Provided by: manpages-de_4.19.0-7_all bug

BEZEICHNUNG

       iptables/ip6tables — Administrationswerkzeug für IPv4/IPv6-Paketfilterung und NAT

ÜBERSICHT

       iptables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung

       ip6tables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung

       iptables [-t Tabelle] -I Kette [Regelnummer] Regelfestlegung

       iptables [-t Tabelle] -R Kette Regelnummer Regelfestlegung

       iptables [-t Tabelle] -D Kette Regelnummer

       iptables [-t Tabelle] -S [Kette [Regelnummer]]

       iptables [-t Tabelle] {-F|-L|-Z} [Kette [Regelnummer]] [Optionen…]

       iptables [-t Tabelle] -N Kette

       iptables [-t Tabelle] -X [Kette]

       iptables [-t Tabelle] -P Kette Ziel

       iptables [-t Tabelle] -E Alterkettenname Neuerkettenname

       Regelfestlegung = [Übereinstimmungen…] [Ziel]

       Übereinstimmung = -m Übereinstimmungsname [Übereinstimmungsabhängige_Optionen]

       Ziel = -j Zielname [Zielabhängige_Optionen]

BESCHREIBUNG

       Iptables  und  ip6tables  werden zur Einrichtung, der Pflege und Untersuchung der Tabellen
       der  IPv4-  und  IPv6-Paketfilterregeln  im  Linux-Kernel  verwandt.  Es  können   mehrere
       verschiedene  Tabellen  definiert  werden. Jede Tabelle enthält eine Reihe von eingebauten
       Ketten und kann auch benutzerdefinierte Ketten enthalten.

       Jede Kette ist eine Liste von Regeln, die  mit  einer  Reihe  von  Paketen  übereinstimmen
       können.  Jede  Regel legt fest, was mit einem übereinstimmenden Paket passieren soll. Dies
       wird »Ziel« genannt. Dabei kann zu einer benutzerdefinierten Kette in der gleichen Tabelle
       gesprungen werden.

ZIELE

       Eine  Firewall-Regel legt Kriterien für ein Paket und ein Ziel fest. Falls das Paket nicht
       übereinstimmt, wird die nächste Regel in der Kette geprüft; falls es  übereinstimmt,  dann
       wird  die  nächste  Regel  durch  den Wert des Ziels festgelegt. Diese kann der Name einer
       benutzerdefinierten Kette, eine der in  iptables-extensions(8)  beschriebenen  Ziele  oder
       eine der besonderen Werte ACCEPT, DROP oder RETURN sein.

       ACCEPT  bedeutet,  dass das Paket durchgelassen werden soll. DROP bedeutet, dass das Paket
       fallengelassen werden soll. RETURN bedeutet, dass der Durchlauf dieser Kette  beendet  und
       bei  der  nächsten  Regel  in der vorherigen (aufrufenden) Kette fortgefahren werden soll.
       Falls das Ende einer eingebauten Kette erreicht wird oder eine Übereinstimmung einer Regel
       in  einer  eingebauten  Kette  mit  dem  Ziel  RETURN erfolgt, dann bestimmt das durch die
       Ketten-Richtlinie festgelegte Ziel das Schicksal des Pakets.

TABELLEN

       Es gibt derzeit fünf unabhängige Tabellen. (Die zu einem  Zeitpunkt  vorhandenen  Tabellen
       hängen  von  den  Kernelkonfigurationsoptionen  und der Existenz der entsprechenden Module
       ab).

       -t, --table Tabelle
              Diese Option legt die Paketübereinstimmungstabelle fest, auf die der Befehl agieren
              soll.  Falls  der  Kernel  mit  automatischen  Modulladen  konfiguriert  ist,  wird
              versucht, das entsprechende Modul für diese Tabelle zu laden, falls es  noch  nicht
              bereits vorhanden ist.

