iptables للمبتدئين ، الفضوليين ، المهتمين (الجزء الثاني)

عندما DesdeLinux solo tenía pocos meses de vida escribí un tutorial extremadamente simple de entender sobre iptables: iptables للمبتدئين ، الفضوليين ، المهتمين (الجزء الأول) . باستخدام الاستعارات مثل مقارنة جهاز الكمبيوتر الخاص بنا بمنزلنا ، وجدار الحماية الخاص بنا مع باب المنزل ، بالإضافة إلى أمثلة أخرى ، شرحت بطريقة مسلية ، بدون الكثير من التفاصيل الفنية أو المفاهيم المعقدة ، ما هو جدار الحماية ، وما هو iptables وكيف تبدأ في استخدامه و تهيئة. هذا هو الجزء الثاني من دروس iptables السابقة 🙂

يحدث أنه قبل بضعة أيام باستخدام Linksys AP (Access Point) ، قمت بوضع Wifi في منزل صديقتي ، على الرغم من أن المنطقة ليست الأكثر دراية من حيث التكنولوجيا ، أي أنه ليس هناك العديد من مخاطر الاختراق ، فهي دائمًا فكرة جيدة أن يكون لديك أمان ممتاز في كل من Wifi وفي أجهزة الكمبيوتر.

لن أعلق على أمان Wi-Fi هنا ، لأنه ليس هدف المنشور ، سأركز على تكوين iptables الذي أستخدمه حاليًا على الكمبيوتر المحمول.

يتم تنفيذ الأوامر التالية في محطة طرفية ، ويجب تنفيذها بامتيازات المسؤول ، وسأعتمد على sudo قبل كل أمر ، ويمكنك فعل الشيء نفسه أو تجنب استخدام sudo عن طريق تنفيذ الأوامر مباشرة كجذر

لقد أوضحت في المنشور السابق أنه من الضروري في جدار الحماية أولاً رفض كل حركة المرور الواردة ، لهذا:

sudo iptables -P INPUT DROP

ثم يجب أن نسمح لجهاز الكمبيوتر الخاص بنا بالحصول على إذن لإدخال البيانات:

sudo iptables -A INPUT -i lo -j ACCEPT

بالإضافة إلى قبول حزم الطلبات التي تنشأ من جهاز الكمبيوتر الخاص بنا:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

لفهم هذه السطور بشكل أفضل ، أوصي بقراءة النصف الأول من المقالة السابقة: iptables للمبتدئين ، الفضوليين ، المهتمين (الجزء الأول)

حتى الآن ، يمكن لجهاز الكمبيوتر الخاص بنا التنقل عبر الإنترنت دون مشاكل ، ولكن لن يتمكن أي شخص من أي بيئة أخرى (LAN ، الإنترنت ، Wifi ، إلخ) من الوصول إلى جهاز الكمبيوتر الخاص بنا بأي طريقة. سنبدأ في تكوين iptables وفقًا لاحتياجاتنا.

استخدام ulogd لإخراج سجلات iptables إلى ملف آخر:

بشكل افتراضي ، تنتقل سجلات iptables إلى سجل kernel أو سجل النظام أو شيء من هذا القبيل ... في Arch افتراضيًا ، في الوقت الحالي لا أتذكر حتى أين يذهبون ، ولهذا السبب أستخدم أولوجد بحيث تكون سجلات iptables في ملف آخر.

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

منح الوصول إلى الخادم الخاص بي:

أنا لا أستخدم VirtualBox أو أي شيء مشابه للمحاكاة الافتراضية ، لدي خادم خاص افتراضي Qemu + KVM التي يجب أن تكون قادرة على الاتصال بجهاز الكمبيوتر المحمول الخاص بي على هذا النحو ، مع قواعد iptables التي حددتها للتو أعلاه ، لن تكون قادرة على ذلك ، ولهذا السبب يجب أن أعطي إذنًا لعنوان IP لخادمي الظاهري حتى يتمكن من الوصول إلى الكمبيوتر المحمول الخاص بي:

sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT

سنقوم بتفصيل هذا السطر ، من المهم أن تفهم ما تعنيه كل معلمة ، لأنها ستتكرر كثيرًا من الآن فصاعدًا:

