Inhaltsverzeichnis
Tipp | |
---|---|
Bezüglich einer aktuellen Anleitung für Debian zum Thema Netzwerk lesen Sie Debian Administratorhandbuch — Konfigurieren des Netzwerks. |
Tipp | |
---|---|
Unter systemd kann networkd für die Netzwerkverwaltung genutzt werden;
lesen Sie dazu |
Lassen Sie uns einen Blick auf die elementare Netzwerkinfrastruktur eines modernen Debian-Systems werfen:
Tabelle 5.1. Liste von Werkzeugen zur Netzwerkkonfiguration
Pakete | Popcon | Größe | Art | Beschreibung |
---|---|---|---|---|
network-manager
|
V:392, I:459 | 15542 | config::NM | NetworkManager (Daemon): das Netzwerk automatisch verwalten |
network-manager-gnome
|
V:121, I:369 | 5583 | config::NM | NetworkManager (GNOME-Frontend) |
netplan.io
|
V:1, I:5 | 319 | config::NM+networkd | Netplan (generator): Unified, declarative interface to NetworkManager and systemd-networkd backends |
ifupdown
|
V:608, I:979 | 199 | config::ifupdown | standardisiertes Werkzeug zum Aktivieren und Deaktivieren des Netzwerks (Debian-spezifisch) |
isc-dhcp-client
|
V:217, I:981 | 2875 | config::low-level | DHCP-Client |
pppoeconf
|
V:0, I:5 | 186 | config::helper | Konfigurations-Hilfswerkzeug für PPPoE-Verbindungen |
wpasupplicant
|
V:353, I:513 | 3862 | config::helper | clientseitige Unterstützung für WPA und WPA2 (IEEE 802.11i) |
wpagui
|
V:0, I:1 | 774 | config::helper | Qt-GUI-Programm für wpa_supplicant |
wireless-tools
|
V:179, I:244 | 292 | config::helper | Werkzeuge zum Bearbeiten der Linux Wireless Extensions |
iw
|
V:34, I:475 | 302 | config::helper | Werkzeug zum Konfigurieren von Drahtlos-Netzwerkgeräten unter Linux |
iproute2
|
V:736, I:972 | 3606 | config::iproute2 | iproute2, IPv6 und andere erweiterte
Netzwerkkonfiguration: ip (8), tc (8)
usw. |
iptables
|
V:319, I:718 | 2414 | config::Netfilter | Administrationswerkzeuge für Paketfilterung und NAT (Netfilter) |
nftables
|
V:106, I:701 | 182 | config::Netfilter | Administrationswerkzeuge für Paketfilterung und NAT (Netfilter) (Nachfolger von {ip,ip6,arp,eb}tables) |
iputils-ping
|
V:194, I:997 | 122 | Test | Erreichbarkeit eines fernen Rechners über das Netzwerk testen, entweder mittels Rechnername oder IP-Addresse (iproute2) |
iputils-arping
|
V:3, I:36 | 50 | Test | Erreichbarkeit eines fernen Rechners über das Netzwerk mittels seiner ARP-Addresse testen |
iputils-tracepath
|
V:2, I:30 | 47 | Test | Netzwerkpfad zu einem fernen Rechner verfolgen |
ethtool
|
V:95, I:267 | 739 | Test | Eigenschaften von Ethernet-Geräten anzeigen oder ändern |
mtr-tiny
|
V:5, I:46 | 156 | test::low-level | Netzwerkpfad zu einem fernen Rechner verfolgen (Curses-basiert) |
mtr
|
V:4, I:41 | 209 | test::low-level | Netzwerkpfad zu einem fernen Rechner verfolgen (Curses- und GTK-basiert) |
gnome-nettool
|
V:0, I:17 | 2492 | test::low-level | Werkzeuge für allgemeine Netzwerkinformations-Operationen (GNOME) |
nmap
|
V:25, I:199 | 4498 | test::low-level | Netzwerk-Mapper/Port-Scanner (Nmap, konsolen-basiert) |
tcpdump
|
