Was ist eine Chain in Firewall-Begriffen?

Eine **Chain** ist eine geordnete Regel-Liste. Wenn ein Paket den Kernel betritt, laeuft die Firewall die richtige Chain von oben nach unten ab und wendet die erste passende Regel an. Die drei eingebauten Chains in der Filter-Tabelle sind die, die dieser Builder bedient: **INPUT** (Pakete an diese Maschine), **OUTPUT** (Pakete, die diese Maschine verlassen), **FORWARD** (Pakete, die durch diese Maschine durchgehen, wie an einem Router). Erreichst du das Ende ohne Match, greift die **Default-Policy** der Chain. Chains koennen auch **eigene Namen** zur Regel-Organisation haben, aber die Built-ins sind, wo jedes Ruleset startet.

Was ist der Unterschied zwischen INPUT, OUTPUT und FORWARD?

Das sind die drei Traffic-Richtungen, mit denen eine Linux-Box umgeht. Die **INPUT-Chain** sieht Pakete, die **an die lokale Maschine adressiert** sind: jemand verbindet sich zu deinem SSH, zu deinem Webserver, deinem DNS-Resolver. Das ist die Chain, die deine Services schuetzt. Die **OUTPUT-Chain** sieht Pakete, die deine Maschine **rausschickt**: ausgehendes HTTP, DNS-Lookups, API-Calls. Meist weit offen mit Policy ACCEPT, weil du deiner eigenen Software vertraust. Die **FORWARD-Chain** sieht Pakete, die **auf einem Interface ankommen und ueber ein anderes rausgehen**, ohne an die lokale Maschine adressiert zu sein. Nur Router, Gateways, NAT-Boxen und Docker-Hosts brauchen FORWARD-Regeln. Auf einem normalen Server sollte FORWARD Policy DROP haben und leer bleiben.

Warum ESTABLISHED,RELATED ganz oben?

Weil die erste Regel, die ein Paket matcht, gewinnt, und **jedes Antwort-Paket** jeder erlaubten Verbindung sollte dieser einen Regel matchen. Sonst muesstest du fuer jeden Service eine Reverse-Regel schreiben: "allow incoming on 80" UND "allow outgoing reply from 80", was das Ruleset verdoppelt und bricht, wenn du eine vergisst. Diese Regel an Position **1** von INPUT und FORWARD setzen: `iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT` Sie matcht Pakete, die zu einer Verbindung gehoeren, die der Kernel bereits trackt (ESTABLISHED), oder einer verwandten wie einem FTP-Daten-Channel (RELATED). Ergebnis: du brauchst nur Regeln fuer **neue** Verbindungen, die Firewall haendelt die Antworten automatisch.

Was macht Conntrack genau?

**Conntrack** ist der Connection-Tracker des Kernels. Fuer jeden TCP-, UDP- und ICMP-Flow, den es sieht, haelt Conntrack Source-IP, Destination-IP, Source-Port, Destination-Port und aktuellen State (NEW, ESTABLISHED, RELATED, INVALID) fest. Die Firewall kann dann auf **State** matchen, statt zwei Regeln pro Service zu schreiben. Das ist, was eine Firewall **stateful** macht: der Kernel weiss "dieses Paket ist die Antwort auf eine vor fuenf Sekunden erlaubte Verbindung" und entscheidet entsprechend. Moderne Firewalls nutzen `-m conntrack --ctstate` (iptables) oder `ct state` (nftables). Die aeltere `-m state --state`-Syntax funktioniert zur Backward-Kompatibilitaet, Conntrack ist aber der kanonische Weg.

Stateful vs stateless, praktischer Unterschied?