-مدخل : أقول إنني سأعلن قاعدة لحركة المرور الواردة

-أنا virbr0 : أقر بأن الواجهة التي سأقبل من خلالها حركة المرور ليست etho (LAN) أو wlan0 (Wifi) ، وأقول على وجه التحديد إنها واجهة virbr0 الخاصة بي ، أي واجهة الشبكة الافتراضية (الداخلية) التي يتواصل الكمبيوتر المحمول معها خادمي الافتراضي (والعكس صحيح)

-p تكب : أحدد البروتوكول ، الأكثر استخدامًا هما UDP و TCP ، وهنا كان يكفي حقًا عدم وضع هذا ولكن ... من المعتاد تحديد نوع البروتوكول الذي يجب قبوله

-s 192.168.122.88 : مصدر الحزم ، مصدرها. بمعنى أن القاعدة تشير إلى الحزم التي تأتي على وجه التحديد من عنوان IP 192.168.122.88

-j قبول : بالفعل هنا أقول ما أريد أن أفعله بالحزم التي تطابق ما سبق ، في هذه الحالة أقبل.

بمعنى آخر ، كملخص ، سأقبل الحزم التي تأتي من IP 192.168.122.88 ، ولكن في حالة رغبتك في إدخال الحزم التي تأتي من IP هذا ولكن! إنهم يدخلون من واجهة ليست virbr0 ، أي لنفترض أنهم يحاولون إدخال حزم من عنوان IP 192.168.122.88 لكنهم من جهاز كمبيوتر في شبكة Wifi الخاصة بنا ، إذا كان هذا هو الحال ، فسيتم رفض الحزم. لماذا ا؟ نظرًا لأننا نحدد بوضوح نعم ، فإننا نقبل الحزم من 192.168.122.88 نعم ، ولكن فقط ولكن ، يجب عليهم أيضًا الدخول من واجهة virbr0 (واجهة الشبكة الافتراضية الداخلية) ، إذا كانت الحزم تأتي من واجهة أخرى (LAN ، RAS ، Wifi ، إلخ) فلن يتم قبولها. من خلال تحديد الواجهة كما ترى ، يمكننا تقييدها بشكل أكبر ، ويمكننا التحكم بشكل أفضل في ما يدخل (أو لا يدخل) جهاز الكمبيوتر الخاص بنا.

قبول الأمر ping من أي عنوان IP خاص بشبكة Wifi المنزلية:

من بعض أجهزة الكمبيوتر الأخرى التي تتصل بشبكة Wifi ، إذا حاولت اختبار اتصال الكمبيوتر المحمول الخاص بي ، فأنا أريد السماح بذلك. السبب؟ الفكرة أيضًا هي أنه في الأسابيع القليلة القادمة لربط الكمبيوتر في المنزل المجاور للشبكة ، لذا فإن مشاركة المعلومات ستكون أقل تعقيدًا وأكثر مرونة ، عندما أبدأ في إجراء اختبارات لربط سطح المكتب بشبكة Wifi ، سأحتاج إلى اختبار الاتصال الكمبيوتر المحمول للتحقق من الاتصال ، إذا كان جهاز الكمبيوتر المحمول الخاص بي لا يعاود الاتصال بي ، فيمكنني أن أعتقد أن AP تعطلت ، أو أن هناك خطأ في الوصول إلى Wifi ، ولهذا السبب أريد السماح لـ ping.

sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT

-مدخل : كما كان من قبل ، أشير إلى حركة المرور الواردة

-أنا wlo1 : على غرار ما سبق. في الحالة السابقة ، حددت الواجهة الافتراضية ، وفي هذه الحالة أحدد واجهة أخرى ، هي واجهة wifi الخاصة بي: wlo1

-p ICMP : بروتوكول Icmp ، icmp = ping. أي أنني لا أسمح باستخدام SSH أو أي شيء مشابه ، فأنا أسمح فقط باستخدام ping (icmp)

-س 192.168.1.0/24 : مصدر الحزم ، أي ما دامت الحزم تأتي من عنوان IP 192.168.1.؟ سيتم قبوله

- د 192.168.1.51 : IP الوجهة ، أي IP الخاص بي.

-j قبول : أشير إلى ما يجب فعله مع الحزم التي تطابق ما سبق ، قبول.