              Die Tabellen sind wie folgt:

              filter:
                  Dies  ist  die  Standardtabelle  (falls keine Option »-t« übergeben wurde). Sie
                  enthält die eingebauten Ketten INPUT (für Pakete  mit  Ziel  lokaler  Sockets),
                  FORWARD  (für  Pakete, die durch die Maschine weitergeleitet werden) und OUTPUT
                  (für lokal erstellte Pakete).

              nat:
                  Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen wird, das eine  neue
                  Verbindung  erstellt.  Sie besteht aus vier eingebauten Ketten: PREROUTING (zum
                  Verändern von Paketen direkt beim Eintreffen), INPUT (zum Verändern von Paketen
                  mit  Ziel  lokaler  Sockets), OUTPUT (zum Verändern lokal erstellter Pakete vor
                  der Weiterleitung) und POSTROUTING (zum Verändern von  Paketen  beim  Verlassen
                  der Maschine). IPv6 NAT ist seit Kernel 3.7 verfügbar.

              mangle:
                  Diese  Tabelle  wird  für  spezialisierte Paketveränderung verwandt. Bis Kernel
                  2.4.17  hatte  sie  zwei  eingebaute  Ketten:  PREROUTING  (zum  Verändern  von
                  eingehenden  Paketen vor der Weiterleitung) und OUTPUT (zum Verändern von lokal
                  erstellten Paketen vor der  Weiterleitung).  Seit  Kernel  2.4.18  werden  drei
                  weitere  eingebaute  Ketten  auch  unterstützt:  INPUT  (für Pakete, die in der
                  Maschine eintreffen),  FORWARD  (zum  Verändern  von  Paketen,  die  durch  die
                  Maschine weitergeleitet werden) und POSTROUTING (zum Verändern von Paketen beim
                  Verlassen der Maschine).

              raw:
                  Diese Tabelle wird  hauptsächlich  zur  Konfiguration  von  Ausnahmen  von  der
                  Verbindungsnachverfolgung  im  Zusammenspiel mit dem Ziel NOTRACK verwandt. Sie
                  wird bei den Netfilter-Hooks mit höherer Priorität registriert und  wird  daher
                  vor  ip_conntrack  und  allen  anderen  IP-Tabellen  aufgerufen. Sie stellt die
                  folgenden eingebauten Ketten bereit: PREROUTING (für Pakete, die auf beliebigen
                  Netzwerkschnittstellen  ankommen)  und  OUTPUT  (für  Pakete,  die  von lokalen
                  Prozessen erstellt werden).

              security:
                  Diese Tabelle wird  für  Netzwerkregeln  des  Mandatory  Access  Control  (MAC)
                  verwandt, wie sie durch die Ziele SECMARK und CONNSECMARK aktiviert werden. MAC
                  wird   durch   Linux-Sicherheitsmodule   wie   SELinux    implementiert.    Die
                  Security-Tabelle  wird  nach  der  Filtertabelle  aufgerufen  und erlaubt allen
                  Regeln des Discretionary Access Control (DAC) in  der  Filtertabelle,  vor  den
                  MAC-Regeln  wirksam  zu  werden. Diese Tabelle stellt die folgenden eingebauten
                  Regeln bereit: INPUT (für Pakete, die in die Maschine  selbst  kommen),  OUTPUT
                  (zur  Veränderung  lokal  erstellter  Pakete vor der Weiterleitung) und FORWARD
                  (zur Veränderung von Paketen, die durch die Maschine weitergeleitet werden).

OPTIONEN

       Die von iptables und ip6tables erkannten Optionen können in mehrere  verschiedene  Gruppen
       eingeteilt werden.

   BEFEHLE
       Diese  Optionen  legen  die  gewünschte  durchzuführende Aktion fest. Auf der Befehlszeile
       kann, wenn nicht nachfolgend anders vermerkt, nur eine davon angegeben werden.  Für  lange
       Versionen  der  Befehl-  und  Optionsnamen  müssen  Sie nur genug Buchstaben verwenden, um
       sicherzustellen, dass iptables sie von allen anderen Optionen unterscheiden kann.

       -A, --append Kette Regelfestlegung
              Hängt eine oder mehrere Regeln am Ende der ausgewählten Kette an. Wenn  die  Quell-
              oder  Zielnamen  zu  mehr als einer Adresse aufgelöst werden können, dann wird eine
              Regel an jede mögliche Adresskombination angehängt.