V:17, I:175 | 1340 | test::low-level | Netzwerkverkehr-Analysator (Tcpdump, konsolen-basiert) |
wireshark
|
I:45 | 10417 | test::low-level | Netzwerkverkehr-Analysator (Wireshark, GTK-basiert) |
tshark
|
V:2, I:25 | 400 | test::low-level | Netzwerkverkehr-Analysator (konsolen-basiert) |
tcptrace
|
V:0, I:2 | 401 | test::low-level | eine Zusammenfassung von Verbindungen auf Basis der
tcpdump -Ausgabe erstellen |
snort
|
V:0, I:0 | 2203 | test::low-level | flexibles Einbruchmeldesystem für das Netzwerk (Snort) |
ntopng
|
V:0, I:1 | 15904 | test::low-level | Daten über die Netzwerknutzung im Webbrowser anzeigen |
dnsutils
|
V:16, I:280 | 276 | test::low-level | Netzwerk-Clients, die mit BIND bereitgestellt
werden: nslookup (8), nsupdate (8),
dig (8) |
dlint
|
V:0, I:3 | 53 | test::low-level | DNS-Zoneninformationen mittels Nameserver-Abfragen überprüfen |
dnstracer
|
V:0, I:1 | 59 | test::low-level | eine Verkettung von DNS-Servern zu ihrer Quelle verfolgen |
Die Auflösung des Rechnernamens (hostname) wird derzeit auch durch den NSS-(Name-Service-Switch-)Mechanismus unterstützt. Die Auflösung läuft wie folgt ab:
Die "/etc/nsswitch.conf
"-Datei mit Einträgen wie
"hosts: files dns
" bestimmt die Reihenfolge der
Rechnernamenauflösung. (Dies ersetzt die alte Funktionalität der
"order
"-Einträge in "/etc/host.conf
".)
Als erstes wird in diesem Beispiel die files
-Methode
aufgerufen. Wenn der Rechnername in der
"/etc/hosts
"-Datei gefunden wird, werden alle gültigen
Adressen für den Rechner ausgegeben und die Abfrage wird beendet. (Die
"/etc/host.conf
"-Datei enthält "multi
on
".)
Dann wird die dns
-Methode wird aufgerufen. Wenn der
Rechnername über das Internet
Domain Name System (DNS) (definiert über die Datei
"/etc/resolv.conf
") gefunden wird, werden alle dafür
gültigen Adressen ausgegeben und die Abfrage wird beendet.
A typical workstation may be installed with its host name set to, e.g.,
"host_name" and its optional domain name set to an
empty string. Then, "/etc/hosts
" looks like the
following.
127.0.0.1 localhost
127.0.1.1 host_name
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Jede Zeile beginnt mit einer IP-Addresse und dahinter steht jeweils der zugeordnete Rechnername.
Die IP-Adresse 127.0.1.1
in der zweiten Zeile dieses
Beispiels ist auf einigen anderen Unix-ähnlichen Systemen möglicherweise
nicht vorhanden. Der Debian Installer
erstellt diesen Eintrag für Systeme ohne feste IP-Adresse als provisorische
Lösung für einige Software-Produkte (z.B. GNOME), wie in Fehler #719621 dokumentiert.
The host_name matches the hostname defined in the
"/etc/hostname
" (see Abschnitt 3.7.1, „Der Rechnername“).
Auf Systemen mit einer festen IP-Adresse sollte allerdings diese feste
IP-Adresse statt der 127.0.1.1
verwendet werden.
Bei Systemen mit einer festen IP-Adresse und einem voll qualifizierten Domain-Namen (FQDN), bereitgestellt durch das Domain Name System (DNS), sollte rechnername.domain-name verwendet werden statt nur rechnername.
