Firewalling mit netfilter/iptables unter Linux 2.4.x Der Linux 2.4.x Kernel bietet eine fortgeschrittene Infrastruktur, genannt netfilter, auf deren Basis ein Paketfilter, NAT und sonstige Paket-Manipulationen implementiert sind. Das gesamte Firewalling-Subsystem wurde gegenueber Kernel 2.2.x neu entwickelt. Das netfilter/iptables System laesst alles bisher unter Linux existierende (ipfwadm, ipchains) wie aus grauer Vorzeit erscheinen. netfilter/iptables bietet neben dem traditionellen Paketfilter auch optional Connection Tracking, mittels dessen sich im Handumdrehen eine Stateful Firewall realisieren laesst. Auch das NAT (Network Address Translation) System ist jetzt flexibel genug, um saemtliche Formen von NAT anbieten zu koennen: source NAT, destination NAT, static NAT, NAPT, ... Die hohe Modularitaet resultiert in einer sehr leichten Erweiterbarkeit, so dass in einfacher Weise neue Erweiterungen zum Firewalling-System entwickelt werden koennen. Der Vortrag beschreibt die unterschiedlichen Teile des netfilter/iptables Systems und gibt dadurch einen Ueberblick ueber dessen Moeglichkeiten und Anwendungsszenarien. Er beschaeftigt sich mit den folgenden Themen: - netfilter/iptables architektur - netfilter hooks im Netzwerk-Stack - IP tables als Regelbeschreibung - Paketfilter - Connection Tracking - Network Address Translation - source NAT - destination NAT - Masquerading - transparent proxy support - Packet mangling - Userspace packet queuing - Userspace packet logging Voraussetzungen: - Wissen ueber TCP/IP, Routing - Grundlagen ueber Firewalling (insbesondere Paketfilter) - Gewisse Grundkenntnisse ueber die Linux/Unix Architektur Ueber den Vortragenden: Harald Welte ist seit 1995 aktives KNF-Mitglied und der derzeitige stellvertretende Technische Kontakt des KNF. Er ist der Maintainer des netfilter/iptables Firewalling-Subsystems im Linux 2.4.x und 2.5.x Kernel und war massgeblich an dessen Entwicklung beteiligt.