oracular (8) iptables.8.gz

Provided by: manpages-de_4.23.1-1_all bug

BEZEICHNUNG

       iptables/ip6tables — Administrationswerkzeug für IPv4/IPv6-Paketfilterung und NAT

ÜBERSICHT

       iptables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung

       ip6tables [-t Tabelle] {-A|-C|-D|-V} Kette Regelfestlegung

       iptables [-t Tabelle] -I Kette [Regelnummer] Regelfestlegung

       iptables [-t Tabelle] -R Kette Regelnummer Regelfestlegung

       iptables [-t Tabelle] -D Kette Regelnummer

       iptables [-t Tabelle] -S [Kette [Regelnummer]]

       iptables [-t Tabelle] {-F|-L|-Z} [Kette [Regelnummer]] [Optionen…]

       iptables [-t Tabelle] -N Kette

       iptables [-t Tabelle] -X [Kette]

       iptables [-t Tabelle] -P Kette Ziel

       iptables [-t Tabelle] -E Alterkettenname Neuerkettenname

       Regelfestlegung = [Übereinstimmungen…] [Ziel]

       Übereinstimmung = -m Übereinstimmungsname [Übereinstimmungsabhängige_Optionen]

       Ziel = -j Zielname [Zielabhängige_Optionen]

BESCHREIBUNG

       Iptables  und  ip6tables  werden  zur Einrichtung, der Pflege und Untersuchung der Tabellen der IPv4- und
       IPv6-Paketfilterregeln im Linux-Kernel  verwandt.  Es  können  mehrere  verschiedene  Tabellen  definiert
       werden.  Jede  Tabelle  enthält eine Reihe von eingebauten Ketten und kann auch benutzerdefinierte Ketten
       enthalten.

       Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen übereinstimmen können.  Jede  Regel
       legt  fest, was mit einem übereinstimmenden Paket passieren soll. Dies wird »Ziel« genannt. Dabei kann zu
       einer benutzerdefinierten Kette in der gleichen Tabelle gesprungen werden.

ZIELE

       Eine Firewall-Regel legt Kriterien für ein Paket und ein Ziel fest. Falls das Paket nicht  übereinstimmt,
       wird  die  nächste  Regel in der Kette geprüft; falls es übereinstimmt, dann wird die nächste Regel durch
       den Wert des Ziels festgelegt.  Diese  kann  der  Name  einer  benutzerdefinierten  Kette,  eine  der  in
       iptables-extensions(8) beschriebenen Ziele oder eine der besonderen Werte ACCEPT, DROP oder RETURN sein.

       ACCEPT  bedeutet,  dass das Paket durchgelassen werden soll. DROP bedeutet, dass das Paket fallengelassen
       werden soll. RETURN bedeutet, dass der Durchlauf dieser Kette beendet und bei der nächsten Regel  in  der
       vorherigen  (aufrufenden) Kette fortgefahren werden soll. Falls das Ende einer eingebauten Kette erreicht
       wird oder eine Übereinstimmung einer Regel in einer eingebauten Kette mit dem Ziel RETURN  erfolgt,  dann
       bestimmt das durch die Ketten-Richtlinie festgelegte Ziel das Schicksal des Pakets.

TABELLEN

       Es  gibt  derzeit  fünf unabhängige Tabellen. (Die zu einem Zeitpunkt vorhandenen Tabellen hängen von den
       Kernelkonfigurationsoptionen und der Existenz der entsprechenden Module ab).

       -t, --table Tabelle
              Diese Option legt die Paketübereinstimmungstabelle fest, auf die der Befehl  agieren  soll.  Falls
              der  Kernel  mit automatischen Modulladen konfiguriert ist, wird versucht, das entsprechende Modul
              für diese Tabelle zu laden, falls es noch nicht bereits vorhanden ist.