أي ، ولشرح ذلك بطريقة تشغيلية ، أوافق على أنهم ping me (بروتوكول icmp) الذي تكون وجهته على وجه التحديد عنوان IP الخاص بي ، طالما أنها تأتي من عنوان IP مثل 192.168.1 .__ ولكن أيضًا ، لا يمكن أن تأتي من أي واجهة شبكة ، عليهم الدخول على وجه التحديد من واجهة شبكة Wifi الخاصة بي (wlo1)

قبول SSH لعنوان IP واحد فقط:

أحيانًا أحتاج إلى الاتصال عن طريق SSH من هاتفي الذكي للتحكم في الكمبيوتر المحمول، لهذا السبب يجب أن أسمح لـ SSH بالوصول إلى الكمبيوتر المحمول الخاص بي من عناوين IP الخاصة بشبكة Wifi الخاصة بي ، من أجل هذا:

sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT

الشيء الوحيد المختلف عن هذا الخط أو الذي يستحق إبرازه هو: - ميناء 22 (منفذ SSH الذي أستخدمه)

بمعنى آخر ، أقبل محاولات الاتصال بجهاز الكمبيوتر المحمول الخاص بي من خلال المنفذ 22 ، طالما أنها تأتي من عنوان IP لشبكة wifi الخاصة بي ، فيجب أن يكون لديهم أيضًا عنوان IP الخاص بي كوجهة محددة وأيضًا عبر واجهة wlo1 ، ذلك من wifi الخاص بي (وليس الشبكة المحلية ، إلخ)

السماح لهم بمشاهدة موقع الويب الخاص بك:

هذا ليس حالتي ، ولكن إذا كان لدى أي منكم موقع ويب مستضاف ولا يريد رفض الوصول إلى أي شخص ، أي أنه يمكن لأي شخص من أي مكان الوصول إلى هذا الموقع ، فهو أبسط بكثير مما قد تعتقد:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

بعبارة أخرى ، يسمحون هنا لكل حركة المرور الواردة (tcp) عبر المنفذ 80. كما ترى ، لا أحدد من أي IPs أو الشبكة التي أسمح بالوصول إليها ، من خلال عدم تحديد نطاق IP للسماح به ، يفترض iptables أنني أريد للسماح بالوصول إلى جميع نطاقات IP الحالية ، أي إلى العالم بأسره

مجموعات أخرى:

لدي العديد من القواعد الأخرى مثل ، على سبيل المثال ، قبول ping لعناوين IP من شبكة LAN المنزلية الخاصة بي (لهذا فهو في الأساس نفس السطر كما هو مذكور أعلاه ، وتغيير نطاقات IP) ، وهو نفس الشيء الذي شرحته للتو أعلاه ... في بلدي الكمبيوتر المحمول على هذا النحو لا أستخدم أشياء معقدة حقًا ، مثل تقييد الاتصالات ، ومكافحة DDoS ، وأترك ​​ذلك للخوادم ، ولست بحاجة إليه على جهاز الكمبيوتر المحمول

على أي حال ، حتى الآن المقال.

كما ترى ، فإن العمل مع iptables ليس بهذه التعقيد بأي حال من الأحوال ، فبمجرد إنشاء نص برمجي تكتب فيه قواعدك يصبح الأمر بسيطًا جدًا ثم قم بتعديله أو إضافة أو إزالة القواعد إلى جدار الحماية الخاص بك.

أنا لا أعتبر نفسي خبيرًا في الموضوع ، بعيدًا عن ذلك ، على الرغم من أي أسئلة قد تكون لديكم ، يعلقون هنا ، سأحاول مساعدتك بقدر ما أستطيع.

تحياتي


31 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   المخاطرة قال

    جيد جدا ، شرح جيد جدا ، عظيم.
    أنا أحب هذا النوع من المنشورات.

    1.    KZKG ^ جارا قال

      شكرا جزيلا على التعليق 🙂

      كان هذا المنشور دينًا كنت أحمله لفترة طويلة ، إنه لأمر ممتع وممتع في النهاية أن أتمكن من سداده ^ _ ^

      تحياتي

      1.    فيكسوكون قال

        سؤال هل انت في كوبا
        ... حدث أنه قبل بضعة أيام باستخدام Linksys AP (نقطة الوصول) ، وضعت شبكة Wifi في منزل صديقتي

        1.    KZKG ^ جارا قال

          نعم بالطبع ، لقد ولدت وأعيش في كوبا. لماذا السؤال؟

        2.    سام برجس قال

          FIXOCONN: مرحبًا يا صديقي واغفر موضوع السؤال ، ولكن كيف يمكنك تعريف Cinnamon لتظهر كبيئة سطح مكتب في وكيل المستخدم؟ أستخدم Mint 13 مع Cinnamon ، لكنني لا أحصل بأي حال من الأحوال على ظهور شعار Cinnamon في وكيل المستخدم الخاص بي في كل مرة أعلق فيها على هذا الموقع

