LIBOF

Handbücher für die Kommandozeile

Man » iptables-Handbuch online – detaillierte Online-Dokumentation für die iptables-Manpage

🌍 
iptables/ip6tables – Verwaltungstool für IPv4/IPv6-Paketfilterung und NAT

SYNOPSIS

iptables [-t table] {-A|-C|-D|-V} chain rule-specification

ip6tables [-t table] {-A|-C|-D|-V} chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain policy

iptables [-t table] -E old-chain-name new-chain-name

rule-specification := [matches...] [target]

match := -m matchname [per-match-options]

target := -j targetname [per-target-options]

DESCRIPTION

Iptables und ip6tables werden verwendet, um die Tabellen der IPv4- und IPv6-Paketfilterregeln im Linux-Kernel einzurichten, zu verwalten und zu inspizieren. Es können mehrere verschiedene Tabellen definiert werden. Jede Tabelle enthält eine Reihe von integrierten Ketten und kann auch benutzerdefinierte Ketten enthalten.

Jede Kette ist eine Liste von Regeln, die einen Satz von Paketen abgleichen können. Jede Regel gibt an, was mit einem übereinstimmenden Paket geschehen soll. Dies wird als „Ziel“ bezeichnet, das ein Sprung zu einer benutzerdefinierten Kette in derselben Tabelle sein kann.

TARGETS

Eine Firewall-Regel gibt Kriterien für ein Paket und ein Ziel an. Wenn das Paket nicht übereinstimmt, wird die nächste Regel in der Kette untersucht; wenn es übereinstimmt, wird die nächste Regel durch den Wert des Ziels angegeben, das der Name einer benutzerdefinierten Kette, eine der in iptables-extensions(8) beschriebenen Ziele oder einer der speziellen Werte ACCEPT, DROP oder RETURN sein kann.

ACCEPT bedeutet, das Paket durchzulassen. DROP bedeutet, das Paket einfach zu verwerfen. RETURN bedeutet, die Durchquerung dieser Kette zu beenden und in der nächsten Regel der vorherigen (aufrufenden) Kette fortzufahren. Wenn das Ende einer integrierten Kette erreicht wird oder eine Regel in einer integrierten Kette mit dem Ziel RETURN abgeglichen wird, bestimmt das im Kettendatenfeld angegebene Ziel das Schicksal des Pakets.

TABLES

Derzeit gibt es fünf unabhängige Tabellen (welche Tabellen zu einem bestimmten Zeitpunkt vorhanden sind, hängt von den Kernel-Konfigurationsoptionen und den vorhandenen Modulen ab).

-t, --table table

Diese Option gibt die Paketabgleichstabelle an, auf der der Befehl ausgeführt werden soll. Wenn der Kernel so konfiguriert ist, dass Module automatisch geladen werden, wird versucht, das entsprechende Modul für diese Tabelle zu laden, falls es noch nicht vorhanden ist.

Die Tabellen sind wie folgt:

    filter:

Dies ist die Standardtabelle (wenn keine -t-Option übergeben wird). Sie enthält die integrierten Chains INPUT (für Pakete, die für lokale Sockets bestimmt sind), FORWARD (für Pakete, die durch den Rechner geleitet werden) und OUTPUT (für lokal generierte Pakete).

    nat:

Diese Tabelle wird verwendet, wenn ein Paket empfangen wird, das eine neue Verbindung aufbaut. Sie besteht aus vier integrierten Chains: PREROUTING (zum Ändern von Paketen, sobald diese eintreffen), INPUT (zum Ändern von Paketen, die für lokale Sockets bestimmt sind), OUTPUT (zum Ändern von lokal generierten Paketen vor dem Routing) und POSTROUTING (zum Ändern von Paketen, bevor diese ausgehen). IPv6 NAT-Unterstützung ist seit Kernel 3.7 verfügbar.

    mangle:

Diese Tabelle wird für spezielle Paketänderungen verwendet. Bis Kernel 2.4.17 verfügte sie über zwei integrierte Chains: PREROUTING (zum Ändern von eingehenden Paketen vor dem Routing) und OUTPUT (zum Ändern von lokal generierten Paketen vor dem Routing). Seit Kernel 2.4.18 werden auch drei weitere integrierte Chains unterstützt: INPUT (für Pakete, die auf dem Rechner selbst ankommen), FORWARD (zum Ändern von Paketen, die durch den Rechner geleitet werden) und POSTROUTING (zum Ändern von Paketen, bevor diese ausgehen).

