Provided by: manpages-de_4.21.0-2_all 
BEZEICHNUNG
iptables/ip6tables — Administrationswerkzeug für IPv4/IPv6-Paketfilterung und NAT
ÜBERSICHT
iptables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung
ip6tables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung
iptables [-t Tabelle] -I Kette [Regelnummer] Regelfestlegung
iptables [-t Tabelle] -R Kette Regelnummer Regelfestlegung
iptables [-t Tabelle] -D Kette Regelnummer
iptables [-t Tabelle] -S [Kette [Regelnummer]]
iptables [-t Tabelle] {-F|-L|-Z} [Kette [Regelnummer]] [Optionen…]
iptables [-t Tabelle] -N Kette
iptables [-t Tabelle] -X [Kette]
iptables [-t Tabelle] -P Kette Ziel
iptables [-t Tabelle] -E Alterkettenname Neuerkettenname
Regelfestlegung = [Übereinstimmungen…] [Ziel]
Übereinstimmung = -m Übereinstimmungsname [Übereinstimmungsabhängige_Optionen]
Ziel = -j Zielname [Zielabhängige_Optionen]
BESCHREIBUNG
Iptables und ip6tables werden zur Einrichtung, der Pflege und Untersuchung der Tabellen
der IPv4- und IPv6-Paketfilterregeln im Linux-Kernel verwandt. Es können mehrere
verschiedene Tabellen definiert werden. Jede Tabelle enthält eine Reihe von eingebauten
Ketten und kann auch benutzerdefinierte Ketten enthalten.
Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen übereinstimmen
können. Jede Regel legt fest, was mit einem übereinstimmenden Paket passieren soll. Dies
wird »Ziel« genannt. Dabei kann zu einer benutzerdefinierten Kette in der gleichen Tabelle
gesprungen werden.
ZIELE
Eine Firewall-Regel legt Kriterien für ein Paket und ein Ziel fest. Falls das Paket nicht
übereinstimmt, wird die nächste Regel in der Kette geprüft; falls es übereinstimmt, dann
wird die nächste Regel durch den Wert des Ziels festgelegt. Diese kann der Name einer
benutzerdefinierten Kette, eine der in iptables-extensions(8) beschriebenen Ziele oder
eine der besonderen Werte ACCEPT, DROP oder RETURN sein.
ACCEPT bedeutet, dass das Paket durchgelassen werden soll. DROP bedeutet, dass das Paket
fallengelassen werden soll. RETURN bedeutet, dass der Durchlauf dieser Kette beendet und
bei der nächsten Regel in der vorherigen (aufrufenden) Kette fortgefahren werden soll.
Falls das Ende einer eingebauten Kette erreicht wird oder eine Übereinstimmung einer Regel
in einer eingebauten Kette mit dem Ziel RETURN erfolgt, dann bestimmt das durch die
Ketten-Richtlinie festgelegte Ziel das Schicksal des Pakets.
TABELLEN
Es gibt derzeit fünf unabhängige Tabellen. (Die zu einem Zeitpunkt vorhandenen Tabellen
hängen von den Kernelkonfigurationsoptionen und der Existenz der entsprechenden Module
ab).
-t, --table Tabelle
Diese Option legt die Paketübereinstimmungstabelle fest, auf die der Befehl agieren
soll. Falls der Kernel mit automatischen Modulladen konfiguriert ist, wird
versucht, das entsprechende Modul für diese Tabelle zu laden, falls es noch nicht
bereits vorhanden ist.
Die Tabellen sind wie folgt:
filter:
Dies ist die Standardtabelle (falls keine Option »-t« übergeben wurde). Sie
enthält die eingebauten Ketten INPUT (für Pakete mit Ziel lokaler Sockets),
FORWARD (für Pakete, die durch die Maschine weitergeleitet werden) und OUTPUT
(für lokal erstellte Pakete).
nat:
Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine neue
Verbindung erstellt. Sie besteht aus vier eingebauten Ketten: PREROUTING (zum
Verändern von Paketen direkt beim Eintreffen), INPUT (zum Verändern von Paketen
mit Ziel lokaler Sockets), OUTPUT (zum Verändern lokal erstellter Pakete vor
der Weiterleitung) und POSTROUTING (zum Verändern von Paketen beim Verlassen
der Maschine). IPv6 NAT ist seit Kernel 3.7 verfügbar.
