Online-Hilfe

Netzfilter

Die Netzfilter im Router manipulieren und blockieren alle Datenpakete auf ihrem Weg vom Absender-Interface zum Ziel-Interface wie in folgender Skizze dargestellt. Die Netzfilter setzen sich zusammen aus NAT (Network Address Translation)- und IP-Filter (Firewall)-Regeln.

Alle am Interface ankommenden Datenpakete durchlaufen der Reihe nach alle Destination-NAT (DNAT)-Regeln der Tabelle PREROUTING und werden dann bei Zutreffen der ersten Regel entsprechend manipuliert und weitergeleitet.

Alle nicht an den Router gerichteten Datenpakete durchlaufen die Regeln der Tabelle Filter der Chain FORWARD und werden durchgelassen (dürfen die Firewall passieren), sobald eine der Regeln zutrifft. Dies ist zum Beispiel der Fall, wenn ein lokal angeschlossenes Gerät Daten ins Internet sendet.

Alle an den Router gerichteten Datenpakete durchlaufen die Regeln der Tabelle Filter der Chain INPUT und werden zum Router durchgelassen (dürfen die Firewall passieren), sobald eine der Regeln zutrifft. Dies ist zum Beispiel der Fall, wenn auf das Web-Interface des Routers zugegriffen wird oder der DHCP- oder VPN-Server des Routers kontaktiert wird.

Alle Datenpakete, die vom Router erzeugt werden, durchlaufen die Regeln der Tabelle Filter der Chain OUTPUT und werden durchgelassen (dürfen die Firewall passieren), sobald eine der Regeln zutrifft. Dies ist zum Beispiel der Fall, wenn der Router NTP- oder DNS-Anfragen stellt oder einen Tunnel initiiert.

Alle Datenpakete, welche die Chains OUTPUT und FORWARD verlassen, durchlaufen der Reihe nach alle Source-NAT (SNAT)-Regeln der Tabelle POSTROUTING und werden dann bei Zutreffen der ersten Regel entsprechend manipuliert und zum Interface weitergeleitet.

Die im Router definierten Netzfilter können im Menü Status auf der Seite iptables angezeigt werden.

Beispiel für eine NAT-Regel zur Port-Weiterleitung

Beispiele für typische IP-Filter (Firewall)-Regeln

Zurück zur Übersicht