    raw:

Diese Tabelle wird hauptsächlich verwendet, um Ausnahmen von der Verbindungsverfolgung in Kombination mit dem NOTRACK-Target zu konfigurieren. Sie wird bei den Netfilter-Hooks mit höherer Priorität registriert und wird daher vor ip_conntrack oder anderen IP-Tabellen aufgerufen. Sie stellt die folgenden integrierten Chains bereit: PREROUTING (für Pakete, die über eine beliebige Netzwerkschnittstelle eintreffen) und OUTPUT (für Pakete, die von lokalen Prozessen generiert werden).

    security:

Diese Tabelle wird für Mandatory Access Control (MAC)-Netzwerkregeln verwendet, z. B. für solche, die durch die SECMARK- und CONNSECMARK-Targets aktiviert werden. Mandatory Access Control wird von Linux Security Modules wie SELinux implementiert. Die Security-Tabelle wird nach der Filter-Tabelle aufgerufen, so dass alle Discretionary Access Control (DAC)-Regeln in der Filter-Tabelle wirksam werden, bevor MAC-Regeln angewendet werden. Diese Tabelle stellt die folgenden integrierten Chains bereit: INPUT (für Pakete, die auf dem Rechner selbst ankommen), OUTPUT (zum Ändern von lokal generierten Paketen vor dem Routing) und FORWARD (zum Ändern von Paketen, die durch den Rechner geleitet werden).

OPTIONEN

Die von iptables und ip6tables unterstützten Optionen können in verschiedene Gruppen unterteilt werden.

BEFEHLE

Diese Optionen geben die gewünschte auszuführende Aktion an. Nur eine davon kann in der Befehlszeile angegeben werden, es sei denn, dies wird im Folgenden anders angegeben. Für lange Versionen der Befehls- und Optionsnamen müssen Sie nur genügend Buchstaben verwenden, um sicherzustellen, dass iptables diese von allen anderen Optionen unterscheiden kann.

    -A, --append chain rule-specification

Fügt eine oder mehrere Regeln am Ende der ausgewählten Chain hinzu. Wenn sich die Quell- und/oder Zielnamen in mehr als eine Adresse auflösen, wird für jede mögliche Adresskombination eine Regel hinzugefügt.

    -C, --check chain rule-specification

Überprüft, ob eine Regel, die der Spezifikation entspricht, in der ausgewählten Chain vorhanden ist. Dieser Befehl verwendet die gleiche Logik wie -D, um einen passenden Eintrag zu finden, ändert aber nicht die vorhandene iptables-Konfiguration und verwendet seinen Exit-Code, um Erfolg oder Misserfolg anzuzeigen.

-D, --delete chain regel-spezifikation
-D, --delete chain regelnummer

Löscht eine oder mehrere Regeln aus der ausgewählten Kette. Es gibt zwei Versionen dieses Befehls: die Regel kann entweder als Nummer in der Kette (beginnend mit 1 für die erste Regel) oder als Regel zum Abgleichen angegeben werden.

-I, --insert chain [regelnummer] regel-spezifikation

Fügt eine oder mehrere Regeln in der ausgewählten Kette an der angegebenen Regelnummer ein. Wenn die Regelnummer 1 ist, werden die Regel(n) am Anfang der Kette eingefügt. Dies ist auch der Standard, wenn keine Regelnummer angegeben wird.

-R, --replace chain regelnummer regel-spezifikation

Ersetzt eine Regel in der ausgewählten Kette. Wenn die Quell- und/oder Zielnamen sich auf mehrere Adressen auflösen, schlägt der Befehl fehl. Regeln sind ab 1 nummeriert.

-L, --list [kette]

Listet alle Regeln in der ausgewählten Kette auf. Wenn keine Kette ausgewählt ist, werden alle Ketten aufgelistet. Wie bei jedem anderen iptables-Befehl gilt dies für die angegebene Tabelle (Standard ist filter), sodass NAT-Regeln mit iptables -t nat -n -L aufgelistet werden. Beachten Sie, dass es häufig mit der Option -n verwendet wird, um lange Reverse-DNS-Nachschlagen zu vermeiden. Es ist auch zulässig, die Option -Z (zero) anzugeben, in diesem Fall werden die Kette(n) atomar aufgelistet und geleert. Die genaue Ausgabe wird durch die anderen angegebenen Argumente beeinflusst. Die genauen Regeln werden erst angezeigt, wenn Sie iptables -L -v oder iptables-save(8) verwenden.