mangle:
Diese Tabelle wird für spezialisierte Paketveränderung verwandt. Bis Kernel
2.4.17 hatte sie zwei eingebaute Ketten: PREROUTING (zum Verändern von
eingehenden Paketen vor der Weiterleitung) und OUTPUT (zum Verändern von lokal
erstellten Paketen vor der Weiterleitung). Seit Kernel 2.4.18 werden drei
weitere eingebaute Ketten auch unterstützt: INPUT (für Pakete, die in der
Maschine eintreffen), FORWARD (zum Verändern von Paketen, die durch die
Maschine weitergeleitet werden) und POSTROUTING (zum Verändern von Paketen beim
Verlassen der Maschine).
raw:
Diese Tabelle wird hauptsächlich zur Konfiguration von Ausnahmen von der
Verbindungsnachverfolgung im Zusammenspiel mit dem Ziel NOTRACK verwandt. Sie
wird bei den Netfilter-Hooks mit höherer Priorität registriert und wird daher
vor ip_conntrack und allen anderen IP-Tabellen aufgerufen. Sie stellt die
folgenden eingebauten Ketten bereit: PREROUTING (für Pakete, die auf beliebigen
Netzwerkschnittstellen ankommen) und OUTPUT (für Pakete, die von lokalen
Prozessen erstellt werden).
security:
Diese Tabelle wird für Netzwerkregeln des Mandatory Access Control (MAC)
verwandt, wie sie durch die Ziele SECMARK und CONNSECMARK aktiviert werden. MAC
wird durch Linux-Sicherheitsmodule wie SELinux implementiert. Die
Security-Tabelle wird nach der Filtertabelle aufgerufen und erlaubt allen
Regeln des Discretionary Access Control (DAC) in der Filtertabelle, vor den
MAC-Regeln wirksam zu werden. Diese Tabelle stellt die folgenden eingebauten
Regeln bereit: INPUT (für Pakete, die in die Maschine selbst kommen), OUTPUT
(zur Veränderung lokal erstellter Pakete vor der Weiterleitung) und FORWARD
(zur Veränderung von Paketen, die durch die Maschine weitergeleitet werden).
OPTIONEN
Die von iptables und ip6tables erkannten Optionen können in mehrere verschiedene Gruppen
eingeteilt werden.
BEFEHLE
Diese Optionen legen die gewünschte durchzuführende Aktion fest. Auf der Befehlszeile
kann, wenn nicht nachfolgend anders vermerkt, nur eine davon angegeben werden. Für lange
Versionen der Befehl- und Optionsnamen müssen Sie nur genug Buchstaben verwenden, um
sicherzustellen, dass iptables sie von allen anderen Optionen unterscheiden kann.
-A, --append Kette Regelfestlegung
Hängt eine oder mehrere Regeln am Ende der ausgewählten Kette an. Wenn die Quell-
oder Zielnamen zu mehr als einer Adresse aufgelöst werden können, dann wird eine
Regel an jede mögliche Adresskombination angehängt.
-C, --check Kette Regelfestlegung
Prüft, ob eine Regel, die mit einer Festlegung übereinstimmt, in der ausgewählten
Kette existiert. Dieser Befehl benutzt die gleiche Logik wie -D, um einen
übereinstimmenden Eintrag zu finden, aber ändert die bestehende
Iptables-Konfiguration nicht und verwendet den Exit-Code, um Erfolg oder Fehlschlag
anzuzeigen.
-D, --delete Kette Regelfestlegung
-D, --delete Kette Regelnummer
Löscht eine oder mehrere Regeln aus der ausgewählte Kette. Es gibt zwei Versionen
diese Befehls: die Regel kann als Nummer in der Kette festgelegt werden (beginnend
bei 1 für die erste Regel) oder als zu übereinstimmende Regel.
-I, --insert Kette [Regelnummer] Regelfestlegung
Fügt eine oder mehrere Regeln in die ausgewählte Kette bei der angegebenen
Regelnummer ein. Ist daher die Regelnummer 1, dann werden die Regel(n) am Anfang
der Kette eingefügt. Dies ist auch die Vorgabe, falls keine Regelnummer angegeben
wird.