Eine **stateless Firewall** schaut jedes Paket isoliert an: Source, Destination, Protokoll, Ports. Damit eine Website antworten kann, brauchst du eine explizite Regel fuer die Antwort. Das Ruleset verdoppelt sich, und du kannst Responses durchlassen, die du nicht wolltest. Eine **stateful Firewall** merkt sich aktive Verbindungen in einer Tabelle. Fuer Antworten reicht eine Regel: "alles, was Teil einer bestehenden Verbindung ist, akzeptieren". Genau das macht `-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT`. Der Kernel kennt die Verbindungs-Tabelle, du schreibst Regeln nur fuer **neue** Flows. **Immer Stateful-Matching nutzen**, ausser du schreibst Regeln fuer einen Router mit Millionen Paketen pro Sekunde, wo Conntrack-Overhead messbar wird.

Warum Default-Policy auf DROP setzen?

**Deny by default** ist die sichere Haltung. Mit Policy ACCEPT musst du alles Boese aufzaehlen, was du blocken willst, eine endlose Liste. Mit Policy DROP zaehlst du die paar Dinge auf, die du erlauben willst, eine kurze Liste (SSH, HTTP, HTTPS, Return-Traffic). Alles, was du vergisst, ist geblockt, genau das willst du auf einer Firewall. **Sperr dich immer zuerst ab Weg zurueck rein**: die ACCEPT-Regel fuer SSH auf Port 22 (oder was immer du nutzt) schreiben, testen, dann die Policy auf DROP flippen. Flippst du zuerst, fliegst du von deinem eigenen Server.

Wie persistiere ich Firewall-Regeln ueber Reboots?

Mit `iptables` oder `nft` hinzugefuegte Regeln leben im Memory und **verschwinden beim Reboot**. Damit sie ueberleben: **Debian / Ubuntu (iptables)**: `iptables-persistent` installieren, dann `sudo netfilter-persistent save`. Regeln werden in `/etc/iptables/rules.v4` und `rules.v6` geschrieben und beim Boot geladen. **RHEL / CentOS (iptables)**: `sudo service iptables save` schreibt nach `/etc/sysconfig/iptables`. **Jede moderne Distro (nftables)**: den Output von `sudo nft list ruleset` in `/etc/nftables.conf` speichern und den Service aktivieren: `sudo systemctl enable nftables`. Beim Boot laeuft der Service `nft -f /etc/nftables.conf`, das Ruleset ist wiederhergestellt. **Empfohlener Workflow**: `/etc/nftables.conf` (oder den iptables-save-Output) in Versionskontrolle halten. Behandle die Firewall wie jede andere Config-Datei.

Zaehlt die Regel-Reihenfolge?

**Ja, Reihenfolge zaehlt in iptables sehr.** Regeln in einer Chain werden **von oben nach unten** ausgewertet und der **First-Match gewinnt**. Spaetere Regeln werden nicht geprueft. So funktioniert es: Regel 1 = "ACCEPT SSH from 1.2.3.4", Regel 2 = "DROP all SSH". Und so ist es kaputt: Regel 1 = "DROP all SSH", Regel 2 = "ACCEPT SSH from 1.2.3.4" (das DROP gewinnt, niemand kommt rein). **nftables ist gleich**: Regeln in einer Chain laufen von oben nach unten. Spezifische ACCEPTs immer **vor** breiten DROPs. Der Builder erlaubt das Umordnen ueber Up-/Down-Pfeile an jeder Zeile.

Wie teste ich Regeln, ohne mich auszusperren?

Drei klassische Tricks. **1. Einen Kill-Switch in einem anderen Terminal laufen lassen**: `sudo nohup sh -c 'sleep 300; iptables -F; iptables -P INPUT ACCEPT' &`. Wenn du es vermurkst, flushst die Firewall sich in 5 Minuten selbst. Ein zweites Terminal oeffnen, bevor du die neuen Regeln anwendest. **2. Einen Flush mit `at` planen**: `echo "iptables -F; iptables -P INPUT ACCEPT" | sudo at now + 10 minutes`. Selbe Idee, sauberer. **3. `iptables-apply` (Debian) oder `nft -c -f rules.conf` nutzen**: das Apply-Tool verlangt eine Bestaetigung in 10 Sekunden, sonst rollt es zurueck. `nft -c` macht einen Dry-Run-Check auf Syntax. **Immer Konsole / IPMI / KVM** zu deinem Server haben, bevor du Firewall-Regeln auf einer Remote-Box anfasst. SSH ist das **einzige**, was dich verbunden haelt; ein falsches DROP, und du laeufst ins Datacenter.

