Logo Unix Linux

Linux Firewalls mit iptables und nftables

Trainings-ID:
IPtables

Inhalt des Trainings

IPTables und der Nachfolger NFTables sind in jeder Linux Distribution vorhanden und werden dazu verwendet, Netzwerk Pakete zu überwachen, zu filtern oder durch NAT  zu verändern. Diese Schulung richtet sich an System Administratoren welche das Linux Firewall Konzept kennen lernen wollen bzw. QOS einführen möchten. Die Themen reichen von den wichtigsten Firewall Grundlagen über Beispiele zur Konfiguration von einzelnen Firewall Regeln bis zur Konfiguration eines kompletten Firewall Scripts. Jeder Teilnehmer erhält mehrere Linux VMs (SUSE, Red Hat und Debian) und hat die Möglichkeit das erlernte Wissen auf allen Plattformen zu testen.

Zielgruppen

Linux Administrator*innen

Vorkenntnisse

Die Teilnehmer*innen sollten über gute Linux- und grundlegende IP-Netzwerkkenntnisse verfügen.

Detail-Inhalte

Grundlagen Linux Firewalls
  • Überblick Firewall Architekturen (Lokal, Screening, Gateway, DMZ,...)
  • Entwicklung der Linux Firewalls
  • Linux Kernel Netfilter Framework
  • Überblick Verwaltungswerkzeuge (iptables, ip6tables, arptables, ebtables, nftables)
  • iptables-legacy vs. iptables-nft Mode
  • Aufbau der Filter, Mangle und NAT-Tabellen
  • Anwendungsfälle typischer chains (Ketten)

Protokoll Grundlagen
  • TCP 3-Way Handshake
  • TCP Header Flags (SYN, ACK, FIN, RST, UG, PSH)
  • Connection Tracking (NEW, ESTABLISHED, RELATED, INVALID, UNTRACKED)
  • icmpv4 vs. icmpv6
  • IPv6 Basis und Extension Headers
  • Paketanalyse mit tcpdump und wireshark
  • Routing Grundlagen und IP Forwarding

Grundlagen iptables
  • iptables Befehlsyntax
  • iptables Chain Konzept
  • Filterketten: INPUT, OUTPUT und FORWARD
  • NAT-Ketten: PREROUTING, OUTPUT, POSTROUTING
  • iptables Standardtests
  • Match Extensions (multiport, iprange, time, owner, ...)
  • Erstellen von Filterregeln
  • iptables targets (DROP, REJECT, ACCEPT, LOG, ...)
  • Default Policy der chains anpassen
  • Speichern und Wiederherstellen von Regeln

Grundlagen nftables
  • nft Tabellen Verwaltung (add, delete, list, flush)
  • Erstellen von Filter Tabellen für IPv4 und IPv6 (ip, ip6, inet)
  • Arten von nftables Ketten (Base Chain vs. Regular Chain)
  • Erstellen von Filter Ketten (input, output, forward)
  • Default Policy der chains anpassen
  • Erstellen von Filter Regeln mit nft (add, insert, delete, replace)
  • Arbeiten mit Verdict Statements (accept, drop, ...)
  • Verbindungszustände mit Conntrack auswerten (ct state)
  • Regelstatistiken aktivieren (anonymous counter, named counter)
  • Speichern und Wiederherstellen von Regeln

Arbeiten mit Sets
  • anonymous sets und mutable named sets
  • Flags (constant, dynamic, interval, timeout, gc-interval, elements, size, policy)
  • Komplexere Anwendunsbeispiele von sets (Statische und dynamische Elementen Listen)
  • Limits mit meter und limit rate definieren

Arbeiten mit Maps & Verdict Maps (vmaps)
  • Anonymous vmap
  • Named vmap

Loggen von Regeln
  • log statement und Keywords (prefix, level, group,...)
  • Auswerten der Log Einträge mit dmesg, rsyslog

Erstellen von nft-Firewall Skripten
  • Viele Praktische Beispiele mit HTTP, SSH, MySQL, ICMP und FTP
  • Szenario: Lokale Workstation Firewall
  • Szenario: Lokale Server Firewall
  • Szenario: Gateway Firewall
  • Nftables Conntrack Helper (ct helper)
  • Firewall Regeln für actives und passives FTP erstellen
  • Gemeinsame Regeln für IPv4 und IPv6 erstellen
  • Problematik IPv6 Extension Header
  • nexthdr, meta l4proto, meta nfproto

Network Address Translation (NAT)
  • Source-NAT (SNAT)
  • MASQUERADE
  • Destination-NAT (DNAT)
  • Destination-NAT (DNAT) mit Port Forwarding
  • NAT-Ketten: PREROUTING, OUTPUT, POSTROUTING

Downloads

Jetzt online buchen

  • 27.01.-28.01.2025 27.01.2025 2T 2 Tage Wiener Neustadt OnlinePräsenz
    LinuxCampus · Brodtischgasse 4, 2700 Wiener Neustadt Uhrzeiten
    • Trainingspreis  1.890,-
      • Vor Ort
      • Online
  • 20.03.-21.03.2025 20.03.2025 2T 2 Tage Wiener Neustadt OnlinePräsenz
    LinuxCampus · Brodtischgasse 4, 2700 Wiener Neustadt Uhrzeiten
    • Trainingspreis  1.890,-
      • Vor Ort
      • Online
  • 26.06.-27.06.2025 26.06.2025 2T 2 Tage Wiener Neustadt OnlinePräsenz
    LinuxCampus · Brodtischgasse 4, 2700 Wiener Neustadt Uhrzeiten
    • Trainingspreis  1.890,-
      • Vor Ort
      • Online

Preise exkl. MwSt.

Sie haben Fragen?

Ihr ETC Support

Kontaktieren Sie uns!

+43 1 533 1777-99

This field is hidden when viewing the form
This field is hidden when viewing the form
This field is hidden when viewing the form

Lernformen im Überblick

Mehr darüber