       -C, --check Kette Regelfestlegung
              Prüft, ob eine Regel, die mit einer Festlegung übereinstimmt, in  der  ausgewählten
              Kette  existiert.  Dieser  Befehl  benutzt  die  gleiche  Logik  wie  -D,  um einen
              übereinstimmenden   Eintrag    zu    finden,    aber    ändert    die    bestehende
              Iptables-Konfiguration nicht und verwendet den Exit-Code, um Erfolg oder Fehlschlag
              anzuzeigen.

       -D, --delete Kette Regelfestlegung
       -D, --delete Kette Regelnummer
              Löscht eine oder mehrere Regeln aus der ausgewählte Kette. Es gibt  zwei  Versionen
              diese  Befehls: die Regel kann als Nummer in der Kette festgelegt werden (beginnend
              bei 1 für die erste Regel) oder als zu übereinstimmende Regel.

       -I, --insert Kette [Regelnummer] Regelfestlegung
              Fügt eine oder  mehrere  Regeln  in  die  ausgewählte  Kette  bei  der  angegebenen
              Regelnummer  ein.  Ist  daher die Regelnummer 1, dann werden die Regel(n) am Anfang
              der Kette eingefügt. Dies ist auch die Vorgabe, falls keine  Regelnummer  angegeben
              wird.

       -R, --replace Kette Regelnummer Regelfestlegung
              Ersetzt  eine  Regel  in  der  angegebenen  Kette.  Falls  sich der Quell- und/oder
              Zielname auf mehrere Adressen auflöst, dann wird der  Befehl  fehlschlagen.  Regeln
              werden nummeriert, beginnend bei 1.

       -L, --list [Kette]
              Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette ausgewählt ist,
              dann werden alle Ketten aufgelistet. Wie jeder andere Befehl von Iptables  gilt  er
              für  die  angegebene  Tabelle  (»filter«  ist die Vorgabe). Daher werden NAT-Regeln
              durch folgenden Befehl aufgelistet:
               iptables -t nat -n -L
              Bitte beachten Sie, dass dies oft mit der Option -n verwandt wird, um lange inverse
              DNS-Auflösungen  zu vermeiden. Es ist auch erlaubt, die Option -Z (zero) anzugeben.
              Dann wird/werden die Kette(n) atomar aufgelistet und genullt.  Die  genaue  Ausgabe
              hängt  von  den  anderen  übergebenen  Argumenten  ab.  Die  genauen  Regeln werden
              unterdrückt, bis Sie
               iptables -L -v
              oder iptables-save(8) verwenden.

       -S, --list-rules [Kette]
              Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette  ausgewählt  ist,
              dann  werden alle Ketten wie bei »iptables-save« angezeigt. Wie jeder andere Befehl
              von Iptables gilt er für die angegebene Tabelle (»filter« ist die Vorgabe).

       -F, --flush [Kette]
              Leert die ausgewählte Kette (alle Ketten in  der  Tabelle,  falls  keine  angegeben
              ist). Dies ist zum Löschen aller Regeln einer nach der anderen äquivalent.

       -Z, --zero [Kette [Regelnummer]]
              Setzt  die  Paket-  und  Bytezähler  in  allen  Ketten  auf  Null,  oder nur in der
              angegebenen Kette oder nur die  der  angegebenen  Regel  in  einer  Kette.  Es  ist
              korrekt,  auch  die  Option  -L,  --list  festzulegen, um die Zähler direkt vor dem
              Bereinigen zu sehen (siehe oben).

       -N, --new-chain Kette
              Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen. Es darf noch kein
              Ziel mit diesem Namen geben.

       -X, --delete-chain [Kette]
              Löscht  die  angegebene  Kette. Es darf keine Referenzen auf die Kette geben. Falls
              diese existieren, müssen Sie die bezugnehmenden Regeln löschen oder ersetzen, bevor
              die  Kette  gelöscht  werden  kann.  Die  Kette muss leer sein, d.h. sie darf keine
              Regeln enthalten. Falls kein Argument angegeben ist, werden alle leeren  Ketten  in
              der  Tabelle  gelöscht.  Leere  eingebaute  Ketten  können  nur mit iptables-nft(8)
              gelöscht werden.

