Firewall/Router

Das Open-Source-Betriebssystem Linux ist ein stabiles Serverprogramm und wird seit Jahren in vielen Unternehmen eingesetzt. Die Funktionen von Linux lassen sich auch auf andere Umfelder erweitern, wie z.B.: als Firewall, Router oder zur Erstellung eines Virtual Privat Networks. Dazu bedient man sich wie in der Open-Source-Welt üblich, kostenloser Erweiterungen, wie in diesem Fall der Programme Netfilter/IPTables.

Netfilter/IPTables ist eine Erweiterung des Linux-Kernels und eine weiterentwickelte Version der Programme IPChains und IPFwadm. Diese Programme erlauben es, den durch den Server fließenden Netzwerkverkehr zu überwachen, zu protokollieren und bei Bedarf nach Konfiguration verschiedene Aktionen auszuführen.

Netfilter erlaubt es, Funktionen für spezifische Netzwerkprotokolle zu definieren, die beim Eintreffen eines Paketes auf dieser Leitung aufgerufen werden. IPTables ist hingegen eine Tabelle, mit deren Hilfe das Programm Pakete erkennt und einem Protokoll zuordnet, es auf die gewünschten Bedingungen überprüft und dann an ein Ziel weitergibt oder fallen lässt, oder zur Manipulation an eine Funktion weitergibt. Folgende Grundfunktionen sind möglich:

  • statusunabhängige Paketfilter für IPv4 und IPv6
  • statusabhängige Paketfilter für IPv4
  • alle Arten der Netzwerkadressen- und Portübersetzung (NAT und NAPT)
  • Mehrschichterweiterungsschnittstelle auf API-Basis

Durch diese grundsätzlich sehr offen gehaltenen Funktionen der Programme lassen sich komplexe Programme und Schutzeinrichtungen für Netzwerke errichten. Für Firewalls konfiguriert man die IPTables einfach so, dass nur gewisse Pakete auf bestimmten Ports durchgelassen werden. Bei Routern stellt Netfilter dem empfangenen Paket aus dem Intranet einfach die nach außen sichtbare IP-Adresse voran, und bei eintreffendem Traffic werden die Pakete wieder auf die internen IP-Adressen aufgeteilt. Lediglich eine zweite Netzwerkkarte im Rechner wird dazu benötigt.

Netfilter und IPTables werden seit etlichen Jahren verwendet und warten daher bereits mit einfachen und leicht zu beherrschenden Konfigurationstools auf. Weiters ist durch den modularen Aufbau und die Implementierung einer API-Schnittstelle die individuelle Erweiterung durch Programme von Drittanbietern oder durch eigene Entwicklungen sehr leicht.

Die Kombination von Linux und Netfilter/IPTables bietet daher eine kostengünstige Ersatzlösung für gängige Netzwerkhardware wie Cisco-Pix-Firewalls oder Router. Der zusätzliche Einsatz eines FTP-, HTTP- oder Fileservers auf Linux-Basis ist auf dem gleichen Computer möglich und sorgt damit für weitere Kosteneffizienz und Reduktion der notwendigen IT-Infrastruktur. Lediglich im Bereich extremer Bandbreiten sollte auf spezialisierte Hardware ausgewichen werden, da dann eine weit höhere Performance vonnöten ist.

nach oben  Zurück nach oben