Die Datei "/etc/resolv.conf
" ist eine statische Datei,
falls das Paket resolvconf
nicht installiert ist. Falls
das Paket installiert ist, ist dies ein symbolischer Link. In beiden Fällen
enthält es Informationen zur Initialisierung der
Namensauflösungs-Routinen. Wenn das DNS zum Beispiel über die IP
"192.168.11.1
" erreichbar ist, enthält sie Folgendes:
nameserver 192.168.11.1
Das resolvconf
-Paket macht
"/etc/resolv.conf
" zu einem symbolischen Link und
verwaltet ihren Inhalt automatisch über die Hook-Skripte.
For the PC workstation on the typical adhoc LAN environment, the hostname
can be resolved via Multicast DNS (mDNS)
in addition to the basic files
and dns
methods.
Avahi stellt ein Rahmenwerk für Multicast-DNS-Diensteabfragen auf Debian-Systemen bereit.
Es ist ein Äquivalent zu Apple Bonjour / Apple Rendezvous.
Das libnss-mdns
-Plugin-Paket bietet
Rechnernamensauflösung via mDNS für die GNU
Name-Service-Switch-(NSS-)Funktionalität der GNU C-Bibliothek (glibc).
The "/etc/nsswitch.conf
" file should have stanza like
"hosts: files mdns4_minimal [NOTFOUND=return] dns
" (see
/usr/share/doc/libnss-mdns/README.Debian
for other
configurations).
A host name suffixed with the ".local" pseudo-top-level domain is resolved by
sending a mDNS query message in a multicast UDP packet using IPv4 address
"224.0.0.251
" or IPv6 address
"FF02::FB
".
Anmerkung | |
---|---|
Die Ausweitung generischer Top-Level-Domains (gTLD) im Domain-Name-System ist in Arbeit. Achten Sie bei Auswahl von Domain-Namen, die nur im lokalen Netzwerk verwendet werden sollen, auf Namenskollisionen. |
Anmerkung | |
---|---|
Use of packages such as |
Systemd verwendet "verlässlich vorhersagbare Namen
(Predictable Network Interface Names)" wie
"enp0s25
".
Wir wollen uns an die IPv4 32-Bit-Adressbereiche erinnern, die durch die rfc1918 für jede Klasse zur Verwendung in Local Area Networks (LANs) reserviert sind. Diese Adressen werden bestimmt nicht mit irgendwelchen Adressen im Internet kollidieren.
Anmerkung | |
---|---|
IP-Adressen mit Doppelpunkten sind IPv6-Adressen, z.B. " |
Tabelle 5.2. Liste der Netzwerkadressbereiche
Klasse | Netzwerkadressen | Netzmaske | Netzmaske /Bits | number of subnets |
---|---|---|---|---|
A | 10.x.x.x | 255.0.0.0 | /8 | 1 |
B | 172.16.x.x — 172.31.x.x | 255.255.0.0 | /16 | 16 |
C | 192.168.0.x — 192.168.255.x | 255.255.255.0 | /24 | 256 |
Anmerkung | |
---|---|
Wenn eine dieser Adressen einem Rechner zugewiesen ist, kann dieser Rechner das Internet nicht direkt erreichen, sondern muss ein Gateway verwenden, der als Proxy für verschiedene Dienste dient, oder er nutzt Network Address Translation (NAT). Ein Breitband-Router nutzt üblicherweise NAT für das Anwender-Netzwerk. |
Der größte Teil verfügbarer Netzwerk-Hardware wird durch das Debian-System unterstützt; es gibt einige Geräte, die laut DFSG nicht-freie Firmware für den Betrieb erfordern. Lesen Sie dazu Abschnitt 9.10.5, „Hardware-Treiber und Firmware“.
Auf modernen Debian-Desktop-Systemen mit systemd
erfolgt
die Initialisierung von Netzwerkschnittstellen für die
Loopback-Schnittstelle lo
typischerweise durch
"networking.service
" und für andere Schnittstellen durch
"NetworkManager.service
".