       -P, --policy Kette Ziel
              Setzt die Richtlinie für die eingebaute (nicht benutzerdefinierte)  Kette  auf  das
              angegebene Ziel. Das Richtlinienziel muss entweder ACCEPT oder DROP sein.

       -E, --rename-chain Altekette Neuekette
              Benennt die benutzer-spezifizierte Kette in den vom Benutzer bereitgestellten Namen
              um. Dies ist kosmetisch und hat keine Auswirkungen auf die Struktur der Tabelle.

       -h     Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus.

   PARAMETER
       Die folgenden Parameter bilden eine Regelspezifikation  (wie  sie  in  den  Befehlen  add,
       delete, insert, replace und append verwandt wird).

       -4, --ipv4
              Diese Option hat keine Auswirkungen in iptables und iptables-restore(8). Falls eine
              Regel mit (und nur mit) ip6tables-restore(8) eingefügt  wird,  die  die  Option  -4
              verwendet,  wird  sie  stillschweigend  ignoriert. Alle anderen Verwendungen werden
              einen Fehler  auslösen.  Diese  Option  erlaubt  IPv4-  und  IPv6-Regeln  in  einer
              gemeinsamen   Regeldatei   für   die   Verwendung   mit   iptables-restore(8)   und
              ip6tables-restore(8).

       -6, --ipv6
              Falls eine Regel mit (und nur mit)  iptables-restore(8)  eingefügt  wird,  die  die
              Option  -6 verwendet, wird sie stillschweigend ignoriert. Alle anderen Verwendungen
              werden einen Fehler auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln  in  einer
              gemeinsamen   Regeldatei   für   die   Verwendung   mit   iptables-restore(8)   und
              ip6tables-restore(8).  Diese  Option  hat  keine  Auswirkungen  in  ip6tables   und
              ip6tables-restore(8).

       [!] -p, --protocol Protokoll
              Das Protokoll der Regel oder des zu prüfenden Pakets. Das angegebene Protokoll kann
              entweder tcp, udp, udplite, icmp, icmpv6, esp, ah,  sctp,  mh  oder  das  besondere
              Schlüsselwort »all« oder ein numerischer Wert, der eines dieser Protokolle oder ein
              anderes darstellt. Ein Protokollname aus /etc/protocols ist erlaubt.  Ein  Argument
              »!«  vor  dem  Protokoll  invertiert den Test. Die Zahl Null ist äquivalent zu all.
              »all« stimmt mit allen Protokollen überein und wird als Vorgabewert verwandt,  wenn
              diese   Option   nicht   angegeben   wird.   Beachten   Sie,  dass  außer  esp  die
              IPv6-Erweiterungskopfzeilen in ip6tables nicht erlaubt sind.  esp  und  ipv6-nonext
              können  mit  Kernelversion  2.6.11 oder neuer verwandt werden. Die Zahl Null ist zu
              all äquivalent. Dies bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert
              0  überprüfen  können.  Um  mit  einer HBH-Kopfzeile zu übereinstimmen, selbst wenn
              diese die letzte wäre, können Sie -p 0 nicht benutzen, sondern benötigen  immer  -m
              hbh.

       [!] -s, --source Adresse[/Maske][,]
              Quellfestlegung.  Adresse  kann  entweder  ein  Netzwerkname, ein Rechnername, eine
              Netzwerk-IP-Adresse (mit /Maske) oder eine einfache IP-Adresse  sein.  Rechnernamen
              werden  nur  einmal  aufgelöst, bevor die Regel an den Kernel übergeben wird. Bitte
              beachten Sie, dass es eine wirklich schlechte Idee ist, einen Namen anzugeben,  der
              über  eine  Abfrage  in der Ferne (wie DNS) aufgelöst wird. Die Maske kann entweder
              eine IPv4-Netzwerkmaske (für iptables) oder eine einfache Zahl sein, die die Anzahl
              an   1en   (von   links   gezählt)  der  Netzwerkmaske  festlegt.  Daher  ist  eine
              Iptables-Maske  24  äquivalent  zu  255.255.255.0.  Ein  Argument   »!«   vor   der
              Adressangabe invertiert die Bedeutung der Adresse. Der Schalter --src ist ein Alias
              für diese Option. Mehrere Adressen können  angegeben  werden,  aber  dies  wird  zu
              mehreren  Regeln  expandiert  (beim  Hinzufügen  mit -A) oder führt zum Löschen von
              mehreren Regeln (mit -D).

