Chains Für Hermes-Pro - Multidata HERMES-P2 Handbuch

5
HERMES-PRO
5.2 Chains für HERMES-PRO
Die Routersoftware unterstützt die Konfiguration von IP-Tables über die
Weboberfäche und die Konfigurationsdatei isdnd.cfg. Über die Web-
oberfläche lassen sich Firewallregeln definieren, die in entsprechende
iptables Aufrufe umgesetzt werden. Eine Regel tritt sofort nach ihrer
Definition über die Weboberfläche in Kraft.
Beim Start von HERMES-PRO legt der isdnd Prozess einige Chains an,
welche eine Umgebung definieren, die für benutzerdefinierte Chains
verwendet wird. Das Kommando iptabels -L bzw. iptables -L -v
zeigt die definierten Regeln an.
In den Standardchains INPUT, OUTPUT und FORWARD legt isdnd Regeln
an, die auf alle Pakete zutreffen, welche von oder zu der tun-Schnittstelle
gehen. Diese Regeln enthalten als Aktion einen Sprung zu der Chain isdnd-
fw, welche dazu dient, Sprünge zu den benutzerdefinierten Chains
aufzunehmen. Pakete, welche nur die LAN Schnittstelle betreffen,
insbesondere Pakete an die Ports 7703 (vcapi) und 7705 (Konfiguartion),
werden immer durch die Firewall durchgelassen.
Die Chain isdnd-std wird von isdnd-fw als erstes angesprungen. Diese
Chain bewirkt, dass
1. alle Pakete, die ungültige IP-Header enthalten, verworfen werden
2. alle Pakete, die zu keiner bekannten Verbindung gehören, verworfen
werden.
3. alle Pakete, die zu einer bereits aufgebauten TCP bzw. UDP Verbindung
gehören, die Firewall passieren.
Für die benutzerdefinerten Chains generiert isdnd einen eigenen
Namensraum, der immer mit der Zeichenkette isdnd-fw: beginnt
(Sonderzeichen, wie z. B. "-" oder ":" werden von iptabels als normale
Buchstaben behandelt). Der Abschnittsname aus der Benutzerkonfiguration
folgt dieser Zeichenkette. Abschliessend enthält der Chainname einen
Unterstrich und eine dreistellige Nummer, die die Tabellenzeile aus der
Benutzerkonfiguration angibt:
isdnd-fw:Abschnittname_NNN
Wenn der Benutzer eine vordefinierte Aktion (s. o.) für eine Regel auswählt,
fügt isdnd zusätzliche Regeln ein, die folgendes bewirken:
32