Debian-Systeme können Netzwerkverbindungen über Software-Daemons wie NetworkManager (NM) (network-manager und zugehörige Pakete) verwalten.
Sie haben ihre eigenen grafischen GUI- und Befehlszeilen-Programme als Bedienoberfläche.
Sie haben ihre eigenen Daemons als Unterbau.
Sie erlauben eine einfache Verbindung Ihres Systems mit dem Internet.
Sie ermöglichen eine problemlose Verwaltung von kabelgebundenen und kabellosen Netzwerkkonfigurationen.
Sie erlauben uns, das Netzwerk unabhängig vom althergebrachten
ifupdown
zu konfigurieren.
Anmerkung | |
---|---|
Verwenden Sie diese automatischen Netzwerkkonfigurations-Werkzeuge nicht für Server. Sie sind primär für die Nutzung auf Arbeitsplatzrechnern oder Laptops gedacht. |
Diese modernen Werkzeuge müssen korrekt konfiguriert werden, um Konflikte
mit dem ifupdown
-Paket und seiner Konfigurationsdatei
"/etc/network/interfaces
" zu vermeiden.
Offizielle Dokumentation für NM unter Debian ist in
"/usr/share/doc/network-manager/README.Debian
" verfügbar.
Grundsätzlich läuft die Netzwerkkonfiguration für Arbeitsplatzsysteme wie folgt ab:
Fügen Sie den Benutzer, der sich am Arbeitsplatz anmeldet,
z.B. foo
, mit folgendem Befehl zur Gruppe
"netdev
" hinzu (alternativ kann dies in modernen
Arbeitsplatzumgebungen wie GNOME oder KDE auch automatisch über D-bus erledigt werden):
$ sudo usermod -a -G foo netdev
Halten Sie die Konfiguration in "/etc/network/interfaces
"
so einfach wie hier:
auto lo iface lo inet loopback
Starten Sie NM mit folgendem Befehl neu:
$ sudo systemctl restart network-manager
Konfigurieren Sie Ihr Netzwerk über die grafische GUI-Oberfläche.
Anmerkung | |
---|---|
Um Konflikte mit |
Tipp | |
---|---|
Wenn Sie die Fähigkeiten von NM erweitern möchten, suchen Sie nach
entsprechenden Plugin-Modulen und zusätzlichen Paketen wie
|
Unter systemd kann das Netzwerk stattdessen
in /etc/systemd/network/
konfiguriert werden. Lesen Sie
dazu systemd-resolved
(8),
resolved.conf
(5) und
systemd-networkd
(8).
Dies ermöglicht eine moderne Netzwerkkonfiguration auch ohne grafische Oberfläche.
Eine DHCP-Client-Konfiguration kann durch Erzeugen von
"/etc/systemd/network/dhcp.network
" eingerichtet werden,
z.B. mit:
[Match] Name=en* [Network] DHCP=yes
Eine statische Netzwerkkonfiguration richten Sie über
"/etc/systemd/network/static.network
" ein, wie hier:
[Match] Name=en* [Network] Address=192.168.0.15/24 Gateway=192.168.0.1
The modern network configuration for cloud may use
cloud-init
and netplan.io
packages
(see Abschnitt 3.7.4, „Cloud system initialization“).
The netplan.io
package supports
systemd-networkd
and NetworkManager
as
its network configuration backends, and enables the declarative network
configuration using YAML data. When you change
YAML:
Run "netplan generate
" command to generate all the
necessary backend configuration from YAML.
Run "netplan apply
" command to apply the generated
configuration to the backends.
See "Netplan documentation",
netplan
(5), netplan-generate
(8), and
netplan-apply
(8).
See also "Cloud-init
documentation" (especially around "Configuration sources" and "Netplan Passthrough") for how
cloud-init
can integrate netplan.io
configuration with alternative data sources.