              Die Tabellen sind wie folgt:

              filter:
                  Dies ist die Standardtabelle (falls keine  Option  »-t«  übergeben  wurde).  Sie  enthält  die
                  eingebauten Ketten INPUT (für Pakete mit Ziel lokaler Sockets), FORWARD (für Pakete, die durch
                  die Maschine weitergeleitet werden) und OUTPUT (für lokal erstellte Pakete).

              nat:
                  Diese Tabelle wird beteiligt, wenn auf ein Paket getroffen  wird,  das  eine  neue  Verbindung
                  erstellt.  Sie  besteht  aus  vier  eingebauten  Ketten: PREROUTING (zum Verändern von Paketen
                  direkt beim Eintreffen), INPUT (zum Verändern von Paketen mit Ziel  lokaler  Sockets),  OUTPUT
                  (zum  Verändern  lokal erstellter Pakete vor der Weiterleitung) und POSTROUTING (zum Verändern
                  von Paketen beim Verlassen der Maschine). IPv6 NAT ist seit Kernel 3.7 verfügbar.

              mangle:
                  Diese Tabelle wird für spezialisierte Paketveränderung verwandt. Bis Kernel 2.4.17  hatte  sie
                  zwei   eingebaute   Ketten:   PREROUTING  (zum  Verändern  von  eingehenden  Paketen  vor  der
                  Weiterleitung) und OUTPUT (zum Verändern von lokal erstellten Paketen vor der  Weiterleitung).
                  Seit  Kernel 2.4.18 werden drei weitere eingebaute Ketten auch unterstützt: INPUT (für Pakete,
                  die in der Maschine eintreffen), FORWARD (zum Verändern von Paketen, die  durch  die  Maschine
                  weitergeleitet  werden)  und  POSTROUTING  (zum  Verändern  von  Paketen  beim  Verlassen  der
                  Maschine).

              raw:
                  Diese   Tabelle   wird   hauptsächlich   zur   Konfiguration    von    Ausnahmen    von    der
                  Verbindungsnachverfolgung  im  Zusammenspiel  mit  dem Ziel NOTRACK verwandt. Sie wird bei den
                  Netfilter-Hooks mit höherer Priorität registriert und wird daher vor  ip_conntrack  und  allen
                  anderen IP-Tabellen aufgerufen. Sie stellt die folgenden eingebauten Ketten bereit: PREROUTING
                  (für Pakete, die auf beliebigen Netzwerkschnittstellen ankommen) und OUTPUT (für  Pakete,  die
                  von lokalen Prozessen erstellt werden).

              security:
                  Diese  Tabelle  wird  für  Netzwerkregeln des Mandatory Access Control (MAC) verwandt, wie sie
                  durch   die   Ziele   SECMARK   und   CONNSECMARK   aktiviert   werden.   MAC    wird    durch
                  Linux-Sicherheitsmodule   wie  SELinux  implementiert.  Die  Security-Tabelle  wird  nach  der
                  Filtertabelle aufgerufen und erlaubt allen Regeln des Discretionary Access  Control  (DAC)  in
                  der  Filtertabelle,  vor  den MAC-Regeln wirksam zu werden. Diese Tabelle stellt die folgenden
                  eingebauten Regeln bereit: INPUT (für Pakete, die in die Maschine selbst kommen), OUTPUT  (zur
                  Veränderung  lokal  erstellter  Pakete vor der Weiterleitung) und FORWARD (zur Veränderung von
                  Paketen, die durch die Maschine weitergeleitet werden).

OPTIONEN

       Die von iptables und ip6tables erkannten Optionen  können  in  mehrere  verschiedene  Gruppen  eingeteilt
       werden.

   BEFEHLE
       Diese  Optionen  legen  die gewünschte durchzuführende Aktion fest. Auf der Befehlszeile kann, wenn nicht
       nachfolgend anders vermerkt, nur eine davon  angegeben  werden.  Für  lange  Versionen  der  Befehl-  und
       Optionsnamen  müssen  Sie nur genug Buchstaben verwenden, um sicherzustellen, dass iptables sie von allen
       anderen Optionen unterscheiden kann.

       -A, --append Kette Regelfestlegung
              Hängt eine oder mehrere Regeln am Ende der ausgewählten Kette an. Wenn die Quell-  oder  Zielnamen
              zu  mehr  als  einer  Adresse  aufgelöst  werden  können,  dann  wird  eine Regel an jede mögliche
              Adresskombination angehängt.

       -C, --check Kette Regelfestlegung
              Prüft, ob eine Regel, die mit einer Festlegung übereinstimmt, in der ausgewählten Kette existiert.
              Dieser Befehl benutzt die gleiche Logik wie -D, um einen übereinstimmenden Eintrag zu finden, aber
              ändert die bestehende Iptables-Konfiguration nicht und verwendet den  Exit-Code,  um  Erfolg  oder
              Fehlschlag anzuzeigen.

