiger oder missbrauchlicher Befehlszeilenparameter verursacht werden, fuhren zu einem Exit-Code von 2. Fehler, die eine Inkompatibilitat zwischen Kernel und dem Anwendungsraum anzeigen, fuhren zu einem Exit-Code von 3. Fehler, die ein Ressourcenproblem anzeigen, wie eine beschaftigte Sperre, Fehler bei der Speicherreservierung oder Fehlermeldungen vom Kernel, fuhren zu einem Exit-Code von 4. Anderere Fehler fuhren schliesslich zu einem Exit-Code von 1. FEHLER Fehler? Was sind das? ;-) Nun, vielleicht mochten Sie dazu auf https://bugzilla.netfilter.org/ schauen. iptables wird sich sofort mit einem Fehler-Code von 111 beenden, wenn es bemerkt, dass es als setuid-to-root-Programm aufgerufen wurde. Iptables kann auf diese Art nicht sicher verwandt werden, da es den zur Laufzeit geladenen dynamischen Bibliotheken (Ubereinstimmungen, Zielen) vertraut und der Suchpfad mittels Umgebungsvariablen gesetzt werden kann. KOMPATIBILITAT MIT IPCHAINS Dieses iptables ist sehr ahnlich dem Ipchains von Rusty Russell. Der Hauptunterschied besteht darin, dass die Ketten INPUT und OUTPUT nur fur Pakete durchlaufen werden, die in den lokalen Rechner eintreten bzw. von dem lokalen Rechner stammen. Daher lauft jedes Paket nur durch eine der drei Ketten (ausser dem Loopback-Verkehr, der sowohl die Ketten INPUT als auch OUTPUT durchlauft); in der alten Ipchains-Version liefen weitergeleitete Pakete durch alle drei. Der andere Hauptunterschied besteht darin, dass sich -i auf die Eingabeschnittstelle bezieht; sich -o auf die Ausgabeschnittstelle bezieht und beide fur Pakete verfugbar sind, die in die Kette FORWARD eintreten. Die verschiedenen Arten von NAT wurden abgetrennt; iptables ist beim Einsatz der Standardtabelle >>filter<< ein reiner Paketfilter, mit optionalen Erweiterungsmodulen. Dies sollte einen Grossteil der fruher beobachteten Verwirrung uber die Kombination von IP-Masquerading und Paketfilterung vermeiden. Daher werden die folgenden Optionen anders gehandhabt: -j MASQ -M -S -M -L Es gibt eine Reihe weiterer Anderungen in Iptables. SIEHE AUCH iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8), Das packet-filtering-HOWTO gibt weitere Dateils zum Einsatz von Iptables zur Paketfilterung, das NAT-HOWTO gibt Details zum NAT, das netfilter-extensions-HOWTO gibt Details zu Erweiterungen, die nicht in der Standarddistribution sind und das netfilter-hacking-HOWTO gibt Details zu den Interna von Netfilter. Siehe https://www.netfilter.org/. AUTOREN Iptables wurde ursprunglich von Rusty Russell geschrieben, am Anfang stimmte er sich mit Michael Neuling ab. Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er fur ein generisches Paketauswahl-Rahmenwerk in Iptables warb, schrieb dann die Tabelle >>mangle<<, die Eigentumerubereinstimmung, das Markierungszeug und machte uberall coole Dinge. James Morris schrieb das TOS-Ziel und die TOS-Ubereinstimmung. Jozsef Kadlecsik schrieb das REJECT-Ziel. Harald Welte schrieb das ULOG- und NFQUEUE-Ziel, das neue Libiptc, sowie die TTL-, DSCP-, ECN-Ubereinstimmungen und -Ziele. Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso, Eric Leblond, Florian Westphal und Arturo Borrero Gonzalez. Ehemalige Kernteammitglieder sind: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai, James Morris, Harald Welte und Rusty Russell. Die Handbuchseite wurde ursprunglich von Herve Eychenne geschrieben. VERSION Diese Handbuchseite gilt fur iptables/ip6tables 1.8.10. UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . iptables 1.8.10 IPTABLES(8)