-S, --list-rules [kette]

Gibt alle Regeln in der ausgewählten Kette aus. Wenn keine Kette ausgewählt ist, werden alle Ketten wie bei iptables-save ausgegeben. Wie bei jedem anderen iptables-Befehl gilt dies für die angegebene Tabelle (Standard ist filter).

-F, --flush [kette]

Leert die ausgewählte Kette (alle Ketten in der Tabelle, wenn keine angegeben ist). Dies entspricht dem Löschen aller Regeln einzeln.

-Z, --zero [kette [regelnummer]]

Setzt die Paket- und Byte-Zähler in allen Ketten oder nur in der angegebenen Kette oder nur in der angegebenen Regel in einer Kette auf Null. Es ist zulässig, die Option -L, --list (liste) anzugeben, um die Zähler anzuzeigen, bevor sie gelöscht werden. (Siehe oben.)

-N, --new-chain kette

Erstellt eine neue benutzerdefinierte Kette mit dem angegebenen Namen. Es darf keine Zielvorgabe mit diesem Namen bereits vorhanden sein.

-X, --delete-chain [kette]

Löscht die angegebene Kette. Es dürfen keine Verweise auf die Kette vorhanden sein. Wenn dies der Fall ist, müssen Sie die verweisenden Regeln löschen oder ersetzen, bevor die Kette gelöscht werden kann. Die Kette muss leer sein, d. h. sie darf keine Regeln enthalten. Wenn kein Argument angegeben wird, werden alle leeren Ketten in der Tabelle gelöscht. Leere vordefinierte Ketten können nur mit iptables-nft gelöscht werden.

-P, --policy kette ziel

Setzt die Richtlinie für die integrierte (nicht benutzerdefinierte) Kette auf das angegebene Ziel. Das Richtlinienziel muss entweder ACCEPT oder DROP sein.

-E, --rename-chain old-chain new-chain

Benennt die vom Benutzer angegebene Kette in den vom Benutzer angegebenen Namen um. Dies ist rein kosmetisch und hat keinen Einfluss auf die Struktur der Tabelle.

-h     Hilfe. Gibt eine (derzeit sehr kurze) Beschreibung der Befehlssyntax aus.

PARAMETER

Die folgenden Parameter bilden eine Regelspezifikation (wie sie in den Befehlen "add", "delete", "insert", "replace" und "append" verwendet wird).

-4, --ipv4

Diese Option hat in iptables und iptables-restore keine Auswirkung. Wenn eine Regel, die die Option -4 verwendet, mit (und nur mit) ip6tables-restore eingefügt wird, wird sie stillschweigend ignoriert. Alle anderen Verwendungen führen zu einem Fehler. Diese Option ermöglicht IPv4- und IPv6-Regeln in einer einzigen Regeldatei, die sowohl mit iptables-restore als auch mit ip6tables-restore verwendet werden können.

-6, --ipv6

Wenn eine Regel, die die Option -6 verwendet, mit (und nur mit) iptables-restore eingefügt wird, wird sie stillschweigend ignoriert. Alle anderen Verwendungen führen zu einem Fehler. Diese Option ermöglicht IPv4- und IPv6-Regeln in einer einzigen Regeldatei, die sowohl mit iptables-restore als auch mit ip6tables-restore verwendet werden können. Diese Option hat in ip6tables und ip6tables-restore keine Auswirkung.

[!] -p, --protocol protocol

Das Protokoll der Regel oder des zu überprüfenden Pakets. Das angegebene Protokoll kann eines von tcp, udp, udplite, icmp, icmpv6, esp, ah, sctp, mh oder das spezielle Schlüsselwort "all" sein, oder es kann sich um einen numerischen Wert handeln, der eines dieser Protokolle oder ein anderes Protokoll darstellt. Ein Protokollname aus /etc/protocols ist ebenfalls zulässig. Ein "!"-Argument vor dem Protokoll kehrt die Prüfung um. Die Zahl Null entspricht "all". "all" passt zu allen Protokollen und wird als Standardwert verwendet, wenn diese Option weggelassen wird. Beachten Sie, dass in ip6tables IPv6-Erweiterungsheader mit Ausnahme von esp nicht zulässig sind. esp und ipv6-nonext können mit Kernel-Version 6.11 oder höher verwendet werden. Die Zahl Null entspricht "all", was bedeutet, dass Sie das Protokollfeld nicht direkt auf den Wert 0 testen können. Um auf einen HBH-Header abzugleichen, selbst wenn es der letzte wäre, können Sie nicht -p 0 verwenden, sondern müssen immer -m hbh verwenden.