       [!] -d, --destination Adresse[/Maske][,]
              Zielfestlegung.  Siehe  die  Beschreibung  des  Schalters  -s  (Quelle)  für   eine
              detaillierte  Beschreibung  der  Syntax. Der Schalter --dst ist ein Alias für diese
              Option.

       -m, --match Übereinstimmung
              Gibt eine zu verwendende Übereinstimmung an; das heißt ein  Erweiterungsmodul,  das
              auf  eine  bestimmte Eigenschaft prüft. Die Gruppe der Übereinstimmungen stellt die
              Bedingung dar, unter der ein Ziel aufgerufen wird. Übereinstimmungen werden in  der
              Reihenfolge   der  Angabe  auf  der  Befehlszeile  (von  der  ersten  zur  letzten)
              ausgewertet  und  funktionieren  in  der  Kurzschlussart.  Das  heißt,  falls  eine
              Erweiterung als »falsch« ausgewertet wird, wird die Auswertung beendet.

       -j, --jump Ziel
              Dies  gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket übereinstimmt.
              Das Ziel kann eine benutzerdefinierte Kette sein (die sich von  der  unterscheidet,
              in  der die Regel ist), eines der besonderen eingebauten Ziele, die sofort über das
              Schicksal dieses Paketes entscheiden  oder  eine  Erweiterung  (siehe  nachfolgende
              ERWEITERUNGEN).  Falls  diese  Option  in  einer Regel nicht angegeben wird (und -g
              nicht verwandt wird), dann wird die übereinstimmende Regel keine Auswirkung auf das
              Schicksal des Paketes haben, aber die Zähler der Regel werden erhöht.

       -g, --goto Kette
              Dies  gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette fortfahren
              soll. Anders als die Option »--jump« wird bei »return« die  Verarbeitung  nicht  in
              dieser Kette fortgefahren, sondern in der Kette, die dies mittels »--jump« aufrief.

       [!] -i, --in-interface Name
              Name  der  Schnittstelle mittels der ein Paket empfangen wurde (nur für Pakete, die
              in die Ketten INPUT, FORWARD und PREROUTING eintreten). Wird das Argument  »!«  vor
              dem   Schnittstellennamen  verwandt,  wird  die  Bedeutung  invertiert.  Falls  der
              Schnittstellenname  auf  ein   »+«   endet,   dann   werden   alle   Schnittstellen
              übereinstimmen,  die  mit diesem Namen beginnen. Falls diese Option nicht angegeben
              wird, dann stimmen alle Schnittstellennamen überein.

       [!] -o, --out-interface Name
              Name der Schnittstelle mittels der ein Paket gesendet wird (für Pakete, die in  die
              Ketten  FORWARD,  OUTPUT  und POSTROUTING eintreten). Wird das Argument »!« vor dem
              Schnittstellennamen  verwandt,   wird   die   Bedeutung   invertiert.   Falls   der
              Schnittstellenname   auf   ein   »+«   endet,   dann   werden  alle  Schnittstellen
              übereinstimmen, die mit diesem Namen beginnen. Falls diese Option  nicht  angegeben
              wird, dann stimmen alle Schnittstellennamen überein.

       [!] -f, --fragment
              Dies  bedeutet,  dass  sich die Regel nur auf das zweite und weitere IPv4-Fragmente
              des fragmentierten Pakets bezieht. Da es keine Möglichkeit gibt,  den  Quell-  oder
              Zielport  (oder  den  ICMP-Typ)  solcher  Pakete zu bestimmen, stimmen diese Pakete
              nicht mit irgend einer Regel überein, die diese festlegen. Steht das  Argument  »!«
              vor  dem  Schalter  »-f«,  dann  stimmt die Regel nur mit Kopffragmenten oder nicht
              fragmentierten Paketen überein. Diese Option ist IPv4-spezifisch und  in  ip6tables
              nicht verfügbar.