iptables- und nftables-Builder - kostenlos

# iptables-legacy ruleset # Flush existing rules before applying iptables -F iptables -X # Default policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Rules iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "allow return traffic" # Save (Debian/Ubuntu): netfilter-persistent save # Save (RHEL/CentOS): service iptables save

# nftables ruleset (save as /etc/nftables.conf) #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority 0; policy drop; ct state { established, related } accept comment "allow return traffic" } chain forward { type filter hook forward priority 0; policy drop; } chain output { type filter hook output priority 0; policy accept; } } # Apply: sudo nft -f /etc/nftables.conf # Persist on boot: sudo systemctl enable nftables

Was ist dieser iptables-/nftables-Regel-Builder?

Eine Linux-Firewall haelt unerwuenschten Traffic von deinem Server fern. Die zwei Tools, die mit dem Kernel kommen, sind iptables (der Klassiker, seit 1998) und nftables (der moderne Nachfolger, Default auf Debian 11+, Ubuntu 22.04+, RHEL 9+ und den meisten aktuellen Distros).

Dieser Builder erlaubt dir, Firewall-Regeln in einem freundlichen Formular zu schreiben und produziert beide Syntaxen gleichzeitig. Eine Chain waehlen (INPUT, OUTPUT, FORWARD), eine Action (ACCEPT, DROP, REJECT, LOG), Protokoll, Source, Destination, Ports und Connection-State setzen, du bekommst ein paste-bereites Ruleset.

Alles laeuft im Browser: keine Regeln werden angewandt, kein Server kontaktiert, nichts hochgeladen. Du kopierst den Output, oeffnest dein Terminal, liest sorgfaeltig und fuehrst selbst aus. Das Tool ist ein Builder, kein Runner.

Ein paar Dinge, die du vor dem Anfang wissen solltest:

Die Default-Policy einer Chain ist das, was passiert, wenn keine Regel matcht. INPUT auf DROP plus ein paar gezielte ACCEPTs ist die klassische "Deny-by-default"-Haltung.
Reihenfolge zaehlt in iptables: Regeln werden von oben nach unten ausgewertet, First-Match-Wins. Setze deine Return-Traffic-Regel (ESTABLISHED, RELATED) zuerst, damit bestehende Verbindungen beim Firewall-Reload nicht brechen.
nftables ist deklarativ (die ganze Tabelle ist ein Dokument); iptables ist imperativ (jede `-A`-Zeile haengt eine Regel an).

So benutzt du es

Mit einem Preset starten, wenn moeglich: "Basic webserver", "Locked-down SSH", "Allow LAN, deny WAN", "Docker forward chain" oder "Rate limit SSH". Jedes fuellt sinnvolle Defaults aus, die du anpassen kannst.
Default-Policy pro Chain setzen. Die sichere Haltung ist INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. Die OUTPUT-Policy ist meist ACCEPT, weil du deinem eigenen Server beim Rausfunken vertraust.
Regeln in Reihenfolge ergaenzen. Die allererste INPUT-Regel sollte sein: Protokoll=any, State=ESTABLISHED+RELATED, Action=ACCEPT. Das haelt bestehende Verbindungen am Leben, wenn du die Firewall reloadest.
Pro Regel Chain, Action, Protokoll, optionale Source-IP (oder CIDR wie 192.168.1.0/24), optionale Destination-IP, optionalen Source-/Destination-Port und einen Connection-State waehlen, wenn du Stateful-Matching brauchst.
Den Conntrack-Toggle nutzen, um zwischen modernem `-m conntrack --ctstate` und Legacy `-m state --state` zu waehlen. Moderne Kernel haben Conntrack als Default; an lassen, ausser deine Distro ist uralt.
Die Live-Vorschau rechts ansehen. Das obere Panel ist iptables, das untere nftables. Beide werden aus demselben Modell synchron gehalten, beide haben einen Copy-Button.
Vor dem Commit testen. Den iptables-Block kopieren, am Server einfuegen, ausfuehren. Sperrst du dich aus, ueberleben die Regeln keinen Reboot (sie leben nur im Memory). Nach 5 Minuten Testen mit `netfilter-persistent save` (Debian/Ubuntu) persistieren oder den nftables-Block in `/etc/nftables.conf` speichern.