-R, --replace Kette Regelnummer Regelfestlegung
Ersetzt eine Regel in der angegebenen Kette. Falls sich der Quell- und/oder
Zielname auf mehrere Adressen auflöst, dann wird der Befehl fehlschlagen. Regeln
werden nummeriert, beginnend bei 1.
-L, --list [Kette]
Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette ausgewählt ist,
dann werden alle Ketten aufgelistet. Wie jeder andere Befehl von Iptables gilt er
für die angegebene Tabelle (»filter« ist die Vorgabe). Daher werden NAT-Regeln
durch folgenden Befehl aufgelistet:
iptables -t nat -n -L
Bitte beachten Sie, dass dies oft mit der Option -n verwandt wird, um lange inverse
DNS-Auflösungen zu vermeiden. Es ist auch erlaubt, die Option -Z (zero) anzugeben.
Dann wird/werden die Kette(n) atomar aufgelistet und genullt. Die genaue Ausgabe
hängt von den anderen übergebenen Argumenten ab. Die genauen Regeln werden
unterdrückt, bis Sie
iptables -L -v
oder iptables-save(8) verwenden.
-S, --list-rules [Kette]
Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette ausgewählt ist,
dann werden alle Ketten wie bei »iptables-save« angezeigt. Wie jeder andere Befehl
von Iptables gilt er für die angegebene Tabelle (»filter« ist die Vorgabe).
-F, --flush [Kette]
Leert die ausgewählte Kette (alle Ketten in der Tabelle, falls keine angegeben
ist). Dies ist zum Löschen aller Regeln einer nach der anderen äquivalent.
-Z, --zero [Kette [Regelnummer]]
Setzt die Paket- und Bytezähler in allen Ketten auf Null, oder nur in der
angegebenen Kette oder nur die der angegebenen Regel in einer Kette. Es ist
korrekt, auch die Option -L, --list festzulegen, um die Zähler direkt vor dem
Bereinigen zu sehen (siehe oben).
-N, --new-chain Kette
Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf noch kein
Ziel mit diesem Namen geben.
-X, --delete-chain [Kette]
Löscht die angegebene Kette. Es darf keine Referenzen auf die Kette geben. Falls
diese existieren, müssen Sie die bezugnehmenden Regeln löschen oder ersetzen, bevor
die Kette gelöscht werden kann. Die Kette muss leer sein, d.h. sie darf keine
Regeln enthalten. Falls kein Argument angegeben ist, werden alle leeren Ketten in
der Tabelle gelöscht. Leere eingebaute Ketten können nur mit iptables-nft(8)
gelöscht werden.
-P, --policy Kette Ziel
Setzt die Richtlinie für die eingebaute (nicht benutzerdefinierte) Kette auf das
angegebene Ziel. Das Richtlinienziel muss entweder ACCEPT oder DROP sein.
-E, --rename-chain Altekette Neuekette
Benennt die benutzer-spezifizierte Kette in den vom Benutzer bereitgestellten Namen
um. Dies ist kosmetisch und hat keine Auswirkungen auf die Struktur der Tabelle.
-h Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus.
PARAMETER
Die folgenden Parameter bilden eine Regelspezifikation (wie sie in den Befehlen add,
delete, insert, replace und append verwandt wird).
-4, --ipv4
Diese Option hat keine Auswirkungen in iptables und iptables-restore(8). Falls eine
Regel mit (und nur mit) ip6tables-restore(8) eingefügt wird, die die Option -4
verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen werden
einen Fehler auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer
gemeinsamen Regeldatei für die Verwendung mit iptables-restore(8) und
ip6tables-restore(8).
-6, --ipv6
Falls eine Regel mit (und nur mit) iptables-restore(8) eingefügt wird, die die
Option -6 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen
werden einen Fehler auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln in einer
gemeinsamen Regeldatei für die Verwendung mit iptables-restore(8) und
ip6tables-restore(8). Diese Option hat keine Auswirkungen in ip6tables und
ip6tables-restore(8).