          هل تتفضل بإعطائي تفاصيل وكيل المستخدم الخاص بك إذا لم تكن هناك مشكلة كبيرة؟ أود أن أعرف تلك البيانات لأضعها بنفسي =)

          أترك لك صفحة حتى تتمكن من مراجعتها وإعطائي المعلومات. شكرًا والمشرفين ، اغفر "التصيد" (إذا كان بإمكانك تسميته) من جانبي بهذه المعلومات -> http://user-agent-string.info/

          1.    KZKG ^ جارا قال

            أضف "Cinnamon" (بدون علامات الاقتباس) إلى أي جزء من UserAgent ، ثم يجب أن يظهر الشعار في التعليقات المستقبلية 🙂

  2.   برونو كاسيو قال

    جيد جدا المنشور! واضح جدا 😀

    1.    KZKG ^ جارا قال

      شكرا للقراءة وشكرا على تعليقك 🙂

  3.   وادي قال

    شكرا لك حقا انها تساعدني!

  4.   اوسكار غرناطة قال

    مرحبًا ، أولاً وقبل كل شيء ، تهانينا للمدونة ، أعتقد أنها رائعة.
    قد يكون من الجيد الإشارة إلى أن خيار التسجيل باستخدام ULOG لا يعمل في أنظمة التشغيل التي تحتوي على ulogd2 ، في هذه الحالة يجب أن تكون القاعدة:
    sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN و SYN و RST و ACK SYN -j NFLOG

    1.    KZKG ^ جارا قال

      بادئ ذي بدء ، شكراً جزيلاً لك على ما تقوله عن المدونة 🙂

      لدي ulogd v2.0.2-2 مثبت في Arch ، والخط الذي أضعه يعمل بدون مشاكل (كان علي أن أضع loglevel = 1 في /etc/ulogd.conf ، لكنه يأخذ السجلات إلى ملف آخر دون مشاكل.

      هل تستخدم ulogd v2 أو أعلى ، هل الخط الذي تركته يعمل بشكل خاطئ بالنسبة لك؟

      تحياتي وشكرًا على التعليق.

  5.   سيتوكس قال

    كنت دائمًا أنتظر الجزء الثاني ، أتذكر عندما قرأت الجزء الأول (كان استهلالتي في جدران الحماية). شكرا @ KZKG ^ Gaara ، تحياتي 🙂

    1.    KZKG ^ جارا قال

      شكرا لقراءتك لي 😀
      وهاهي نعم ، قلت ... هذا المنشور كان ديونًا لدي منذ زمن طويل ^ _ ^

  6.   خوسيه لويس جونزاليس قال

    مع تحياتي. جيد جدا المنشور. أحاول تكوين قواعد iptables لإعادة توجيه حركة المرور من Squid إلى dansguardian وما زالت لا تحقق الهدف. سأكون ممتنا بعض المساعدة في هذا الصدد.

    1.    KZKG ^ جارا قال

      iptables لذلك؟ ألا يتم ذلك مباشرة مع ACLs في Squid؟

  7.   مجهول قال

    "لدي العديد من القواعد الأخرى مثل .."
    هذا ما أسميه جنون العظمة ، يا فتى
    أكثر من ذلك بقليل وتضع حزمة من Rotwailer في كل منفذ مفتوح على المودم / الموجه 🙂

    1.    KZKG ^ جارا قال

      HAHAHAHAHAHAHAHA أنا أموت من الضحك مع rottwailers hahahaha

  8.   إيفان قال

    مرحبًا يا صديقي ، يحدث أنني بحاجة إلى مساعدة في تكوين IPTables بطريقة تمنع الوصول إلى المنفذ 80 فقط عندما أكتب العنوان في متصفح خوادم الأسماء المخصصة لدي ، وذلك على سبيل المثال عندما أكتب ns1.mydomain.com و ns2.mydomain. com (وهي خوادم الأسماء الخاصة بي) تمنع IPtables الوصول إلى المنفذ 80 بحيث يحاول المتصفح تحميل الصفحة ولكن بعد فترة تنتهي صلاحيتها ولا يتم تحميلها أبدًا ، يحدث أنني حاولت بالفعل باستخدام أوامر مثل هذه:

    iptables -A INPUT -d ns1.midomini.com -p tcp –dport 80 -j DROP
    iptables -A INPUT -d ns2.midomini.com -p tcp –dport 80 -j DROP