[!] -s, --source address[/mask][,...]

Quellenspezifikation. Die Adresse kann entweder ein Netzwerkname, ein Hostname, eine Netzwerk-IP-Adresse (mit /Maske) oder eine einfache IP-Adresse sein. Hostnamen werden nur einmal aufgelöst, bevor die Regel an den Kernel übergeben wird. Beachten Sie, dass die Angabe eines Namens, der mit einer Remote-Abfrage wie DNS aufgelöst werden soll, eine sehr schlechte Idee ist. Die Maske kann entweder eine IPv4-Netzwerkmaske (für iptables) oder eine einfache Zahl sein, die die Anzahl der Einsen auf der linken Seite der Netzwerkmaske angibt. Eine iptables-Maske von 24 entspricht also 255.255.255.0. Ein "!"-Argument vor der Adressspezifikation kehrt die Bedeutung der Adresse um. Das Flag --src ist ein Alias für diese Option. Es können mehrere Adressen angegeben werden, dies führt jedoch zu mehreren Regeln (beim Hinzufügen mit -A) oder dazu, dass mehrere Regeln gelöscht werden (mit -D).

[!] -d, --destination address[/mask][,...]

Zielspezifikation. Sehen Sie die Beschreibung des Flags -s (Quelle) für eine detaillierte Beschreibung der Syntax. Das Flag --dst ist ein Alias für diese Option.

-m, --match match
Gibt eine zu verwendende Übereinstimmung an, d. h. ein Erweiterungsmodul, das auf eine bestimmte Eigenschaft prüft. Die Menge der Übereinstimmungen bildet die Bedingung, unter der ein Ziel aufgerufen wird. Die Übereinstimmungen werden in der Reihenfolge, in der sie in der Befehlszeile angegeben sind, von oben nach unten ausgewertet, und zwar auf eine Weise, dass die Auswertung abgebrochen wird, sobald eine Erweiterung `false` zurückgibt.

-j, --jump target
Dies gibt das Ziel der Regel an, d. h. was geschehen soll, wenn ein Paket übereinstimmt. Das Ziel kann eine vom Benutzer definierte Kette (andere als die, in der sich diese Regel befindet), eines der speziellen eingebauten Ziele sein, die das Schicksal des Pakets sofort bestimmen, oder eine Erweiterung (siehe MATCH- und TARGET-ERWEITERUNGEN unten). Wenn diese Option in einer Regel weggelassen wird (und -g nicht verwendet wird), hat die Übereinstimmung mit der Regel keinen Einfluss auf das Schicksal des Pakets, aber die Zähler der Regel werden erhöht.

-g, --goto chain
Dies gibt an, dass die Verarbeitung in einer vom Benutzer angegebenen Kette fortgesetzt werden soll. Im Gegensatz zur Option --jump wird mit RETURN die Verarbeitung in dieser Kette nicht fortgesetzt, sondern in der Kette, die uns über --jump aufgerufen hat.

[!] -i, --in-interface name
Name einer Schnittstelle, über die ein Paket empfangen wurde (nur für Pakete, die in die INPUT-, FORWARD- und PREROUTING-Ketten gelangen). Wenn das Argument "!" vor dem Schnittstellennamen verwendet wird, wird die Bedeutung umgekehrt. Wenn der Schnittstellennamen mit einem "+" endet, stimmt jede Schnittstelle, die mit diesem Namen beginnt, überein. Wenn diese Option weggelassen wird, stimmt jeder Schnittstellenname überein.

[!] -o, --out-interface name
Name einer Schnittstelle, über die ein Paket gesendet werden soll (für Pakete, die in die FORWARD-, OUTPUT- und POSTROUTING-Ketten gelangen). Wenn das Argument "!" vor dem Schnittstellennamen verwendet wird, wird die Bedeutung umgekehrt. Wenn der Schnittstellennamen mit einem "+" endet, stimmt jede Schnittstelle, die mit diesem Namen beginnt, überein. Wenn diese Option weggelassen wird, stimmt jeder Schnittstellenname überein.