       -D, --delete Kette Regelfestlegung
       -D, --delete Kette Regelnummer
              Löscht  eine  oder mehrere Regeln aus der ausgewählte Kette. Es gibt zwei Versionen diese Befehls:
              die Regel kann als Nummer in der Kette festgelegt werden (beginnend bei 1  für  die  erste  Regel)
              oder als zu übereinstimmende Regel.

       -I, --insert Kette [Regelnummer] Regelfestlegung
              Fügt  eine  oder  mehrere Regeln in die ausgewählte Kette bei der angegebenen Regelnummer ein. Ist
              daher die Regelnummer 1, dann werden die Regel(n) am Anfang der Kette eingefügt. Dies ist auch die
              Vorgabe, falls keine Regelnummer angegeben wird.

       -R, --replace Kette Regelnummer Regelfestlegung
              Ersetzt  eine  Regel in der angegebenen Kette. Falls sich der Quell- und/oder Zielname auf mehrere
              Adressen auflöst, dann wird der Befehl fehlschlagen. Regeln werden nummeriert, beginnend bei 1.

       -L, --list [Kette]
              Listet alle Regeln in der ausgewählten Kette auf. Falls keine Kette ausgewählt  ist,  dann  werden
              alle  Ketten  aufgelistet. Wie jeder andere Befehl von Iptables gilt er für die angegebene Tabelle
              (»filter« ist die Vorgabe). Daher werden NAT-Regeln durch folgenden Befehl aufgelistet:
               iptables -t nat -n -L
              Bitte  beachten  Sie,  dass  dies  oft  mit  der  Option  -n  verwandt  wird,  um  lange   inverse
              DNS-Auflösungen  zu  vermeiden.  Es  ist  auch  erlaubt,  die  Option  -Z  (zero)  anzugeben. Dann
              wird/werden die Kette(n) atomar aufgelistet und genullt. Die genaue Ausgabe hängt von den  anderen
              übergebenen Argumenten ab. Die genauen Regeln werden unterdrückt, bis Sie
               iptables -L -v
              oder iptables-save(8) verwenden.

       -S, --list-rules [Kette]
              Zeigt alle Regeln in der ausgewählten Kette an. Falls keine Kette ausgewählt ist, dann werden alle
              Ketten wie bei »iptables-save« angezeigt. Wie jeder andere Befehl von Iptables  gilt  er  für  die
              angegebene Tabelle (»filter« ist die Vorgabe).

       -F, --flush [Kette]
              Leert  die ausgewählte Kette (alle Ketten in der Tabelle, falls keine angegeben ist). Dies ist zum
              Löschen aller Regeln einer nach der anderen äquivalent.

       -Z, --zero [Kette [Regelnummer]]
              Setzt die Paket- und Bytezähler in allen Ketten auf Null, oder nur in der angegebenen  Kette  oder
              nur  die  der  angegebenen  Regel  in  einer  Kette.  Es  ist  korrekt, auch die Option -L, --list
              festzulegen, um die Zähler direkt vor dem Bereinigen zu sehen (siehe oben).

       -N, --new-chain Kette
              Erstellt eine benutzerdefinierte Kette mit dem angegebenen Namen.  Es  darf  noch  kein  Ziel  mit
              diesem Namen geben.

       -X, --delete-chain [Kette]
              Löscht die angegebene Kette. Es darf keine Referenzen auf die Kette geben. Falls diese existieren,
              müssen Sie die bezugnehmenden Regeln löschen oder ersetzen, bevor die Kette gelöscht werden  kann.
              Die Kette muss leer sein, d.h. sie darf keine Regeln enthalten. Falls kein Argument angegeben ist,
              werden alle leeren Ketten in  der  Tabelle  gelöscht.  Leere  eingebaute  Ketten  können  nur  mit
              iptables-nft(8) gelöscht werden.

       -P, --policy Kette Ziel
              Setzt  die Richtlinie für die eingebaute (nicht benutzerdefinierte) Kette auf das angegebene Ziel.
              Das Richtlinienziel muss entweder ACCEPT oder DROP sein.