       -c, --set-counters Pakete Bytes
              Diese  Regel ermöglicht es dem Administrator, die Paket- und Bytezähler einer Regel
              zu aktivieren (während der Aktionen INSERT, APPEND, REPLACE).

   WEITERE OPTIONEN
       Die folgenden zusätzlichen Optionen können festgelegt werden:

       -v, --verbose
              Ausführliche  Ausgabe.  Diese  Option  führt   dazu,   dass   der   Befehl   »list«
              Schnittstellennamen,   die  Regeloptionen  (falls  vorhanden)  und  die  TOS-Masken
              anzeigt. Die Paket- und Bytezähler werden auch aufgeführt, mit  den  Endungen  »K«,
              »M«  oder »G« für 1000, 1.000.000 bzw. 1.000.000.000 (aber siehe den Schalter -x um
              dies zu ändern).  Beim  Anhängen,  Einfügen,  Löschen  und  Ersetzen  führt  dieser
              Schalter  zu  detaillierten  Informationen über die auszugebenden Regel(n). -v kann
              mehrfach angegeben werden, um möglicherweise detailliertere  Fehlersuchausgaben  zu
              erzeugen: Zweimal angegeben wird iptables-legacy Tabelleninformationen und Einträge
              in  libiptc  rausschreiben,  iptables-nft  wird   Regeln   in   Netlink   (VM-Code)
              -Darstellungen  rausschreiben. Dreimal angegeben wird iptables-nft auch alle an den
              Kernel gesandten Netlinkmeldungen rausschreiben.

       -V, --version
              Zeigt die Programmversion und die verwandte Kernel-API.

       -w, --wait [Sekunden]
              Wartet auf die  Xtables-Sperre.  Um  zu  verhindern,  dass  mehrere  Instanzen  des
              Programms  gleichzeitig  laufen, wird beim Start versucht, eine exklusive Sperre zu
              erlangen. Standardmäßig wird sich das Programm  beenden,  falls  die  Sperre  nicht
              erlangt werden kann. Diese Option führt dazu, dass das Programm wartet (endlos oder
              für die optionalen Sekunden), bis die exklusive Sperre erlangt werden kann.

       -n, --numeric
              Numerische Ausgabe. IP-Adressen  und  Port-Nummern  werden  im  numerischen  Format
              dargestellt.  Standardmäßig  wird  das  Programm  versuchen,  sie als Rechnernamen,
              Netzwerknamen oder Dienste (wo anwendbar) anzuzeigen.

       -x, --exact
              Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezähler an,  statt  nur
              die  gerundete  Anzahl in Ks (Vielfaches von 1000), Ms (Vielfaches von 1000 K) oder
              Gs (Vielfaches von 1000 M). Diese Option ist nur für den Befehl -L relevant.

       --line-numbers
              Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der Position
              dieser Regel in der Kette entspricht.

       --modprobe=Befehl
              Verwendet  beim  Hinzufügen  oder  Einfügen  von  Regeln  in einer Kette Befehl, um
              notwendige Module (Ziele, Übereinstimmungserweiterungen usw.) zu laden.

SPERRDATEI

       Iptables verwendet die Datei /run/xtables.lock, um eine exklusive  Sperre  beim  Start  zu
       erlangen.

       Die  Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt werden, die Standardeinstellung
       außer Kraft zu setzen.

ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN

       Iptables kann erweiterte  Paketübereinstimmungs-  und  -zielmodule  benutzen.  Eine  Liste
       dieser ist in der Handbuchseite iptables-extensions(8) verfügbar.

DIAGNOSE

       Verschiedene   Fehlermeldungen   werden  auf  die  Standardfehlerausgabe  ausgegeben.  Der
       Exit-Code ist  bei  korrektem  Funktionieren  0.  Fehler,  die  aufgrund  ungültiger  oder
       missbräuchlicher Befehlszeilenparameter verursacht werden, führen zu einem Exit-Code von 2
       und andere Fehler führen zu einem Exit-Code von 1.