[!] -p, --protocol Protokoll
Das Protokoll der Regel oder des zu prüfenden Pakets. Das angegebene Protokoll kann
entweder tcp, udp, udplite, icmp, icmpv6, esp, ah, sctp, mh oder das besondere
Schlüsselwort »all« oder ein numerischer Wert, der eines dieser Protokolle oder ein
anderes darstellt. Ein Protokollname aus /etc/protocols ist erlaubt. Ein Argument
»!« vor dem Protokoll invertiert den Test. Die Zahl Null ist äquivalent zu all.
»all« stimmt mit allen Protokollen überein und wird als Vorgabewert verwandt, wenn
diese Option nicht angegeben wird. Beachten Sie, dass außer esp die
IPv6-Erweiterungskopfzeilen in ip6tables nicht erlaubt sind. esp und ipv6-nonext
können mit Kernelversion 2.6.11 oder neuer verwandt werden. Die Zahl Null ist zu
all äquivalent. Dies bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert
0 überprüfen können. Um mit einer HBH-Kopfzeile zu übereinstimmen, selbst wenn
diese die letzte wäre, können Sie -p 0 nicht benutzen, sondern benötigen immer -m
hbh.
[!] -s, --source Adresse[/Maske][,…]
Quellfestlegung. Adresse kann entweder ein Netzwerkname, ein Rechnername, eine
Netzwerk-IP-Adresse (mit /Maske) oder eine einfache IP-Adresse sein. Rechnernamen
werden nur einmal aufgelöst, bevor die Regel an den Kernel übergeben wird. Bitte
beachten Sie, dass es eine wirklich schlechte Idee ist, einen Namen anzugeben, der
über eine Abfrage in der Ferne (wie DNS) aufgelöst wird. Die Maske kann entweder
eine IPv4-Netzwerkmaske (für iptables) oder eine einfache Zahl sein, die die Anzahl
an 1en (von links gezählt) der Netzwerkmaske festlegt. Daher ist eine
Iptables-Maske 24 äquivalent zu 255.255.255.0. Ein Argument »!« vor der
Adressangabe invertiert die Bedeutung der Adresse. Der Schalter --src ist ein Alias
für diese Option. Mehrere Adressen können angegeben werden, aber dies wird zu
mehreren Regeln expandiert (beim Hinzufügen mit -A) oder führt zum Löschen von
mehreren Regeln (mit -D).
[!] -d, --destination Adresse[/Maske][,…]
Zielfestlegung. Siehe die Beschreibung des Schalters -s (Quelle) für eine
detaillierte Beschreibung der Syntax. Der Schalter --dst ist ein Alias für diese
Option.
-m, --match Übereinstimmung
Gibt eine zu verwendende Übereinstimmung an; das heißt ein Erweiterungsmodul, das
auf eine bestimmte Eigenschaft prüft. Die Gruppe der Übereinstimmungen stellt die
Bedingung dar, unter der ein Ziel aufgerufen wird. Übereinstimmungen werden in der
Reihenfolge der Angabe auf der Befehlszeile (von der ersten zur letzten)
ausgewertet und funktionieren in der Kurzschlussart. Das heißt, falls eine
Erweiterung als »falsch« ausgewertet wird, wird die Auswertung beendet.
-j, --jump Ziel
Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket übereinstimmt.
Das Ziel kann eine benutzerdefinierte Kette sein (die sich von der unterscheidet,
in der die Regel ist), eines der besonderen eingebauten Ziele, die sofort über das
Schicksal dieses Paketes entscheiden oder eine Erweiterung (siehe nachfolgende
ERWEITERUNGEN). Falls diese Option in einer Regel nicht angegeben wird (und -g
nicht verwandt wird), dann wird die übereinstimmende Regel keine Auswirkung auf das
Schicksal des Paketes haben, aber die Zähler der Regel werden erhöht.
-g, --goto Kette
Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette fortfahren
soll. Anders als die Option »--jump« wird bei »return« die Verarbeitung nicht in
dieser Kette fortgefahren, sondern in der Kette, die dies mittels »--jump« aufrief.
[!] -i, --in-interface Name
Name der Schnittstelle mittels der ein Paket empfangen wurde (nur für Pakete, die
in die Ketten INPUT, FORWARD und PREROUTING eintreten). Wird das Argument »!« vor
dem Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der
Schnittstellenname auf ein »+« endet, dann werden alle Schnittstellen
übereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben
wird, dann stimmen alle Schnittstellennamen überein.