       -E, --rename-chain Altekette Neuekette
              Benennt die benutzer-spezifizierte Kette in den vom Benutzer bereitgestellten Namen um.  Dies  ist
              kosmetisch und hat keine Auswirkungen auf die Struktur der Tabelle.

       -h     Hilfe. Gibt die (derzeit sehr knappe) Beschreibung der Befehlssyntax aus.

   PARAMETER
       Die  folgenden  Parameter  bilden  eine  Regelspezifikation (wie sie in den Befehlen add, delete, insert,
       replace und append verwandt wird).

       -4, --ipv4
              Diese Option hat keine Auswirkungen in iptables und iptables-restore(8). Falls eine Regel mit (und
              nur   mit)   ip6tables-restore(8)   eingefügt   wird,  die  die  Option  -4  verwendet,  wird  sie
              stillschweigend ignoriert. Alle anderen Verwendungen werden einen Fehler  auslösen.  Diese  Option
              erlaubt   IPv4-   und   IPv6-Regeln  in  einer  gemeinsamen  Regeldatei  für  die  Verwendung  mit
              iptables-restore(8) und ip6tables-restore(8).

       -6, --ipv6
              Falls eine Regel mit  (und  nur  mit)  iptables-restore(8)  eingefügt  wird,  die  die  Option  -6
              verwendet,  wird  sie  stillschweigend  ignoriert.  Alle  anderen Verwendungen werden einen Fehler
              auslösen. Diese Option erlaubt IPv4- und IPv6-Regeln  in  einer  gemeinsamen  Regeldatei  für  die
              Verwendung  mit  iptables-restore(8) und ip6tables-restore(8). Diese Option hat keine Auswirkungen
              in ip6tables und ip6tables-restore(8).

       [!] -p, --protocol Protokoll
              Das Protokoll der Regel oder des zu prüfenden Pakets. Das angegebene Protokoll kann entweder  tcp,
              udp,  udplite,  icmp,  icmpv6,  esp,  ah, sctp, mh oder das besondere Schlüsselwort »all« oder ein
              numerischer Wert, der eines dieser Protokolle oder ein anderes darstellt.  Ein  Protokollname  aus
              /etc/protocols  ist erlaubt. Ein Argument »!« vor dem Protokoll invertiert den Test. Die Zahl Null
              ist äquivalent zu all. »all« stimmt  mit  allen  Protokollen  überein  und  wird  als  Vorgabewert
              verwandt,   wenn   diese   Option   nicht  angegeben  wird.  Beachten  Sie,  dass  außer  esp  die
              IPv6-Erweiterungskopfzeilen in ip6tables nicht  erlaubt  sind.  esp  und  ipv6-nonext  können  mit
              Kernelversion  2.6.11  oder  neuer  verwandt  werden.  Die  Zahl  Null ist zu all äquivalent. Dies
              bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert 0 überprüfen können. Um  mit  einer
              HBH-Kopfzeile  zu  übereinstimmen,  selbst  wenn  diese  die  letzte  wäre,  können Sie -p 0 nicht
              benutzen, sondern benötigen immer -m hbh.

       [!] -s, --source Adresse[/Maske][,]
              Quellfestlegung. Adresse kann entweder ein Netzwerkname, ein Rechnername, eine Netzwerk-IP-Adresse
              (mit  /Maske)  oder eine einfache IP-Adresse sein. Rechnernamen werden nur einmal aufgelöst, bevor
              die Regel an den Kernel übergeben wird. Bitte beachten Sie, dass es eine wirklich  schlechte  Idee
              ist, einen Namen anzugeben, der über eine Abfrage in der Ferne (wie DNS) aufgelöst wird. Die Maske
              kann entweder eine IPv4-Netzwerkmaske (für iptables) oder eine einfache Zahl sein, die die  Anzahl
              an 1en (von links gezählt) der Netzwerkmaske festlegt. Daher ist eine Iptables-Maske 24 äquivalent
              zu 255.255.255.0. Ein Argument »!« vor der Adressangabe invertiert die Bedeutung der Adresse.  Der
              Schalter --src ist ein Alias für diese Option. Mehrere Adressen können angegeben werden, aber dies
              wird zu mehreren Regeln expandiert (beim Hinzufügen mit -A) oder führt zum  Löschen  von  mehreren
              Regeln (mit -D).