[!] -f, --fragment
Dies bedeutet, dass die Regel nur für das zweite und alle nachfolgenden IPv4-Fragmente fragmentierter Pakete gilt. Da es keine Möglichkeit gibt, die Quell- oder Zielports eines solchen Pakets zu bestimmen (oder den ICMP-Typ), stimmt ein solches Paket nicht mit Regeln überein, die diese angeben. Wenn das Argument "!" vor dem Flag "-f" steht, stimmt die Regel nur mit Head-Fragmenten oder nicht fragmentierten Paketen überein. Diese Option ist IPv4-spezifisch und nicht in ip6tables verfügbar.

-c, --set-counters packets bytes
Dies ermöglicht es dem Administrator, die Paket- und Byte-Zähler einer Regel zu initialisieren (während der Operationen INSERT, APPEND, REPLACE).

ANDERE OPTIONEN

Die folgenden zusätzlichen Optionen können angegeben werden:

-v, --verbose
Ausführliche Ausgabe. Diese Option bewirkt, dass der Befehl list den Schnittstellennamen, die Regeloptionen (falls vorhanden) und die TOS-Masken anzeigt. Die Paket- und Byte-Zähler werden ebenfalls mit dem Suffix 'K', 'M' oder 'G' für Multiplikatoren von 1000, 1.000.000 bzw. 1.000.000.000 angezeigt (siehe jedoch das Flag -x, um dies zu ändern). Beim Anhängen, Einfügen, Löschen und Ersetzen werden detaillierte Informationen über die Regel oder Regeln ausgegeben. -v kann mehrmals angegeben werden, um möglicherweise detailliertere Debug-Meldungen auszugeben: Bei zweimaliger Angabe gibt iptableslegacy Tabelleninformationen und Einträge in libiptc aus, iptables-nft gibt Regeln in der Netlink-Darstellung (VM-Code) aus. Bei dreimaliger Angabe gibt iptables-nft auch alle an den Kernel gesendeten Netlink-Nachrichten aus.

-V, --version

Zeigt die Programmversion und die verwendete Kernel-API an.

-w, --wait [Sekunden]

Wartet auf die xtables-Sperre. Um zu verhindern, dass mehrere Instanzen des Programms gleichzeitig ausgeführt werden, wird beim Start versucht, eine exklusive Sperre zu erhalten. Standardmäßig beendet das Programm, wenn die Sperre nicht erhalten werden kann. Diese Option bewirkt, dass das Programm (unbegrenzt oder für die angegebene Anzahl von Sekunden) wartet, bis die exklusive Sperre erhalten werden kann.

-n, --numeric

Numerische Ausgabe. IP-Adressen und Portnummern werden in numerischer Form ausgegeben. Standardmäßig versucht das Programm, diese als Hostnamen, Netzwerknamen oder Dienste anzuzeigen (sofern zutreffend).

-x, --exact

Erweitert Zahlen. Zeigt den genauen Wert der Paket- und Byte-Zähler an, anstatt nur die gerundete Zahl in K (Vielfachen von 1000), M (Vielfachen von 1000K) oder G (Vielfachen von 1000M) anzuzeigen. Diese Option ist nur für den Befehl -L relevant.

--line-numbers

Beim Auflisten von Regeln werden Zeilennummern am Anfang jeder Regel hinzugefügt, die der Position dieser Regel in der Kette entsprechen.

--modprobe=Befehl

Beim Hinzufügen oder Einfügen von Regeln in eine Kette wird der Befehl verwendet, um alle erforderlichen Module (Ziele, Match-Erweiterungen usw.) zu laden.

SPERRDATEI

iptables verwendet die Datei /run/xtables.lock, um beim Start eine exklusive Sperre zu erhalten.

Die Umgebungsvariable XTABLES_LOCKFILE kann verwendet werden, um die Standardeinstellung zu überschreiben.

MATCH- UND ZIEL-ERWEITERUNGEN

iptables kann erweiterte Paket-Match- und Zielmodule verwenden. Eine Liste dieser Module finden Sie in der Manpage iptables-extensions(8).