A DHCP client configuration can be set up by creating a data source file
"/etc/netplan/50-dhcp.yaml
":
network: version: 2 ethernets: all-en: match: name: "en*" dhcp4: true dhcp6: true
A static network configuration can be set up by creating a data source file
"/etc/netplan/50-static.yaml
":
network: version: 2 ethernets: eth0: addresses: - 192.168.0.15/24 routes: - to: default via: 192.168.0.1
Für Netzwerkkonfiguration über die Konsole können Sie unter Linux die iproute2-Programme (ip
(8), …)
verwenden.
Die iproute2-Befehle bieten vollwertige Funktionalität auf der untersten Ebene der Netzwerkkonfiguration. Hier eine Tabelle zur Gegenüberstellung von veralteten net-tools-Befehlen und neuen iproute2- und anderen Befehlen.
Tabelle 5.3. Gegenüberstellung von net-tools
- und
iproute2
-Befehlen
net-tools (veraltet) | iproute2 usw. (neu) | Beeinflussung |
---|---|---|
ifconfig (8) |
ip addr |
Protokoll-Adresse (IP oder IPv6) eines Gerätes |
route (8) |
ip route |
Eintrag in der Routing-Tabelle |
arp (8) |
ip neigh |
ARP- oder NDISC-Cache-Eintrag |
ipmaddr |
ip maddr |
Multicast-Adresse |
iptunnel |
ip tunnel |
Tunnel über IP |
nameif (8) |
ifrename (8) |
Netzwerkschnittstellen basierend auf MAC-Adressen benennen |
mii-tool (8) |
ethtool (8) |
Einstellungen von Ethernet-Geräten |
Lesen Sie ip
(8) und das Linux Advanced Routing &
Traffic Control.
Sie können die folgenden Netzwerkbefehle der untersten Ebene problemlos verwenden, da sie die Netzwerkkonfiguration nicht verändern:
Tabelle 5.4. Liste von Basis-Netzwerkbefehlen
Befehl | Beschreibung |
---|---|
ip addr show |
Verbindungs- und Adressstatus von aktiven Schnittstellen anzeigen |
route -n |
Vollständige Routing-Tabelle mit numerischen Adressen anzeigen |
ip route show |
Vollständige Routing-Tabelle mit numerischen Adressen anzeigen |
arp |
Aktuellen Inhalt der ARP-Cache-Tabellen anzeigen |
ip neigh |
Aktuellen Inhalt der ARP-Cache-Tabellen anzeigen |
plog |
Logdaten des PPP-Daemons anzeigen |
ping yahoo.com |
Internet-Verbindung zu "yahoo.com " überprüfen |
whois yahoo.com |
Überprüfen, wer "yahoo.com " in der Domain-Datenbank
registriert hat |
traceroute yahoo.com |
Verbindung zu "yahoo.com " durch das Internet verfolgen |
tracepath yahoo.com |
Verbindung zu "yahoo.com " durch das Internet verfolgen |
mtr yahoo.com |
Verbindung zu "yahoo.com " durch das Internet verfolgen
(wiederholt) |
dig [@dns-server.com] example.com [{a|mx|any}] |
DNS-Einträge von "example.com "
laut den Daten von "dns-server.com " auf einen
"a "-, "mx "- oder
"any "-Eintrag überprüfen |
iptables -L -n |
Paketfilter überprüfen |
netstat -a |
Alle offenen Ports finden |
netstat -l --inet |
Ports finden, die auf eine Verbindung warten |
netstat -ln --tcp |
TCP-Ports finden, die auf eine Verbindung warten (numerisch) |
dlint example.com |
DNS-Zonen-Informationen von "example.com " überprüfen |
Tipp | |
---|---|
Einige dieser Basisbefehle zur Netzwerkkonfiguration sind in
" |
Die grundsätzliche Netzwerkoptimierung liegt außerhalb des Rahmens dieser Dokumentation. Ich erwähne hier nur Dinge, die für Anwender-typische Verbindungen passend sind.