       [!] -d, --destination Adresse[/Maske][,]
              Zielfestlegung.   Siehe   die  Beschreibung  des  Schalters  -s  (Quelle)  für  eine  detaillierte
              Beschreibung der Syntax. Der Schalter --dst ist ein Alias für diese Option.

       -m, --match Übereinstimmung
              Gibt eine zu verwendende Übereinstimmung  an;  das  heißt  ein  Erweiterungsmodul,  das  auf  eine
              bestimmte  Eigenschaft prüft. Die Gruppe der Übereinstimmungen stellt die Bedingung dar, unter der
              ein Ziel aufgerufen  wird.  Übereinstimmungen  werden  in  der  Reihenfolge  der  Angabe  auf  der
              Befehlszeile (von der ersten zur letzten) ausgewertet und funktionieren in der Kurzschlussart. Das
              heißt, falls eine Erweiterung als »falsch« ausgewertet wird, wird die Auswertung beendet.

       -j, --jump Ziel
              Dies gibt das Ziel der Regel an; d.h., was passiert, wenn das Paket übereinstimmt. Das  Ziel  kann
              eine  benutzerdefinierte  Kette sein (die sich von der unterscheidet, in der die Regel ist), eines
              der besonderen eingebauten Ziele, die sofort über das Schicksal dieses  Paketes  entscheiden  oder
              eine  Erweiterung (siehe nachfolgende ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN). Falls diese Option
              in einer Regel nicht angegeben wird (und -g nicht verwandt wird), dann wird  die  übereinstimmende
              Regel  keine  Auswirkung  auf  das  Schicksal  des Paketes haben, aber die Zähler der Regel werden
              erhöht.

       -g, --goto Kette
              Dies gibt an, dass die Verarbeitung in einer benutzerderfinierten Kette  fortfahren  soll.  Anders
              als  bei  der Option »--jump« wird bei RETURN die Verarbeitung nicht in dieser Kette fortgefahren,
              sondern in der Kette, die dies mittels »--jump« aufrief.

       [!] -i, --in-interface Name
              Name der Schnittstelle mittels der ein Paket empfangen wurde (nur für Pakete, die  in  die  Ketten
              INPUT,  FORWARD  und  PREROUTING  eintreten).  Wird  das  Argument »!« vor dem Schnittstellennamen
              verwandt, wird die Bedeutung invertiert. Falls der Schnittstellenname  auf  ein  »+«  endet,  dann
              werden alle Schnittstellen übereinstimmen, die mit diesem Namen beginnen. Falls diese Option nicht
              angegeben wird, dann stimmen alle Schnittstellennamen überein.

       [!] -o, --out-interface Name
              Name der Schnittstelle mittels der ein Paket gesendet wird (für Pakete, die in die Ketten FORWARD,
              OUTPUT  und  POSTROUTING  eintreten).  Wird das Argument »!« vor dem Schnittstellennamen verwandt,
              wird die Bedeutung invertiert. Falls der Schnittstellenname auf ein »+« endet,  dann  werden  alle
              Schnittstellen  übereinstimmen,  die mit diesem Namen beginnen. Falls diese Option nicht angegeben
              wird, dann stimmen alle Schnittstellennamen überein.

       [!] -f, --fragment
              Dies  bedeutet,  dass  sich  die  Regel  nur  auf  das  zweite  und  weitere  IPv4-Fragmente   des
              fragmentierten  Pakets  bezieht.  Da es keine Möglichkeit gibt, den Quell- oder Zielport (oder den
              ICMP-Typ) solcher Pakete zu bestimmen, stimmen diese Pakete nicht mit irgend einer Regel  überein,
              die  diese  festlegen. Steht das Argument »!« vor dem Schalter »-f«, dann stimmt die Regel nur mit
              Kopffragmenten oder nicht fragmentierten Paketen überein. Diese Option ist IPv4-spezifisch und  in
              ip6tables nicht verfügbar.

       -c, --set-counters Pakete Bytes
              Diese  Regel  ermöglicht es dem Administrator, die Paket- und Bytezähler einer Regel zu aktivieren
              (während der Aktionen INSERT, APPEND, REPLACE).