DIAGNOSTIK

Verschiedene Fehlermeldungen werden auf die Standardfehlerausgabe ausgegeben. Der Exit-Code ist 0 für korrektes Funktionieren. Fehler, die durch ungültige oder missbräuchliche Befehlszeilenparameter verursacht werden, führen zu einem Exit-Code von 2. Fehler, die auf eine Inkompatibilität zwischen Kernel und Benutzermodus hinweisen, führen zu einem Exit-Code von 3. Fehler, die auf ein Ressourcenproblem hinweisen, z. B. eine ausgelastete Sperre, fehlgeschlagene Speicherzuweisung oder Fehlermeldungen vom Kernel, führen zu einem Exit-Code von 4. Schließlich führen alle anderen Fehler zu einem Exit-Code von 1.

FEHLER

Fehler? Was ist das? ;-) Vielleicht sollten Sie einen Blick auf https://bugzilla.netfilter.org/ werfen. iptables wird sofort mit einem Fehlercode von 111 beendet, wenn festgestellt wird, dass es als ein Programm mit setuid-Root-Rechten aufgerufen wurde. iptables kann nicht sicher auf diese Weise verwendet werden, da es den beim Ausführen geladenen gemeinsam genutzten Bibliotheken (Matches, Ziele) vertraut, und der Suchpfad kann mit Umgebungsvariablen festgelegt werden.

KOMPATIBILITÄT MIT IPCHAINS

Dieses iptables ist sehr ähnlich zu ipchains von Rusty Russell. Der Hauptunterschied besteht darin, dass die Chains INPUT und OUTPUT nur für Pakete durchlaufen werden, die zum lokalen Host kommen bzw. vom lokalen Host stammen. Daher durchläuft jedes Paket nur eine der drei Chains (mit Ausnahme des Loopback-Traffics, der sowohl die INPUT- als auch die OUTPUT-Chain betrifft); zuvor durchlief ein weitergeleitetes Paket alle drei Chains.

Ein weiterer Hauptunterschied besteht darin, dass -i sich auf die Eingabe-Schnittstelle bezieht, -o sich auf die Ausgabe-Schnittstelle bezieht und beides für Pakete verfügbar ist, die die FORWARD-Chain durchlaufen.

Die verschiedenen Formen von NAT wurden getrennt. iptables ist eine reine Paketfilter, wenn die Standardtabelle filter verwendet wird, mit optionalen Erweiterungsmodulen. Dies sollte die Verwirrung über die Kombination aus IP-Masquerading und Paketfilterung, die zuvor beobachtet wurde, vermeiden. Daher werden die folgenden Optionen anders behandelt: -j MASQ -M -S -M -L Es gibt noch einige andere Änderungen in iptables.

SIEHE AUCH

iptables-apply(8), iptables-save(8), iptables-restore(8), iptables-extensions(8)

Das Packet-Filtering-HOWTO beschreibt die Verwendung von iptables für die Paketfilterung, das NAT-HOWTO beschreibt NAT, das netfilter-extensions-HOWTO beschreibt die Erweiterungen, die nicht zur Standardverteilung gehören, und das netfilter-hacking-HOWTO beschreibt die Netfilter-Interna. Siehe https://www.netfilter.org/.

AUTOREN

Rusty Russell hat iptables ursprünglich geschrieben, in enger Zusammenarbeit mit Michael Neuling.

Marc Boucher brachte Rusty dazu, ipnatctl aufzugeben, indem er sich für ein generisches Framework zur Paketauswahl in iptables einsetzte, schrieb dann die Mangle-Tabelle, die Owner-Übereinstimmung, die Mark-Funktionen und sorgte für viele andere nützliche Dinge.

James Morris schrieb das TOS-Ziel und die TOS-Übereinstimmung.

Jozsef Kadlecsik schrieb das REJECT-Ziel.

Harald Welte schrieb die ULOG- und NFQUEUE-Ziele, das neue libiptc sowie die TTL-, DSCP- und ECN-Übereinstimmungen und -Ziele.

Das Netfilter Core Team besteht aus: Jozsef Kadlecsik, Pablo Neira Ayuso, Eric Leblond, Florian Westphal und Arturo Borrero Gonzalez. Ehemalige Mitglieder des Core Teams sind: Marc Boucher, Martin Josefsson, Yasuyuki Kozakai, James Morris, Harald Welte und Rusty Russell.

Die Manpage wurde ursprünglich von Herve Eychenne <_> geschrieben.

VERSION

Diese Manpage gilt für iptables/ip6tables 1.8.11.