Tabelle 5.5. Liste von Werkzeugen zur Netzwerkoptimierung
Pakete | Popcon | Größe | Beschreibung |
---|---|---|---|
iftop
|
V:7, I:100 | 93 | Informationen zur Bandbreitennutzung einer Netzwerkschnittstelle anzeigen |
iperf
|
V:3, I:43 | 360 | Werkzeug zur IP-Bandbreiten-Messung |
ifstat
|
V:0, I:7 | 60 | InterFace STATistics Monitoring (Netzwerkschnittstellen-Statistik/-Überwachung) |
bmon
|
V:1, I:18 | 144 | Portierbarer Bandbreitenmonitor und Geschwindigkeitsrechner |
ethstatus
|
V:0, I:3 | 40 | Skript, das schnell den Durchsatz eines Netzwerkgerätes messen kann |
bing
|
V:0, I:0 | 80 | Empirisch stochastischer Bandbreitentester |
bwm-ng
|
V:1, I:13 | 95 | Kleiner und einfacher konsolenbasierter Bandbreitenmonitor |
ethstats
|
V:0, I:0 | 23 | Konsolenbasierter Ethernet-Statistikmonitor |
ipfm
|
V:0, I:0 | 82 | Bandbreitenanalyse-Werkzeug |
NM setzt den optimalen Wert für die Maximum Transmission Unit (MTU) normalerweise automatisch.
In speziellen Fällen möchten Sie die MTU jedoch vielleicht händisch setzen,
nachdem Sie mit ping
(8) und seiner Option "-M
do
" experimentiert haben; Sie haben damit die Möglichkeit, ein
ICMP-Paket mit verschiedenen Paketgrößen zu verschicken. MTU ist die größte
Paketgröße, bei der das Paket noch erfolgreich ohne Fragmentierung
verschickt werden kann plus 28 Byte für die IPv4- bzw. 48 Byte für die
IPv6-Adresse. In folgendem Beispiel wurde für eine IPv4-Verbindung eine MTU
von 1460 ermittelt und für IPv6 eine MTU von 1500:
$ ping -4 -c 1 -s $((1500-28)) -M do www.debian.org PING (149.20.4.15) 1472(1500) bytes of data. ping: local error: message too long, mtu=1460 --- ping statistics --- 1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms $ ping -4 -c 1 -s $((1460-28)) -M do www.debian.org PING (130.89.148.77) 1432(1460) bytes of data. 1440 bytes from klecker-misc.debian.org (130.89.148.77): icmp_seq=1 ttl=50 time=325 ms --- ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 325.318/325.318/325.318/0.000 ms $ ping -6 -c 1 -s $((1500-48)) -M do www.debian.org PING www.debian.org(mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e)) 1452 data bytes 1460 bytes from mirror-csail.debian.org (2603:400a:ffff:bb8::801f:3e): icmp_seq=1 ttl=47 time=191 ms --- www.debian.org ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 191.332/191.332/191.332/0.000 ms
Dies ist das Path MTU (PMTU)
Discovery-Verfahren (RFC1191) und der
Befehl tracepath
(8) kann dies automatisieren.
Tabelle 5.6. Wesentliche Grundregeln für den optimalen MTU-Wert
Netzwerkumgebung | MTU | Argumentation |
---|---|---|
Einwahlverbindung (IP: PPP) | 576 | Standard |
Ethernet-Verbindung (IP: DHCP oder fest) | 1500 | Standard und vorgegeben |
Zusätzlich zu diesen Grundregeln sollten Sie folgendes wissen:
Jegliche Nutzung von Tunneling-Methoden (VPN usw.) kann aufgrund des Overheads den optimalen MTU-Wert reduzieren.