   WEITERE OPTIONEN
       Die folgenden zusätzlichen Optionen können festgelegt werden:

       -v, --verbose
              Ausführliche Ausgabe. Diese Option führt dazu, dass der  Befehl  »list«  Schnittstellennamen,  die
              Regeloptionen  (falls vorhanden) und die TOS-Masken anzeigt. Die Paket- und Bytezähler werden auch
              aufgeführt, mit den Endungen »K«, »M« oder »G« für 1000, 1.000.000 bzw. 1.000.000.000 (aber  siehe
              den  Schalter  -x  um  dies zu ändern). Beim Anhängen, Einfügen, Löschen und Ersetzen führt dieser
              Schalter zu  detaillierten  Informationen  über  die  auszugebenden  Regel(n).  -v  kann  mehrfach
              angegeben  werden,  um  möglicherweise  detailliertere  Fehlersuchausgaben  zu  erzeugen:  Zweimal
              angegeben wird  iptables-legacy  Tabelleninformationen  und  Einträge  in  libiptc  rausschreiben,
              iptables-nft wird Regeln in Netlink (VM-Code) -Darstellungen rausschreiben. Dreimal angegeben wird
              iptables-nft auch alle an den Kernel gesandten Netlinkmeldungen rausschreiben.

       -V, --version
              Zeigt die Programmversion und die verwandte Kernel-API.

       -w, --wait [Sekunden]
              Wartet auf die Xtables-Sperre. Um zu verhindern, dass mehrere Instanzen des Programms gleichzeitig
              laufen,  wird  beim Start versucht, eine exklusive Sperre zu erlangen. Standardmäßig wird sich das
              Programm beenden, falls die Sperre nicht erlangt werden kann. Diese Option führt  dazu,  dass  das
              Programm wartet (endlos oder für die optionalen Sekunden), bis die exklusive Sperre erlangt werden
              kann.

       -n, --numeric
              Numerische Ausgabe.  IP-Adressen  und  Port-Nummern  werden  im  numerischen  Format  dargestellt.
              Standardmäßig  wird  das  Programm versuchen, sie als Rechnernamen, Netzwerknamen oder Dienste (wo
              anwendbar) anzuzeigen.

       -x, --exact
              Expandiert Zahlen. Zeigt den genauen Wert der Paket- und Bytezähler an, statt  nur  die  gerundete
              Anzahl  in  Ks  (Vielfaches von 1000), Ms (Vielfaches von 1000 K) oder Gs (Vielfaches von 1000 M).
              Diese Option ist nur für den Befehl -L relevant.

       --line-numbers
              Fügt beim Auflisten von Regeln Zeilennummern zu jeder Regel hinzu, die der Position  dieser  Regel
              in der Kette entspricht.

       --modprobe=Befehl
              Verwendet  beim  Hinzufügen  oder  Einfügen von Regeln in einer Kette Befehl, um notwendige Module
              (Ziele, Übereinstimmungserweiterungen usw.) zu laden.

SPERRDATEI

       Iptables verwendet die Datei /run/xtables.lock, um eine exklusive Sperre beim Start zu erlangen.

       Die Umgebungsvariable XTABLES_LOCKFILE kann dazu verwandt werden, die Standardeinstellung außer Kraft  zu
       setzen.

ÜBEREINSTIMMUNGS- UND ZIELERWEITERUNGEN

       Iptables  kann  erweiterte  Paketübereinstimmungs- und -zielmodule benutzen. Eine Liste dieser ist in der
       Handbuchseite iptables-extensions(8) verfügbar.

DIAGNOSE

       Verschiedene Fehlermeldungen werden auf die  Standardfehlerausgabe  ausgegeben.  Der  Exit-Code  ist  bei
       korrektem  Funktionieren  0. Fehler, die aufgrund ungültiger oder missbräuchlicher Befehlszeilenparameter
       verursacht werden, führen zu einem Exit-Code von 2. Fehler, die eine Inkompatibilität zwischen Kernel und
       dem Anwendungsraum anzeigen, führen zu einem Exit-Code von 3. Fehler, die ein Ressourcenproblem anzeigen,
       wie eine beschäftigte Sperre, Fehler bei der Speicherreservierung oder Fehlermeldungen vom Kernel, führen
       zu einem Exit-Code von 4. Anderere Fehler führen schließlich zu einem Exit-Code von 1.