Wann das nuetzlich ist

Fuenf konkrete Situationen, in denen Regeln in einem Formular zu bauen das Handschreiben schlaegt:

Du richtest einen frischen VPS ein und brauchst eine Start-Firewall. Das "Basic webserver"-Preset oeffnet Ports 22 (SSH), 80 (HTTP), 443 (HTTPS) und droppt alles andere. Es ist der kanonische erste Schritt nach dem Server-Install, und der Builder schreibt es in beiden Syntaxen, du nimmst die fuer deine Distro.
Du migrierst von iptables zu nftables. Viele Distros (Debian 11+, RHEL 9+) haben nftables zum Default gemacht und der Legacy-`iptables`-Befehl ist ein Wrapper. Pasten deine bestehenden iptables-Regeln ins Formular, Vorschau auf nftables schalten, fertig ist eine save-bereite `/etc/nftables.conf`.
Du willst SSH auf eine IP einschraenken. Das "Locked-down SSH"-Preset zeigt das Muster: ACCEPT von deiner Office-IP, LOG und DROP fuer alles andere. Drei Regeln, in richtiger Reihenfolge, mit State-Matching.
Du verwaltest einen Docker-Host und die FORWARD-Chain ist ein Chaos. Docker schreibt die FORWARD-Chain bei jedem Restart um, das ist okay, aber du musst trotzdem wissen, wie gute FORWARD-Regeln aussehen. Das "Docker forward chain"-Preset ist eine saubere Baseline, die du anpassen kannst.
Du bringst jemandem Linux-Networking bei. Die Seite-an-Seite-iptables-vs-nftables-Ansicht ist der schnellste Weg, die Aequivalenz zu zeigen: gleiches Modell, zwei Syntaxen. Einen State togglen, beide Panels updaten zu sehen, und die Beziehung zwischen `-m conntrack --ctstate` und `ct state` klickt sofort.

Fragen und Antworten

nftables ist der aktuelle Default und die Zukunft. Es ersetzte iptables im Linux-Kernel-Netzwerk-Stack und ist das Systemtool auf Debian 11+, Ubuntu 22.04+, RHEL 9+, Fedora 32+, Arch und openSUSE. iptables ist offiziell im Long-Term-Maintenance-Modus: es funktioniert noch (und der `iptables`-Befehl auf modernen Distros ist meist ein Wrapper um nftables), aber keine neuen Features. Fuer Neues nftables lernen. Genug iptables, um alte Doku und bestehende Server zu lesen. Dieser Builder zeigt beides, du kannst zwischen ihnen uebersetzen.

Was ist dieser iptables-/nftables-Regel-Builder?

Ein paar Dinge, die du vor dem Anfang wissen solltest:

Die Default-Policy einer Chain ist das, was passiert, wenn keine Regel matcht. INPUT auf DROP plus ein paar gezielte ACCEPTs ist die klassische "Deny-by-default"-Haltung.
Reihenfolge zaehlt in iptables: Regeln werden von oben nach unten ausgewertet, First-Match-Wins. Setze deine Return-Traffic-Regel (ESTABLISHED, RELATED) zuerst, damit bestehende Verbindungen beim Firewall-Reload nicht brechen.
nftables ist deklarativ (die ganze Tabelle ist ein Dokument); iptables ist imperativ (jede `-A`-Zeile haengt eine Regel an).

