Targets: was soll die Filterregel bewirken

Bis jetzt wurde nur ausgeführt, ob eine Regel zutrifft oder nicht. Was mit dem Paket geschehen soll, wenn eine Regel zutrifft, wird in diesem Abschnitt beschrieben.

• ipchains -A chain ... -j target

-j steht für ''jump-to''. Das Ziel einer Filterregel wird als Target bezeichnet, ein Begriff, der der Einfachheit halber hier beibehalten werden soll. Man unterscheidet zwischen vordefinierten Targets und solchen, die vom Anwender jederzeit selbst angelegt (und auch wieder gelöscht) werden können. Selbstdefinierte Targets sind nichts anderes als vom Anwender definierte Filterketten. Diese werden im Abschnitt 3.6 behandelt.

Folgende sechs Targets sind permanent vorhanden:

• ipchains -A chain .... -j ACCEPT

  das Paket wird ganz einfach durchgelassen

• ipchains -A chain .... -j REJECT

  das Paket wird abgelehnt und eine ICMP-Nachricht destination unreachable wird erzeugt.

• ipchains -A chain .... -j DENY

  das Paket wird verworfen, der Absender wird darüber im unklaren gelassen. Das ist eigentlich nicht besonders fein, aber macht bei Firewalls mitunter durchaus Sinn, um Angreifern weniger Informationen sprich Angriffsfläche zu bieten und ein mögliches Ausspähen zu erschweren

• ipchains -A chain .... -j MASQ

  das Paket wird maskiert (siehe Abschnitt 4. Nur erlaubt in der forward chain.

• ipchains -A chain .... -j REDIRECT [local_port]

  das Paket wird auf einen lokalen Port umgeleitet anstatt weitergeleitet. REDIRECT ist die Ausgangsbasis für transparente Proxies (siehe Abschnitt 5). Nur erlaubt für TCP und UDP-Protokoll. Die Angabe eines lokalen Ports ist optional.

• ipchains -A chain .... -j RETURN

  aus einer vom Anwender definierten Regelkette erfolgt ein Rücksprung an die Stelle, von der aus die Regelkette aufgerufen wurde. Bei input chain, forward chain und output chain bedeutet RETURN einen Sprung an das Ende der Regelkette zur Default Policy.