[!] -o, --out-interface Name
Name der Schnittstelle mittels der ein Paket gesendet wird (für Pakete, die in die
Ketten FORWARD, OUTPUT und POSTROUTING eintreten). Wird das Argument »!« vor dem
Schnittstellennamen verwandt, wird die Bedeutung invertiert. Falls der
Schnittstellenname auf ein »+« endet, dann werden alle Schnittstellen
übereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht angegeben
wird, dann stimmen alle Schnittstellennamen überein.
[!] -f, --fragment
Dies bedeutet, dass sich die Regel nur auf das zweite und weitere IPv4-Fragmente
des fragmentierten Pakets bezieht. Da es keine Möglichkeit gibt, den Quell- oder
Zielport (oder den ICMP-Typ) solcher Pakete zu bestimmen, stimmen diese Pakete
nicht mit irgend einer Regel überein, die diese festlegen. Steht das Argument »!«
vor dem Schalter »-f«, dann stimmt die Regel nur mit Kopffragmenten oder nicht
fragmentierten Paketen überein. Diese Option ist IPv4-spezifisch und in ip6tables
nicht verfügbar.
-c, --set-counters Pakete Bytes
Diese Regel ermöglicht es dem Administrator, die Paket- und Bytezähler einer Regel
zu aktivieren (während der Aktionen INSERT, APPEND, REPLACE).
WEITERE OPTIONEN
Die folgenden zusätzlichen Optionen können festgelegt werden:
-v, --verbose
Ausführliche Ausgabe. Diese Option führt dazu, dass der Befehl »list«
Schnittstellennamen, die Regeloptionen (falls vorhanden) und die TOS-Masken
anzeigt. Die Paket- und Bytezähler werden auch aufgeführt, mit den Endungen »K«,
»M« oder »G« für 1000, 1.000.000 bzw. 1.000.000.000 (aber siehe den Schalter -x um
dies zu ändern). Beim Anhängen, Einfügen, Löschen und Ersetzen führt dieser
Schalter zu detaillierten Informationen über die auszugebenden Regel(n). -v kann
mehrfach angegeben werden, um möglicherweise detailliertere Fehlersuchausgaben zu
erzeugen: Zweimal angegeben wird iptables-legacy Tabelleninformationen und Einträge
in libiptc rausschreiben, iptables-nft wird Regeln in Netlink (VM-Code)
-Darstellungen rausschreiben. Dreimal angegeben wird iptables-nft auch alle an den
Kernel gesandten Netlinkmeldungen rausschreiben.
-V, --version
Zeigt die Programmversion und die verwandte Kernel-API.
-w, --wait [Sekunden]
Wartet auf die Xtables-Sperre. Um zu verhindern, dass mehrere Instanzen des
Programms gleichzeitig laufen, wird beim Start versucht, eine exklusive Sperre zu
erlangen. Standardmäßig wird sich das Programm beenden, falls die Sperre nicht
erlangt werden kann. Diese Option führt dazu, dass das Programm wartet (endlos oder
für die optionalen Sekunden), bis die exklusive Sperre erlangt werden kann.
-n, --numeric
Numerische Ausgabe. IP-Adressen und Port-Nummern werden im numerischen Format
dargestellt. Standardmäßig wird das Programm versuchen, sie als Rechnernamen,
Netzwerknamen oder Dienste (wo anwendbar) anzuzeigen.
-x, --exact
Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezähler an, statt nur
die gerundete Anzahl in Ks (Vielfaches von 1000), Ms (Vielfaches von 1000 K) oder
Gs (Vielfaches von 1000 M). Diese Option ist nur für den Befehl -L relevant.
--line-numbers
Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der Position
dieser Regel in der Kette entspricht.
--modprobe=Befehl
Verwendet beim Hinzufügen oder Einfügen von Regeln in einer Kette Befehl, um
notwendige Module (Ziele, Übereinstimmungserweiterungen usw.) zu laden.
SPERRDATEI
Iptables verwendet die Datei /run/xtables.lock, um eine exklusive Sperre beim Start zu
erlangen.