FEHLER

       Fehler?   Was   sind    das?    ;-)    Nun,    vielleicht    möchten    Sie    dazu    auf
       http://bugzilla.netfilter.org/  schauen.  iptables  wird sich sofort mit einem Fehler-Code
       von 111 beenden, wenn es bemerkt, dass es als  setuid-to-root-Programm  aufgerufen  wurde.
       Iptables kann auf diese Art nicht sicher verwandt werden, da es den zur Laufzeit geladenen
       dynamischen Bibliotheken (Übereinstimmungen, Zielen) vertraut  und  der  Suchpfad  mittels
       Umgebungsvariablen gesetzt werden kann.

KOMPATIBILITÄT MIT IPCHAINS

       Dieses  iptables  ist  sehr  ähnlich  dem Ipchains von Rusty Russell. Der Hauptunterschied
       besteht darin, dass die Ketten INPUT und OUTPUT nur für Pakete durchlaufen werden, die  in
       den  lokalen  Rechner  eintreten  bzw.  von dem lokalen Rechner stammen. Daher läuft jedes
       Paket nur durch eine der drei Ketten (außer dem Loopback-Verkehr, der  sowohl  die  Ketten
       INPUT  als  auch  OUTPUT durchläuft); in der alten Ipchains-Version liefen weitergeleitete
       Pakete durch alle drei.

       Der andere Hauptunterschied besteht darin,  dass  sich  -i  auf  die  Eingabeschnittstelle
       bezieht; sich -o auf die Ausgabeschnittstelle bezieht und beide für Pakete verfügbar sind,
       die in die Kette FORWARD eintreten.

       Die verschiedenen  Arten  von  NAT  wurden  abgetrennt;  iptables  ist  beim  Einsatz  der
       Standardtabelle  »filter« ein reiner Paketfilter, mit optionalen Erweiterungsmodulen. Dies
       sollte einen Großteil der früheren Verwirrung über die Kombination von IP-Masquerading und
       Paketfilterung vereinfachen. Daher werden die folgenden Optionen anders gehandhabt:
        -j MASQ
        -M -S
        -M -L
       Es gibt eine Reihe weiterer Änderungen in Iptables.

SIEHE AUCH

       iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8),

       Das   packet-filtering-HOWTO   gibt   weitere   Dateils   zum  Einsatz  von  Iptables  zur
       Paketfilterung, das NAT-HOWTO gibt Details zum NAT,  das  netfilter-extensions-HOWTO  gibt
       Details   zu   Erweiterungen,   die   nicht  in  der  Standarddistribution  sind  und  das
       netfilter-hacking-HOWTO gibt Details zu den Interna von Netfilter.
       Siehe http://www.netfilter.org/.

AUTOREN

       Iptables wurde ursprünglich von Rusty Russell geschrieben, am Anfang stimmte er  sich  mit
       Michael Neuling ab.

       Marc  Boucher  bewegte  Rusty  zur  Aufgabe  von  Ipnatctl,  indem  er für ein generisches
       Paketauswahl-Rahmenwerk  in  Iptables  warb,  schrieb  dann  die  Tabelle  »mangle«,   die
       Eigentümerübereinstimmung, das Markierungszeug und machte überall coole Dinge.

       James Morris schrieb das TOS-Ziel und die TOS-Übereinstimmung.

       Jozsef Kadlecsik schrieb das REJECT-Ziel.

       Harald  Welte schrieb das ULOG- und NFQUEUE-Ziel, das neue Libiptc, sowie die TTL-, DSCP-,
       ECN-Übereinstimmungen und -Ziele.

       Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo  Neira  Ayuso,  Eric  Leblond,
       Florian  Westphal  und  Arturo  Borrero  Gonzalez. Ehemalige Kernteammitglieder sind: Marc
       Boucher, Martin Josefsson, Yasuyuki Kozakai, James Morris, Harald Welte und Rusty Russell.

       Die Handbuchseite wurde ursprünglich von Herve Eychenne <rv@wallfire.org> geschrieben.

VERSION

       Diese Handbuchseite gilt für iptables/ip6tables 1.8.9.

ÜBERSETZUNG

       Die   deutsche   Übersetzung   dieser   Handbuchseite   wurde   von    Helge    Kreutzmann
       <debian@helgefjell.de> erstellt.

       Diese  Übersetzung  ist  Freie  Dokumentation;  lesen  Sie  die GNU General Public License
       Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der  Copyright-
       Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.