FEHLER

       Fehler?  Was  sind das? ;-) Nun, vielleicht möchten Sie dazu auf https://bugzilla.netfilter.org/ schauen.
       iptables wird sich sofort  mit  einem  Fehler-Code  von  111  beenden,  wenn  es  bemerkt,  dass  es  als
       setuid-to-root-Programm aufgerufen wurde. Iptables kann auf diese Art nicht sicher verwandt werden, da es
       den zur Laufzeit geladenen dynamischen Bibliotheken (Übereinstimmungen, Zielen) vertraut und der Suchpfad
       mittels Umgebungsvariablen gesetzt werden kann.

KOMPATIBILITÄT MIT IPCHAINS

       Dieses iptables ist sehr ähnlich dem Ipchains von Rusty Russell. Der Hauptunterschied besteht darin, dass
       die Ketten INPUT und OUTPUT nur für Pakete durchlaufen werden, die in den lokalen Rechner eintreten  bzw.
       von  dem  lokalen  Rechner  stammen.  Daher  läuft  jedes Paket nur durch eine der drei Ketten (außer dem
       Loopback-Verkehr, der sowohl die Ketten INPUT als auch OUTPUT durchläuft); in der alten  Ipchains-Version
       liefen weitergeleitete Pakete durch alle drei.

       Der andere Hauptunterschied besteht darin, dass sich -i auf die Eingabeschnittstelle bezieht; sich -o auf
       die Ausgabeschnittstelle bezieht und beide für Pakete verfügbar sind, die in die Kette FORWARD eintreten.

       Die verschiedenen Arten von NAT wurden abgetrennt; iptables ist beim Einsatz der Standardtabelle »filter«
       ein  reiner  Paketfilter,  mit  optionalen  Erweiterungsmodulen.  Dies  sollte  einen Großteil der früher
       beobachteten Verwirrung über die Kombination von  IP-Masquerading  und  Paketfilterung  vermeiden.  Daher
       werden die folgenden Optionen anders gehandhabt:
        -j MASQ
        -M -S
        -M -L
       Es gibt eine Reihe weiterer Änderungen in Iptables.

SIEHE AUCH

       iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8),

       Das  packet-filtering-HOWTO  gibt  weitere  Dateils  zum  Einsatz  von  Iptables  zur Paketfilterung, das
       NAT-HOWTO gibt Details zum NAT, das netfilter-extensions-HOWTO gibt Details zu Erweiterungen,  die  nicht
       in  der  Standarddistribution  sind  und  das  netfilter-hacking-HOWTO  gibt  Details  zu den Interna von
       Netfilter.
       Siehe https://www.netfilter.org/.

AUTOREN

       Iptables wurde ursprünglich von Rusty Russell geschrieben, am Anfang stimmte er sich mit Michael  Neuling
       ab.

       Marc Boucher bewegte Rusty zur Aufgabe von Ipnatctl, indem er für ein generisches Paketauswahl-Rahmenwerk
       in Iptables warb, schrieb dann die Tabelle »mangle«, die Eigentümerübereinstimmung,  das  Markierungszeug
       und machte überall coole Dinge.

       James Morris schrieb das TOS-Ziel und die TOS-Übereinstimmung.

       Jozsef Kadlecsik schrieb das REJECT-Ziel.

       Harald   Welte   schrieb   das  ULOG-  und  NFQUEUE-Ziel,  das  neue  Libiptc,  sowie  die  TTL-,  DSCP-,
       ECN-Übereinstimmungen und -Ziele.

       Das Netfilter-Kernteam besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso, Eric Leblond,  Florian  Westphal
       und  Arturo Borrero Gonzalez. Ehemalige Kernteammitglieder sind: Marc Boucher, Martin Josefsson, Yasuyuki
       Kozakai, James Morris, Harald Welte und Rusty Russell.

       Die Handbuchseite wurde ursprünglich von Herve Eychenne <rv@wallfire.org> geschrieben.

VERSION

       Diese Handbuchseite gilt für iptables/ip6tables 1.8.10.

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung  ist  Freie  Dokumentation;  lesen  Sie  die  GNU  General  Public  License  Version  3
       ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
       HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte  eine  E-Mail  an  die
       Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.