Die Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt werden, die Standardeinstellung
außer Kraft zu setzen.
ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN
Iptables kann erweiterte Paketübereinstimmungs- und -zielmodule benutzen. Eine Liste
dieser ist in der Handbuchseite iptables-extensions(8) verfügbar.
DIAGNOSE
Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe ausgegeben. Der
Exit-Code ist bei korrektem Funktionieren 0. Fehler, die aufgrund ungültiger oder
missbräuchlicher Befehlszeilenparameter verursacht werden, führen zu einem Exit-Code von 2
und andere Fehler führen zu einem Exit-Code von 1.
FEHLER
Fehler? Was sind das? ;-) Nun, vielleicht möchten Sie dazu auf
http://bugzilla.netfilter.org/ schauen. iptables wird sich sofort mit einem Fehler-Code
von 111 beenden, wenn es bemerkt, dass es als setuid-to-root-Programm aufgerufen wurde.
Iptables kann auf diese Art nicht sicher verwandt werden, da es den zur Laufzeit geladenen
dynamischen Bibliotheken (Übereinstimmungen, Zielen) vertraut und der Suchpfad mittels
Umgebungsvariablen gesetzt werden kann.
KOMPATIBILITÄT MIT IPCHAINS
Dieses iptables ist sehr ähnlich dem Ipchains von Rusty Russell. Der Hauptunterschied
besteht darin, dass die Ketten INPUT und OUTPUT nur für Pakete durchlaufen werden, die in
den lokalen Rechner eintreten bzw. von dem lokalen Rechner stammen. Daher läuft jedes
Paket nur durch eine der drei Ketten (außer dem Loopback-Verkehr, der sowohl die Ketten
INPUT als auch OUTPUT durchläuft); in der alten Ipchains-Version liefen weitergeleitete
Pakete durch alle drei.
Der andere Hauptunterschied besteht darin, dass sich -i auf die Eingabeschnittstelle
bezieht; sich -o auf die Ausgabeschnittstelle bezieht und beide für Pakete verfügbar sind,
die in die Kette FORWARD eintreten.
Die verschiedenen Arten von NAT wurden abgetrennt; iptables ist beim Einsatz der
Standardtabelle »filter« ein reiner Paketfilter, mit optionalen Erweiterungsmodulen. Dies
sollte einen Großteil der früheren Verwirrung über die Kombination von IP-Masquerading und
Paketfilterung vereinfachen. Daher werden die folgenden Optionen anders gehandhabt:
-j MASQ
-M -S
-M -L
Es gibt eine Reihe weiterer Änderungen in Iptables.
SIEHE AUCH
iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8),
Das packet-filtering-HOWTO gibt weitere Dateils zum Einsatz von Iptables zur
Paketfilterung, das NAT-HOWTO gibt Details zum NAT, das netfilter-extensions-HOWTO gibt
Details zu Erweiterungen, die nicht in der Standarddistribution sind und das
netfilter-hacking-HOWTO gibt Details zu den Interna von Netfilter.
Siehe http://www.netfilter.org/.
AUTOREN
Iptables wurde ursprünglich von Rusty Russell geschrieben, am Anfang stimmte er sich mit
Michael Neuling ab.
Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er für ein generisches
Paketauswahl-Rahmenwerk in Iptables warb, schrieb dann die Tabelle »mangle«, die
Eigentümerübereinstimmung, das Markierungszeug und machte überall coole Dinge.
James Morris schrieb das TOS-Ziel und die TOS-Übereinstimmung.
Jozsef Kadlecsik schrieb das REJECT-Ziel.
Harald Welte schrieb das ULOG- und NFQUEUE-Ziel, das neue Libiptc, sowie die TTL-, DSCP-,
ECN-Übereinstimmungen und -Ziele.
Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso, Eric Leblond,
Florian Westphal und Arturo Borrero Gonzalez. Ehemalige Kernteammitglieder sind: Marc
Boucher, Martin Josefsson, Yasuyuki Kozakai, James Morris, Harald Welte und Rusty Russell.
Die Handbuchseite wurde ursprünglich von Herve Eychenne <rv@wallfire.org> geschrieben.
VERSION
Diese Handbuchseite gilt für iptables/ip6tables 1.8.9.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.