    لكن الشيء الوحيد الذي يفعله هو رفض الدخول إلى المنفذ 80 في جميع نطاقاتي (نظرًا لأنهم يشاركون نفس عنوان IP مثل المضيف الظاهري) ، أريد أن يكون فقط في عنوان url لخوادم الأسماء الخاصة بي وعنوان IP الذي تشير إليه خوادم الأسماء ، أي أن جداول IP تمنع الوصول إلى المنفذ 80 في:

    ns1.midomini.com (الإشارة أ) -> 102.887.23.33
    ns2.midomini.com (الإشارة أ) -> 102.887.23.34

    وعناوين IP التي تشير إليها خوادم الأسماء

    102.887.23.33
    102.887.23.34

    مثال على شركة لديها هذا النظام: Dreamhost
    لا تستجيب خوادم الأسماء الخاصة بهم: ns1.dreamhost.com و ns2.dreamhost.com وعناوين IP التي يشيرون إليها عند كتابتها في شريط عنوان المتصفح

    شكرًا جزيلاً لك مقدمًا على اهتمامك ، أود كثيرًا أن تساعدني في هذا الأمر ، فأنا أحتاجه حقًا وبشكل عاجل!

    يوم جيد !!

    1.    KZKG ^ جارا قال

      مرحبا إيفان ،

      Contáctame por email (kzkggaara[at]desdelinux[dot]net) para hablarlo con más calma y explicarte mejor, mañana sin falta te respondo (hoy estoy de pasada)

      ما تريد القيام به بسيط ، لا أعرف لماذا الأسطر التي تخبرني بها لا تعمل من أجلك ، يجب عليهم ذلك ، لكن عليك التحقق من السجلات والأشياء الأخرى التي قد تكون طويلة جدًا هنا.

      تحياتي وأنتظر بريدك الإلكتروني

  9.   نيسونف قال

    نظريًا باستخدام iptables ، يمكنني تجنب إرسال طلبات فصل من برامج مثل aircrack. انا على حق؟؟؟ حسنًا ، سأقوم بإجراء اختبارات ولكن إذا أخبرتني أنك ستجعلني سعيدًا جدًا XDDD

    1.    KZKG ^ جارا قال

      أعتقد ذلك من الناحية النظرية ، الآن ، لا أعرف كيف يمكن القيام بذلك ، لم أفعل ذلك أبدًا ... لكني أكرر ، من الناحية النظرية ، أعتقد أنه يمكن ذلك.

  10.   الاسكندرية قال

    بعد تطبيق قواعد iptables ، من المستحيل بالنسبة لي الوصول إلى مجلدات النوافذ المشتركة على الشبكة المحلية. ما هي القاعدة التي يجب أن أطبقها لإصلاحها؟
    غراسياس.

    1.    KZKG ^ جارا قال

      ما هي قواعد iptables التي طبقتها؟
      هذا هو الجزء الثاني من "iptables للمبتدئين" ، هل قرأت الجزء الأول؟ أطلب هذا لمعرفة ما إذا كنت قد طبقت القواعد التي كانت في المنشور السابق

      1.    الاسكندرية قال

        نعم ، لقد قرأت كلا الجزأين. بالنسبة للنص البرمجي ، أعتمد على مشاركة أخرى نشرتها حول بدء القواعد مع systemd.

        #! / بن / باش
        # - UTF 8 -

        # Iptables ثنائي
        iptables = »/ usr / bin / iptables»

        رما - طرد - قذف ""

        ## تنظيف الجداول ##
        $ iptables -F
        $ iptables -X
        $ iptables -Z
        #echo »- صنع FLUS إلى iptables» && echo »»

        ## إنشاء السجلات باستخدام ULOGD ##
        $ iptables -A INPUT -p tcp -m tcp –tcp-flags FIN و SYN و RST و ACK SYN -j ULOG

        ## تحديد سياسة DROP الافتراضية ##
        $ iptables -P INPUT DROP
        $ iptables -P FORWARD DROP
        #echo »- سياسة DROP محددة افتراضيًا» && صدى »»