Der MTU-Wert sollte den über die experimentelle Methode ermittelten PMTU-Wert nicht überschreiten.
Ein größerer MTU-Wert ist grundsätzlich besser, wenn andere Einschränkungen greifen.
Die Maximum Segment Size (MSS) wird als alternative Messmethode für die Paketgröße verwendet. Der Zusammenhang zwischen MSS und MTU ist wie folgt:
MSS = "MTU - 40" bei IPv4
MSS = "MTU - 60" bei IPv6
Anmerkung | |
---|---|
Bei Netzwerkoptimierung mittels |
The TCP throughput can be maximized by adjusting TCP buffer size parameters as in "TCP tuning" for the modern high-bandwidth and high-latency WAN. So far, the current Debian default settings serve well even for my LAN connected by the fast 1G bps FTTP service.
Netfilter stellt eine Infrastruktur für Stateful Packet Inspection (SPI, zustandsorientierte Paketüberprüfung) und Network Address Translation (NAT) über Module des Linux-Kernels (lesen Sie hierzu Abschnitt 3.9, „Die Kernel-Modul-Initialisierung“) zur Verfügung.
Tabelle 5.7. Liste von Firewall-Werkzeugen
Pakete | Popcon | Größe | Beschreibung |
---|---|---|---|
nftables
|
V:106, I:701 | 182 | Administrationswerkzeuge für Paketfilterung und NAT (Netfilter) (Nachfolger von {ip,ip6,arp,eb}tables) |
iptables
|
V:319, I:718 | 2414 | Administrationswerkzeuge für netfilter
(iptables (8) für IPv4, ip6tables (8)
für IPv6) |
arptables
|
V:0, I:1 | 100 | Administrationswerkzeuge für netfilter
(arptables (8) für ARP) |
ebtables
|
V:14, I:29 | 276 | Administrationswerkzeuge für netfilter
(ebtables (8) für Ethernet-Bridging-Betrieb) |
iptstate
|
V:0, I:2 | 119 | Fortlaufende Überwachung des netfilter-Status (ähnlich zu
top (1)) |
ufw
|
V:55, I:77 | 859 | Uncomplicated Firewall (UFW) is a program for managing a netfilter firewall |
gufw
|
V:5, I:10 | 3660 | graphical user interface for Uncomplicated Firewall (UFW) |
firewalld
|
V:11, I:16 | 2613 | firewalld is a dynamically managed firewall program with support for network zones |
firewall-config
|
V:0, I:3 | 1163 | graphical user interface for firewalld |
shorewall-init
|
V:0, I:0 | 88 | Initialisierung der Shoreline Firewall |
shorewall
|
V:3, I:8 | 3090 | Erzeugung von netfilter-Konfigurationsdateien für Shoreline Firewall |
shorewall-lite
|
V:0, I:0 | 71 | Erzeugung von netfilter-Konfigurationsdateien für Shoreline Firewall (abgespeckte Version) |
shorewall6
|
V:0, I:1 | 1334 | Erzeugung von netfilter-Konfigurationsdateien für Shoreline Firewall (IPv6-Version) |
shorewall6-lite
|
V:0, I:0 | 71 | Erzeugung von netfilter-Konfigurationsdateien für Shoreline Firewall (abgespeckte IPv6-Version) |
Das vorherrschende Nutzerprogramm für netfilter ist iptables
(8). Sie
können netfilter von Hand interaktiv über
die Shell konfigurieren, seinen Status mit
iptables-save
(8) sichern und beim Systemstart über ein
Init-Skript mittels iptables-restore
(8) wiederherstellen.
Konfigurations-Hilfsskripte wie shorewall vereinfachen diesen Prozess.
See documentations at Netfilter
Documentation (or in
"/usr/share/doc/iptables/html/
").
Tipp | |
---|---|
Obwohl für Linux 2.4 geschrieben, sind
sowohl der |