So benutzt du es

Mit einem Preset starten, wenn moeglich: "Basic webserver", "Locked-down SSH", "Allow LAN, deny WAN", "Docker forward chain" oder "Rate limit SSH". Jedes fuellt sinnvolle Defaults aus, die du anpassen kannst.

Default-Policy pro Chain setzen. Die sichere Haltung ist INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. Die OUTPUT-Policy ist meist ACCEPT, weil du deinem eigenen Server beim Rausfunken vertraust.

Regeln in Reihenfolge ergaenzen. Die allererste INPUT-Regel sollte sein: Protokoll=any, State=ESTABLISHED+RELATED, Action=ACCEPT. Das haelt bestehende Verbindungen am Leben, wenn du die Firewall reloadest.

Pro Regel Chain, Action, Protokoll, optionale Source-IP (oder CIDR wie 192.168.1.0/24), optionale Destination-IP, optionalen Source-/Destination-Port und einen Connection-State waehlen, wenn du Stateful-Matching brauchst.

Den Conntrack-Toggle nutzen, um zwischen modernem `-m conntrack --ctstate` und Legacy `-m state --state` zu waehlen. Moderne Kernel haben Conntrack als Default; an lassen, ausser deine Distro ist uralt.

Die Live-Vorschau rechts ansehen. Das obere Panel ist iptables, das untere nftables. Beide werden aus demselben Modell synchron gehalten, beide haben einen Copy-Button.

Vor dem Commit testen. Den iptables-Block kopieren, am Server einfuegen, ausfuehren. Sperrst du dich aus, ueberleben die Regeln keinen Reboot (sie leben nur im Memory). Nach 5 Minuten Testen mit `netfilter-persistent save` (Debian/Ubuntu) persistieren oder den nftables-Block in `/etc/nftables.conf` speichern.

Wann das nuetzlich ist

Fuenf konkrete Situationen, in denen Regeln in einem Formular zu bauen das Handschreiben schlaegt:

Du richtest einen frischen VPS ein und brauchst eine Start-Firewall. Das "Basic webserver"-Preset oeffnet Ports 22 (SSH), 80 (HTTP), 443 (HTTPS) und droppt alles andere. Es ist der kanonische erste Schritt nach dem Server-Install, und der Builder schreibt es in beiden Syntaxen, du nimmst die fuer deine Distro.
Du migrierst von iptables zu nftables. Viele Distros (Debian 11+, RHEL 9+) haben nftables zum Default gemacht und der Legacy-`iptables`-Befehl ist ein Wrapper. Pasten deine bestehenden iptables-Regeln ins Formular, Vorschau auf nftables schalten, fertig ist eine save-bereite `/etc/nftables.conf`.
Du willst SSH auf eine IP einschraenken. Das "Locked-down SSH"-Preset zeigt das Muster: ACCEPT von deiner Office-IP, LOG und DROP fuer alles andere. Drei Regeln, in richtiger Reihenfolge, mit State-Matching.
Du verwaltest einen Docker-Host und die FORWARD-Chain ist ein Chaos. Docker schreibt die FORWARD-Chain bei jedem Restart um, das ist okay, aber du musst trotzdem wissen, wie gute FORWARD-Regeln aussehen. Das "Docker forward chain"-Preset ist eine saubere Baseline, die du anpassen kannst.
Du bringst jemandem Linux-Networking bei. Die Seite-an-Seite-iptables-vs-nftables-Ansicht ist der schnellste Weg, die Aequivalenz zu zeigen: gleiches Modell, zwei Syntaxen. Einen State togglen, beide Panels updaten zu sehen, und die Beziehung zwischen `-m conntrack --ctstate` und `ct state` klickt sofort.

Fragen und Antworten

iptables- und nftables-Builder

Was ist dieser iptables-/nftables-Regel-Builder?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

Port-Erreichbarkeits-Check

Nginx-Config-Snippet-Builder

systemd-Unit-Builder

iptables- und nftables-Builder

Was ist dieser iptables-/nftables-Regel-Builder?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

Port-Erreichbarkeits-Check

Nginx-Config-Snippet-Builder

systemd-Unit-Builder