        ## السماح لكل شيء للمضيف المحلي ##
        $ iptables -A INPUT -i lo -j قبول
        $ iptables -A الإخراج -o lo -j ACCEPT
        #echo »- الكل مسموح به للمضيف المحلي» && صدى »»

        ## السماح بإدخال حزم الاتصالات التي أبدأها ##
        $ iptables -A INPUT -m state-state-ESTABLISHED، ذات الصلة -j ACCEPT
        #echo »- حزم الاتصال المسموح بها التي بدأتها» && echo »»

        رما - طرد - قذف " ##############################"
        صدى »## IPTABLES التكوين حسنًا! ## »
        رما - طرد - قذف " ##############################"

        لقد قرأت على الإنترنت أنه بالنسبة لسامبا ، يجب أن يكون لديك القواعد التالية في البرنامج النصي:

        $ iptables -A INPUT -p tcp –dport 139 -j ACCEPT
        $ iptables -A INPUT -p tcp –dport 445 -j ACCEPT
        $ iptables -A INPUT -p udp -sport 137 -j ACCEPT
        $ iptables -A INPUT -p udp –dport 137 -j ACCEPT
        $ iptables -A INPUT -p udp –dport 138 -j ACCEPT

        ومع ذلك ، ولا يمكنني رؤية مجموعات عمل Windows حتى معهم. : س

      2.    الاسكندرية قال

        تم حل المشكلة. تعديل مجموعة العمل والمضيفين يسمحون للمعلمات في ملف تكوين السامبا.

  11.   otkmanz قال

    مقال ممتاز ، رائع فقط !!!!
    لقد قرأته للتو وأحب الطريقة التي تشرحها بها والاستخدام المفيد حقًا لـ iptables ، أود حقًا تعلم كيفية استخدامه بعمق أكبر.
    تحياتي ومقال ممتاز ، أتمنى أن تنشر المزيد عن Iptables! ^ ^

  12.   LEO قال

    العزيز؛

    لدي وكيل مع iptables ولا تستطيع إحدى شبكاتي تنفيذ الأمر ping http://www.google.cl لهذا السبب ، قمت بحظر المنافذ وحاولت آلاف الطرق لفتح المنافذ ولم يحدث شيء. إذا لم أتمكن من تنفيذ الأمر ping ، فلا يمكنني توصيل Outlook

  13.   بورخا قال

    مبروك على المنشور! جيد جدا. ولكن لدي سؤال. في بعض الأحيان ، قد يتغير عنوان IP المخصص لك على الشبكة (إذا كان صحيحًا أنه يمكننا تعيين IP لعناصر MAC الخاصة بنا) ، ولكن هل هناك إمكانية مع Iptables للسماح بالوصول إلى الخادم الخاص بنا عبر SSH بواسطة عنوان MAC؟

    آمل أن أكون قد شرحت نفسي جيدًا.

    مع تحياتي وشكرا جزيلا لك!

  14.   فرناندو مارتن جان قال

    مرحبًا ، أنت تعلم أن لدي خادم Linux مهيئًا وبعد وضع هذه الأوامر ، حظرت كل شيء وفقدت الوصول ، يمكنني استرداد كل شيء تقريبًا ولكني افتقد شيئين. * لم يعد بإمكاني الوصول من متصفح الويب من خلال cname «server» إذا كان عن طريق ip ، 2 ومن ناحية أخرى لا أرى الموارد المشتركة من windows explorer على الشبكة ، قبل وضع \\ server و رأيت كل الموارد المشتركة. آمل أن تتمكن من مساعدتي ، أعلم أنه أمر سخيف ولكني لا أستطيع حلها ، شكرًا

  15.   تاو قال

    أقتبس حرفيا:
    '
    بروتوكول Icmp ، icmp = ping. أي أنني لا أسمح باستخدام SSH أو أي شيء مشابه ، فأنا أسمح فقط باستخدام ping (icmp)
    '

    ICMP و PING ليسا متماثلين. Pinging هو جزء من بروتوكول ICMP ، لكنه ليس كل شيء. يحتوي بروتوكول ICMP (بروتوكول رسائل التحكم في الإنترنت) على العديد من الاستخدامات ، بعضها مع بعض الأخطار. وأنت تقبل كل حركة مرور ICMP. سيكون عليك التقييد فقط على ping.

    Saludos!

  16.   أوزكر قال

    يجب أن أقوم بفترة تدريب لكني لا أفهم الكثير عن iptables ، هل يمكنك مساعدتي….
    شكرا!!!!!!!